Обмежте використання пристроїв USB у Linux

Тим, хто працює з користувачами в установах, які вимагають певних обмежень, або для гарантування рівня безпеки, або за якоюсь ідеєю чи наказом "згори" (як ми тут говоримо), багато разів потрібно впроваджувати деякі обмеження доступу до комп'ютерів, тут я ми конкретно поговоримо про обмеження або контроль доступу до USB-накопичувачів.

Обмежте USB за допомогою modprobe (не працює для мене)

Це не зовсім нова практика, вона полягає в додаванні модуля usb_storage до чорного списку завантажених модулів ядра:

echo usb_storage> $ HOME / чорний список sudo mv $ HOME / чорний список /etc/modprobe.d/

Потім перезавантажуємо комп’ютер і все.

Поясніть, що, хоча всі поділяють цю альтернативу як найбільш ефективне рішення, у моїй Arch вона для мене не спрацювала

Вимкніть USB, видаливши драйвер ядра (у мене не працювало)

Іншим варіантом було б видалити USB-драйвер з ядра, для цього ми виконуємо таку команду:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Перезавантажуємось і готові.

Це перемістить файл, що містить драйвери USB, що використовуються ядром, в іншу папку (/ root /).

Якщо ви хочете скасувати цю зміну, цього буде достатньо за допомогою:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Цей спосіб не спрацював і для мене, чомусь USB постійно працювали для мене.

Обмежте доступ до USB-пристроїв, змінивши / media / permissions (якщо це спрацювало у мене)

Це поки що метод, який, безумовно, працює для мене. Як вам слід знати, USB-пристрої встановлюються на / media / o ... якщо ваш дистрибутив використовує systemd, вони встановлюються на / run / media /

Що ми зробимо, так це змінити дозволи на / media / (або / run / media /), щоб ТОЛЬКО користувач root мав доступ до його вмісту, для цього буде достатньо:

sudo chmod 700 /media/

або ... якщо ви використовуєте Arch або будь-який дистрибутив із systemd:

sudo chmod 700 /run/media/

Звичайно, вони повинні враховувати, що лише користувач root має права на монтування USB-пристроїв, оскільки тоді користувач міг встановити USB в іншу папку та обійти наше обмеження.

Як тільки це буде зроблено, USB-пристрої при підключенні будуть змонтовані, але жодне сповіщення користувачеві не з’явиться, і вони не зможуть безпосередньо отримати доступ до папки чи чогось іншого.

Кінець!

У мережі є деякі інші способи, наприклад, використання Grub ... але, вгадайте, це теж не спрацювало для мене 🙂

Я публікую стільки варіантів (хоча не всі з них працювали у мене), тому що мій знайомий купив цифрову камеру в Інтернет-магазин технологічної продукції в Чилі, він згадав цей сценарій spy-usb.sh що деякий час тому я тут пояснивПам'ятаю, він служить для шпигунства за USB-пристроями та крадіжки інформації з них) і запитав мене, чи є спосіб запобігти викраденню інформації з його нової камери, або хоча б якийсь спосіб заблокувати USB-пристрої на домашньому комп’ютері.

У будь-якому випадку, хоча це не захист вашої камери від усіх комп’ютерів, до яких ви можете її підключити, принаймні він зможе захистити домашній ПК від видалення конфіденційної інформації через USB-пристрої.

Сподіваюся, це було (як завжди) корисно для вас, якщо хтось знає про будь-який інший спосіб заборони доступу до USB в Linux, і, звичайно, це працює без проблем, повідомте нас.


Зміст статті відповідає нашим принципам редакційна етика. Щоб повідомити про помилку, натисніть тут.

14 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   SnKisuke - сказав він

    Іншим можливим способом запобігти монтажу USB-накопичувача може бути зміна правил в udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, змінивши правило таким чином, щоб лише root міг монтувати пристрої usb_storage, я думаю, це буде «химерний» спосіб. На ура

  2.   ОтакуЛоган - сказав він

    У вікі Debian кажуть не блокувати модулі безпосередньо у файлі /etc/modprobe.d/blacklist (.conf), а в незалежному, який закінчується на .conf: https://wiki.debian.org/KernelModuleBlacklisting . Я не знаю, чи все інше в Arch, але, не спробувавши це на USB-накопичувачах на моєму комп’ютері, це працює так, наприклад, з джмелем та pcspkr.

    1.    ОтакуЛоган - сказав він

      І я думаю, що Арч використовує той самий метод, правда? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   рудамачо - сказав він

    Я думаю, кращим варіантом, змінивши дозволи, було б створити певну групу для / media, наприклад «pendrive», призначити цю групу / media і дати дозволи 770, щоб ми могли контролювати, хто може використовувати те, що встановлено на / media, додавши користувача до групи «pendrive», сподіваюся, ви зрозуміли 🙂

  4.   ізкалотль - сказав він

    Привіт, KZKG ^ Гаара, для цього випадку ми можемо використовувати політичний набір, завдяки чому ми досягли б того, що, вставляючи USB-пристрій, система просить нас пройти аутентифікацію як користувача або root, перш ніж монтувати його.
    У мене є кілька приміток про те, як я це зробив, протягом неділі вранці я це публікую.

    Привіт.

  5.   ізкалотль - сказав він

    Даючи безперервність повідомлення про використання політичного набору, і з огляду на той факт, що на даний момент я не міг розміщувати повідомлення (я вважаю, що через зміни, що відбулись у Desdelinux UsemosLinux), я залишаю вас так само, як і для того, щоб заважати користувачам монтувати їх USB-пристроїв. Це під Debian 7.6 з Gnome 3.4.2

    1. - Відкрийте файл /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2. - Шукаємо розділ «»
    3. - Ми змінюємо наступне:

    "І це"

    по:

    "Auth_admin"

    Готовий !! це вимагатиме автентифікації як root під час спроби встановити пристрій USB.

    Посилання:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Привіт.

    1.    Райдель Цельма - сказав він

      На кроці 2 я не розумію, який розділ ви маєте на увазі "Я новачок".

      Дякую за допомогу.

  6.   це ім'я неправдиве - сказав він

    Інший метод: додайте опцію "nousb" до командного рядка завантаження ядра, що передбачає редагування конфігураційного файлу grub або lilo.

    nousb - Вимкніть підсистему USB.
    Якщо ця опція присутня, підсистема USB не ініціалізується.

  7.   Райдель Цельма - сказав він

    Як пам’ятати, що лише користувач root має права на монтування USB-пристроїв, а інші користувачі - не.

    Спасибо.

    1.    KZKG ^ Гаара - сказав він

      Як пам’ятати, що готові дистрибутиви (як той, який ви використовуєте) автоматично монтують USB-пристрої, або Unity, Gnome, або KDE ... або за допомогою політичного набору, або dbus, оскільки їх монтує система, не користувач.

      Ні за що 😉

  8.   Віктор - сказав він

    І якщо я хочу скасувати ефект від
    sudo chmod 700 / медіа /

    Що слід покласти в термінал, щоб відновити доступ до USB?

    спасибі

  9.   Анонімний - сказав він

    Це не працює, якщо ви підключаєте свій мобільний телефон за допомогою кабелю USB.

  10.   руїз - сказав він

    sudo chmod 777 / media / для повторного ввімкнення.

    Привіт.

  11.   Морель Рейес - сказав він

    Це неможливо. Вони повинні монтувати USB тільки в каталозі, відмінному від / media.

    Якщо відключення USB -модуля вам не підходить, ви повинні побачити, який модуль використовується для ваших USB -портів. можливо ви вимикаєте неправильний.