Тим, хто працює з користувачами в установах, які вимагають певних обмежень, або для гарантування рівня безпеки, або за якоюсь ідеєю чи наказом "згори" (як ми тут говоримо), багато разів потрібно впроваджувати деякі обмеження доступу до комп'ютерів, тут я ми конкретно поговоримо про обмеження або контроль доступу до USB-накопичувачів.
Обмежте USB за допомогою modprobe (не працює для мене)
Це не зовсім нова практика, вона полягає в додаванні модуля usb_storage до чорного списку завантажених модулів ядра:
echo usb_storage> $ HOME / чорний список sudo mv $ HOME / чорний список /etc/modprobe.d/
Потім перезавантажуємо комп’ютер і все.
Вимкніть USB, видаливши драйвер ядра (у мене не працювало)
Іншим варіантом було б видалити USB-драйвер з ядра, для цього ми виконуємо таку команду:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Перезавантажуємось і готові.
Це перемістить файл, що містить драйвери USB, що використовуються ядром, в іншу папку (/ root /).
Якщо ви хочете скасувати цю зміну, цього буде достатньо за допомогою:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Обмежте доступ до USB-пристроїв, змінивши / media / permissions (якщо це спрацювало у мене)
Це поки що метод, який, безумовно, працює для мене. Як вам слід знати, USB-пристрої встановлюються на / media / o ... якщо ваш дистрибутив використовує systemd, вони встановлюються на / run / media /
Що ми зробимо, так це змінити дозволи на / media / (або / run / media /), щоб ТОЛЬКО користувач root мав доступ до його вмісту, для цього буде достатньо:
sudo chmod 700 /media/
або ... якщо ви використовуєте Arch або будь-який дистрибутив із systemd:
sudo chmod 700 /run/media/
Як тільки це буде зроблено, USB-пристрої при підключенні будуть змонтовані, але жодне сповіщення користувачеві не з’явиться, і вони не зможуть безпосередньо отримати доступ до папки чи чогось іншого.
Кінець!
У мережі є деякі інші способи, наприклад, використання Grub ... але, вгадайте, це теж не спрацювало для мене 🙂
Я публікую стільки варіантів (хоча не всі з них працювали у мене), тому що мій знайомий купив цифрову камеру в Інтернет-магазин технологічної продукції в Чилі, він згадав цей сценарій spy-usb.sh що деякий час тому я тут пояснивПам'ятаю, він служить для шпигунства за USB-пристроями та крадіжки інформації з них) і запитав мене, чи є спосіб запобігти викраденню інформації з його нової камери, або хоча б якийсь спосіб заблокувати USB-пристрої на домашньому комп’ютері.
У будь-якому випадку, хоча це не захист вашої камери від усіх комп’ютерів, до яких ви можете її підключити, принаймні він зможе захистити домашній ПК від видалення конфіденційної інформації через USB-пристрої.
Сподіваюся, це було (як завжди) корисно для вас, якщо хтось знає про будь-який інший спосіб заборони доступу до USB в Linux, і, звичайно, це працює без проблем, повідомте нас.
Іншим можливим способом запобігти монтажу USB-накопичувача може бути зміна правил в udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, змінивши правило таким чином, щоб лише root міг монтувати пристрої usb_storage, я думаю, це буде «химерний» спосіб. На ура
У вікі Debian кажуть не блокувати модулі безпосередньо у файлі /etc/modprobe.d/blacklist (.conf), а в незалежному, який закінчується на .conf: https://wiki.debian.org/KernelModuleBlacklisting . Я не знаю, чи все інше в Arch, але, не спробувавши це на USB-накопичувачах на моєму комп’ютері, це працює так, наприклад, з джмелем та pcspkr.
І я думаю, що Арч використовує той самий метод, правда? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Я думаю, кращим варіантом, змінивши дозволи, було б створити певну групу для / media, наприклад «pendrive», призначити цю групу / media і дати дозволи 770, щоб ми могли контролювати, хто може використовувати те, що встановлено на / media, додавши користувача до групи «pendrive», сподіваюся, ви зрозуміли 🙂
Привіт, KZKG ^ Гаара, для цього випадку ми можемо використовувати політичний набір, завдяки чому ми досягли б того, що, вставляючи USB-пристрій, система просить нас пройти аутентифікацію як користувача або root, перш ніж монтувати його.
У мене є кілька приміток про те, як я це зробив, протягом неділі вранці я це публікую.
Привіт.
Продовжуючи повідомлення про використання policykit і враховуючи, що на даний момент я не можу опублікувати (я припускаю, через зміни, які відбулися в Desdelinux Let's UseLinux) Я залишаю вам, як я зробив, щоб запобігти користувачам монтувати свої USB-пристрої. Це під Debian 7.6 з Gnome 3.4.2
1. - Відкрийте файл /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2. - Шукаємо розділ «»
3. - Ми змінюємо наступне:
"І це"
по:
"Auth_admin"
Готовий !! це вимагатиме автентифікації як root під час спроби встановити пристрій USB.
Посилання:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Привіт.
На кроці 2 я не розумію, який розділ ви маєте на увазі "Я новачок".
Дякую за допомогу.
Інший метод: додайте опцію "nousb" до командного рядка завантаження ядра, що передбачає редагування конфігураційного файлу grub або lilo.
nousb - Вимкніть підсистему USB.
Якщо ця опція присутня, підсистема USB не ініціалізується.
Як пам’ятати, що лише користувач root має права на монтування USB-пристроїв, а інші користувачі - не.
Спасибо.
Як пам’ятати, що готові дистрибутиви (як той, який ви використовуєте) автоматично монтують USB-пристрої, або Unity, Gnome, або KDE ... або за допомогою політичного набору, або dbus, оскільки їх монтує система, не користувач.
Ні за що 😉
І якщо я хочу скасувати ефект від
sudo chmod 700 / медіа /
Що слід покласти в термінал, щоб відновити доступ до USB?
спасибі
Це не працює, якщо ви підключаєте свій мобільний телефон за допомогою кабелю USB.
sudo chmod 777 / media / для повторного ввімкнення.
Привіт.
Це неможливо. Вони повинні монтувати USB тільки в каталозі, відмінному від / media.
Якщо відключення USB -модуля вам не підходить, ви повинні побачити, який модуль використовується для ваших USB -портів. можливо ви вимикаєте неправильний.
Однозначно найпростіший спосіб, я довго шукав і не міг придумати той, який був у мене під носом. Дуже дякую
Однозначно найпростіший спосіб. Я довго шукав один і не міг придумати той, який був у мене під носом. Дуже дякую