Những người làm việc với người dùng trong các tổ chức yêu cầu một số hạn chế nhất định, hoặc để đảm bảo mức độ bảo mật, hoặc theo một số ý tưởng hoặc mệnh lệnh "từ trên cao" (như chúng tôi nói ở đây), nhiều khi cần thực hiện một số hạn chế truy cập trên máy tính, ở đây tôi sẽ nói cụ thể về việc hạn chế hoặc kiểm soát quyền truy cập vào thiết bị lưu trữ USB.
Hạn chế USB bằng modprobe (không hoạt động với tôi)
Đây không hẳn là một thực tiễn mới, nó bao gồm việc thêm mô-đun usb_storage vào danh sách đen của các mô-đun nhân được tải, nó sẽ là:
echo usb_storage> $ HOME / danh sách đen sudo mv $ HOME / danh sách đen /etc/modprobe.d/
Sau đó chúng ta khởi động lại máy tính là xong.
Tắt USB bằng cách xóa trình điều khiển hạt nhân (không hoạt động với tôi)
Một tùy chọn khác sẽ là xóa trình điều khiển USB khỏi hạt nhân, đối với điều này, chúng tôi thực hiện lệnh sau:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Chúng tôi khởi động lại và sẵn sàng.
Đây sẽ là tệp chứa trình điều khiển USB được sử dụng bởi hạt nhân sẽ chuyển nó sang một thư mục khác (/ root /).
Nếu bạn muốn hoàn tác thay đổi này, chỉ cần:
sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Hạn chế quyền truy cập vào thiết bị USB bằng cách thay đổi / media / quyền (NẾU nó hoạt động với tôi)
Đây là phương pháp chắc chắn phù hợp với tôi. Như bạn nên biết, các thiết bị USB được gắn trên / media / o… nếu bản phân phối của bạn sử dụng systemd, chúng sẽ được gắn trên / run / media /
Những gì chúng tôi sẽ làm là thay đổi các quyền thành / media / (hoặc / run / media /) để CHỈ người dùng root có thể truy cập nội dung của nó, đối với điều này, nó sẽ đủ:
sudo chmod 700 /media/
hoặc ... nếu bạn sử dụng Arch hoặc bất kỳ bản phân phối nào với systemd:
sudo chmod 700 /run/media/
Sau khi thực hiện xong, các thiết bị USB khi được kết nối sẽ được gắn kết nhưng sẽ không có thông báo nào xuất hiện cho người dùng cũng như không thể truy cập trực tiếp vào thư mục hay bất cứ thứ gì.
Kết thúc!
Có một số cách khác được giải thích trên mạng, ví dụ như sử dụng Grub ... nhưng, đoán xem, nó cũng không hiệu quả với tôi 🙂
Tôi đăng rất nhiều lựa chọn (mặc dù không phải tất cả chúng đều phù hợp với tôi) bởi vì một người quen của tôi đã mua một chiếc máy ảnh kỹ thuật số tại một cửa hàng trực tuyến sản phẩm công nghệ ở Chile, anh ấy nhớ kịch bản đó spy-usb.sh mà một lúc trước tôi đã giải thích ở đâyTôi nhớ, nó dùng để theo dõi các thiết bị USB và lấy cắp thông tin từ những) và anh ấy hỏi tôi liệu có cách nào để ngăn thông tin bị đánh cắp từ máy ảnh mới của anh ấy hay ít nhất là một số tùy chọn để chặn thiết bị USB trên máy tính ở nhà của anh ấy.
Dù sao, mặc dù đây không phải là biện pháp bảo vệ máy ảnh của bạn chống lại tất cả các máy tính mà bạn có thể kết nối nó, nhưng ít nhất nó sẽ có thể bảo vệ máy tính gia đình khỏi việc xóa thông tin nhạy cảm qua thiết bị USB.
Tôi hy vọng nó vẫn hữu ích (như mọi khi), nếu ai biết về bất kỳ phương pháp nào khác để từ chối quyền truy cập vào USB trong Linux và tất nhiên, nó hoạt động mà không có vấn đề gì, hãy cho chúng tôi biết.
Một cách có thể khác để ngăn việc gắn bộ lưu trữ USB có thể là thay đổi các quy tắc trong udev http://www.reactivated.net/writing_udev_rules.html#example-usbhdd, bằng cách sửa đổi quy tắc để chỉ người chủ mới có thể gắn thiết bị usb_storage, tôi nghĩ đó sẽ là một cách "lạ mắt". Chúc mừng
Trong wiki Debian, họ nói không chặn các mô-đun trực tiếp trong tệp /etc/modprobe.d/blacklist (.conf), nhưng trong một tệp độc lập kết thúc bằng .conf: https://wiki.debian.org/KernelModuleBlacklisting . Tôi không biết mọi thứ có khác trong Arch hay không, nhưng nếu không thử nó trên USB trên máy tính của tôi, nó hoạt động như thế này, chẳng hạn như với bumblebee và pcspkr.
Và tôi nghĩ Arch cũng sử dụng phương pháp tương tự, phải không? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .
Tôi nghĩ rằng một lựa chọn tốt hơn bằng cách thay đổi quyền sẽ là tạo một nhóm cụ thể cho / media, ví dụ: "dictrive", gán nhóm đó cho / media và cấp quyền 770, vì vậy chúng tôi có thể kiểm soát ai có thể sử dụng những gì được gắn trên / media bằng thêm người dùng vào nhóm «lines», tôi hy vọng bạn đã hiểu 🙂
Xin chào, KZKG ^ Gaara, đối với trường hợp này, chúng tôi có thể sử dụng bộ chính sách, với điều này, chúng tôi sẽ đạt được rằng khi lắp thiết bị USB, hệ thống yêu cầu chúng tôi xác thực với tư cách là người dùng hoặc root trước khi gắn nó.
Tôi có một số ghi chú về cách tôi đã làm điều đó, trong sáng Chủ nhật, tôi sẽ đăng nó.
Chúc mừng.
Đưa ra thông báo liên tục về việc sử dụng bộ chính sách và vì hiện tại tôi chưa thể đăng bài (tôi cho rằng do những thay đổi đã xảy ra trong Desdelinux Hãy sử dụng Linux) Tôi sẽ trình bày cho bạn cách tôi đã làm để ngăn người dùng gắn thiết bị USB của họ. Cái này trong Debian 7.6 với Gnome 3.4.2
1.- Mở tệp /usr/share/polkit-1/actions/org.freedesktop.udisks.policy
2.- Chúng tôi tìm kiếm phần «»
3.- Chúng tôi thay đổi những điều sau:
"Và nó là"
bởi:
"Auth_admin"
Sẵn sàng!! điều này sẽ yêu cầu bạn xác thực với tư cách là người chủ khi cố gắng gắn thiết bị USB.
Tài liệu tham khảo:
http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
http://lwn.net/Articles/258592/
Chúc mừng.
Ở bước 2, tôi không hiểu ý bạn là "Tôi là người mới bắt đầu".
Cảm ơn đã giúp đỡ.
Một phương pháp khác: thêm tùy chọn "nousb" vào dòng lệnh khởi động hạt nhân, liên quan đến việc chỉnh sửa tệp cấu hình grub hoặc lilo.
nousb - Tắt hệ thống con USB.
Nếu có tùy chọn này, hệ thống con USB sẽ không được khởi tạo.
Làm thế nào để lưu ý rằng chỉ người dùng root mới có quyền kết nối thiết bị USB và những người dùng khác thì không.
Cảm ơn bạn.
Cách ghi nhớ rằng các bản phân phối có sẵn (như bản bạn sử dụng) sẽ tự động gắn kết các thiết bị USB, Unity, Gnome hoặc KDE ... bằng cách sử dụng bộ chính sách hoặc dbus, vì đó là hệ thống gắn kết chúng, không phải người dùng.
Không có gì 😉
Và nếu tôi muốn hủy bỏ hiệu lực của
sudo chmod 700 / media /
Tôi nên đặt gì vào thiết bị đầu cuối để lấy lại quyền truy cập vào USB?
cảm ơn
Điều đó không hoạt động nếu bạn kết nối điện thoại di động của mình bằng cáp USB.
sudo chmod 777 / media / để bật lại.
Chúc mừng.
Điều này là không khả thi. Họ chỉ nên gắn USB vào một thư mục khác ngoài / media.
Nếu việc tắt mô-đun USB không hoạt động với bạn, bạn nên xem mô-đun nào được sử dụng cho các cổng USB của mình. có thể bạn đang vô hiệu hóa sai.
Chắc chắn là cách dễ nhất, tôi đã tìm kiếm một cái trong một thời gian và tôi không thể nghĩ ra cái nào ở dưới mũi mình. Cảm ơn bạn rất nhiều
Chắc chắn là cách dễ nhất. Tôi đã tìm kiếm một cái trong một thời gian và tôi không thể nghĩ ra cái nào ở ngay trước mũi mình. Cảm ơn bạn rất nhiều