Hạn chế sử dụng thiết bị USB trong Linux

Những người làm việc với người dùng trong các tổ chức yêu cầu một số hạn chế nhất định, hoặc để đảm bảo mức độ bảo mật, hoặc theo một số ý tưởng hoặc mệnh lệnh "từ trên cao" (như chúng tôi nói ở đây), nhiều khi cần thực hiện một số hạn chế truy cập trên máy tính, ở đây tôi sẽ nói cụ thể về việc hạn chế hoặc kiểm soát quyền truy cập vào thiết bị lưu trữ USB.

Hạn chế USB bằng modprobe (không hoạt động với tôi)

Đây không hẳn là một thực tiễn mới, nó bao gồm việc thêm mô-đun usb_storage vào danh sách đen của các mô-đun nhân được tải, nó sẽ là:

echo usb_storage> $ HOME / danh sách đen sudo mv $ HOME / danh sách đen /etc/modprobe.d/

Sau đó chúng ta khởi động lại máy tính là xong.

Làm rõ rằng mặc dù mọi người đều chia sẻ giải pháp thay thế này là giải pháp hiệu quả nhất, nhưng trong Arch của tôi, nó không hoạt động với tôi

Tắt USB bằng cách xóa trình điều khiển hạt nhân (không hoạt động với tôi)

Một tùy chọn khác sẽ là xóa trình điều khiển USB khỏi hạt nhân, đối với điều này, chúng tôi thực hiện lệnh sau:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

Chúng tôi khởi động lại và sẵn sàng.

Đây sẽ là tệp chứa trình điều khiển USB được sử dụng bởi hạt nhân sẽ chuyển nó sang một thư mục khác (/ root /).

Nếu bạn muốn hoàn tác thay đổi này, chỉ cần:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

Cách này cũng không hiệu quả với tôi, vì một số lý do mà các USB vẫn hoạt động với tôi.

Hạn chế quyền truy cập vào thiết bị USB bằng cách thay đổi / media / quyền (NẾU nó hoạt động với tôi)

Đây là phương pháp chắc chắn phù hợp với tôi. Như bạn nên biết, các thiết bị USB được gắn trên / media / o… nếu bản phân phối của bạn sử dụng systemd, chúng sẽ được gắn trên / run / media /

Những gì chúng tôi sẽ làm là thay đổi các quyền thành / media / (hoặc / run / media /) để CHỈ người dùng root có thể truy cập nội dung của nó, đối với điều này, nó sẽ đủ:

sudo chmod 700 /media/

hoặc ... nếu bạn sử dụng Arch hoặc bất kỳ bản phân phối nào với systemd:

sudo chmod 700 /run/media/

Tất nhiên, họ phải tính đến việc chỉ người dùng root mới có quyền gắn thiết bị USB, vì khi đó người dùng có thể gắn USB vào một thư mục khác và phá vỡ hạn chế của chúng tôi.

Sau khi thực hiện xong, các thiết bị USB khi được kết nối sẽ được gắn kết nhưng sẽ không có thông báo nào xuất hiện cho người dùng cũng như không thể truy cập trực tiếp vào thư mục hay bất cứ thứ gì.

Kết thúc!

Có một số cách khác được giải thích trên mạng, ví dụ như sử dụng Grub ... nhưng, đoán xem, nó cũng không hiệu quả với tôi 🙂

Tôi đăng rất nhiều lựa chọn (mặc dù không phải tất cả chúng đều phù hợp với tôi) bởi vì một người quen của tôi đã mua một chiếc máy ảnh kỹ thuật số tại một cửa hàng trực tuyến sản phẩm công nghệ ở Chile, anh ấy nhớ kịch bản đó spy-usb.sh mà một lúc trước tôi đã giải thích ở đâyTôi nhớ, nó dùng để theo dõi các thiết bị USB và lấy cắp thông tin từ những) và anh ấy hỏi tôi liệu có cách nào để ngăn thông tin bị đánh cắp từ máy ảnh mới của anh ấy hay ít nhất là một số tùy chọn để chặn thiết bị USB trên máy tính ở nhà của anh ấy.

Dù sao, mặc dù đây không phải là biện pháp bảo vệ máy ảnh của bạn chống lại tất cả các máy tính mà bạn có thể kết nối nó, nhưng ít nhất nó sẽ có thể bảo vệ máy tính gia đình khỏi việc xóa thông tin nhạy cảm qua thiết bị USB.

Tôi hy vọng nó vẫn hữu ích (như mọi khi), nếu ai biết về bất kỳ phương pháp nào khác để từ chối quyền truy cập vào USB trong Linux và tất nhiên, nó hoạt động mà không có vấn đề gì, hãy cho chúng tôi biết.


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

16 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố.

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   snkisuke dijo

    Một cách có thể khác để ngăn việc gắn bộ lưu trữ USB có thể là thay đổi các quy tắc trong udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, bằng cách sửa đổi quy tắc để chỉ người chủ mới có thể gắn thiết bị usb_storage, tôi nghĩ đó sẽ là một cách "lạ mắt". Chúc mừng

  2.   otakulogan dijo

    Trong wiki Debian, họ nói không chặn các mô-đun trực tiếp trong tệp /etc/modprobe.d/blacklist (.conf), nhưng trong một tệp độc lập kết thúc bằng .conf: https://wiki.debian.org/KernelModuleBlacklisting . Tôi không biết mọi thứ có khác trong Arch hay không, nhưng nếu không thử nó trên USB trên máy tính của tôi, nó hoạt động như thế này, chẳng hạn như với bumblebee và pcspkr.

    1.    otakulogan dijo

      Và tôi nghĩ Arch cũng sử dụng phương pháp tương tự, phải không? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   rudamacho dijo

    Tôi nghĩ rằng một lựa chọn tốt hơn bằng cách thay đổi quyền sẽ là tạo một nhóm cụ thể cho / media, ví dụ: "dictrive", gán nhóm đó cho / media và cấp quyền 770, vì vậy chúng tôi có thể kiểm soát ai có thể sử dụng những gì được gắn trên / media bằng thêm người dùng vào nhóm «lines», tôi hy vọng bạn đã hiểu 🙂

  4.   iskalotl dijo

    Xin chào, KZKG ^ Gaara, đối với trường hợp này, chúng tôi có thể sử dụng bộ chính sách, với điều này, chúng tôi sẽ đạt được rằng khi lắp thiết bị USB, hệ thống yêu cầu chúng tôi xác thực với tư cách là người dùng hoặc root trước khi gắn nó.
    Tôi có một số ghi chú về cách tôi đã làm điều đó, trong sáng Chủ nhật, tôi sẽ đăng nó.

    Chúc mừng.

  5.   iskalotl dijo

    Đưa ra sự liên tục cho thông báo về việc sử dụng bộ chính sách và xét đến thực tế là hiện tại tôi không thể đăng (tôi cho rằng do những thay đổi đã xảy ra trong Desdelinux UsemosLinux) Tôi để lại cho bạn như tôi đã làm để ngăn người dùng gắn kết thiết bị USB của họ. Điều này trong Debian 7.6 với Gnome 3.4.2

    1.- Mở tệp /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.- Chúng tôi tìm kiếm phần «»
    3.- Chúng tôi thay đổi những điều sau:

    "Và nó là"

    bởi:

    "Auth_admin"

    Sẵn sàng!! điều này sẽ yêu cầu bạn xác thực với tư cách là người chủ khi cố gắng gắn thiết bị USB.

    Tài liệu tham khảo:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    Chúc mừng.

    1.    đột kích celma dijo

      Ở bước 2, tôi không hiểu ý bạn là "Tôi là người mới bắt đầu".

      Cảm ơn đã giúp đỡ.

  6.   tên này là sai dijo

    Một phương pháp khác: thêm tùy chọn "nousb" vào dòng lệnh khởi động hạt nhân, liên quan đến việc chỉnh sửa tệp cấu hình grub hoặc lilo.

    nousb - Tắt hệ thống con USB.
    Nếu có tùy chọn này, hệ thống con USB sẽ không được khởi tạo.

  7.   đột kích celma dijo

    Làm thế nào để lưu ý rằng chỉ người dùng root mới có quyền kết nối thiết bị USB và những người dùng khác thì không.

    Cảm ơn bạn.

    1.    KZKG ^ Gaara dijo

      Cách ghi nhớ rằng các bản phân phối có sẵn (như bản bạn sử dụng) sẽ tự động gắn kết các thiết bị USB, Unity, Gnome hoặc KDE ... bằng cách sử dụng bộ chính sách hoặc dbus, vì đó là hệ thống gắn kết chúng, không phải người dùng.

      Không có gì 😉

  8.   kẻ thắng cuộc dijo

    Và nếu tôi muốn hủy bỏ hiệu lực của
    sudo chmod 700 / media /

    Tôi nên đặt gì vào thiết bị đầu cuối để lấy lại quyền truy cập vào USB?

    cảm ơn

  9.   Vô danh dijo

    Điều đó không hoạt động nếu bạn kết nối điện thoại di động của mình bằng cáp USB.

  10.   ruy băng dijo

    sudo chmod 777 / media / để bật lại.

    Chúc mừng.

  11.   Maurel reyes dijo

    Điều này là không khả thi. Họ chỉ nên gắn USB vào một thư mục khác ngoài / media.

    Nếu việc tắt mô-đun USB không hoạt động với bạn, bạn nên xem mô-đun nào được sử dụng cho các cổng USB của mình. có thể bạn đang vô hiệu hóa sai.

  12.   John Ferrer dijo

    Chắc chắn là cách dễ nhất, tôi đã tìm kiếm một cái trong một thời gian và tôi không thể nghĩ ra cái nào ở dưới mũi mình. Cảm ơn bạn rất nhiều

  13.   John Ferrer dijo

    Chắc chắn là cách dễ nhất. Tôi đã tìm kiếm một cái trong một thời gian và tôi không thể nghĩ ra cái nào ở ngay trước mũi mình. Cảm ơn bạn rất nhiều