限制在Linux中使用USB設備

那些與機構中的用戶一起工作的機構需要一定的限制,以保證安全級別,或者通過某種想法或命令“從上方”(就像我們在這裡所說的那樣),很多時候需要對計算機實施一些訪問限制,在這裡將專門討論限製或控制對USB存儲設備的訪問。

使用modprobe限制USB(不適用於我)

這並不是完全新的做法,它包括將usb_storage模塊添加到已加載的內核模塊的黑名單中,它是:

echo usb_storage> $ HOME /黑名單sudo mv $ HOME /黑名單/etc/modprobe.d/

然後,我們重新啟動計算機,僅此而已。

澄清一下,儘管每個人都將這種替代方法視為最有效的解決方案,但在我的Arch中,它對我沒有用

通過刪除內核驅動程序禁用USB(對我不起作用)

另一個選擇是從內核中刪除USB驅動程序,為此,我們執行以下命令:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/

我們重新啟動並準備就緒。

這會將包含內核使用的USB驅動程序的文件移動到另一個文件夾(/ root /)。

如果您要撤消此更改,則只需執行以下操作即可:

sudo mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/

這種方式對我也不起作用,由於某種原因,USB一直為我工作。

通過更改/媒體/權限來限制對USB設備的訪問(如果它對我有用)

到目前為止,這對我當然是有效的。 如您所知,USB設備安裝在/ media / o上...如果您的發行版使用systemd,它們將安裝在/ run / media /

我們要做的是將權限更改為/ media /(或/ run / media /),以便只有root用戶可以訪問其內容,這將足夠:

sudo chmod 700 /media/

或...如果您將Arch或任何發行版與systemd一起使用:

sudo chmod 700 /run/media/

當然,他們必須考慮到只有root用戶才有權安裝USB設備,因為這樣用戶可以將USB安裝在另一個文件夾中並規避我們的限制。

完成此操作後,將連接USB設備,但不會向用戶顯示任何通知,也無法直接訪問該文件夾或任何內容。

結束!

網上還有其他方法可以解釋,例如使用Grub ...,但是,猜猜是什麼,它對我也不起作用🙂

我發布了很多選項(即使不是所有選項都對我有用),因為我的一個熟人在 智利的在線商店技術產品,記得那個劇本 間諜軟件 不久前我在這裡解釋我記得,它可以監視USB設備並從其中竊取信息),問我是否有任何方法可以防止信息從他的新相機中被竊取,或者至少有某種方法可以阻止其家用計算機上的USB設備。

無論如何,儘管這並不是針對您可以連接的所有計算機提供的保護,但至少它可以保護家用PC免受通過USB設備刪除敏感信息的侵害。

我希望它對您一直(一如既往)有用,如果有人知道在Linux中拒絕訪問USB的任何其他方法,當然,它可以正常工作,請告訴我們。


本文內容遵循我們的原則 編輯倫理。 要報告錯誤,請單擊 這裡.

16條評論,留下您的評論

發表您的評論

您的電子郵件地址將不會被發表。

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。

  1.   K介 他說:

    避免掛載USB存儲的另一種可能方法是更改​​udev中的規則 http://www.reactivated.net/writing_udev_rules.html#example-usbhdd,通過修改規則,以便只有root才能掛載usb_storage設備,我認為這是一種“理想”的方式。 乾杯

  2.   宅男洛根 他說:

    在Debian Wiki中,他們說不要直接在/etc/modprobe.d/blacklist(.conf)文件中阻止模塊,而是在以.conf結尾的獨立模塊中阻止模塊: https://wiki.debian.org/KernelModuleBlacklisting 。 我不知道Arch中的情況是否有所不同,但是如果沒有在計算機上的USB上進行嘗試,它就可以與大黃蜂和pcspkr一起使用。

    1.    宅男洛根 他說:

      而且我認為Arch確實使用相同的方法,對嗎? https://wiki.archlinux.org/index.php/kernel_modules#Blacklisting .

  3.   魯達馬喬 他說:

    我認為通過更改權限來更好的選擇是為/介質創建一個特定的組,例如“ pendrive”,將該組分配給/介質並授予權限770,這樣我們就可以控制誰可以使用/介質上安裝的內容通過將用戶添加到“ pendrive”組,希望您已經了解🙂

  4.   伊茲卡洛特 他說:

    您好,KZKG ^ Gaara,在這種情況下,我們可以使用policykit,通過這樣做,我們可以實現:在插入USB設備時,系統會要求我們在安裝之前先以用戶身份或root用戶身份進行身份驗證。
    我有一些關於如何做的筆記,在星期天早上我發布了它。

    問候。

  5.   伊茲卡洛特 他說:

    考慮到目前還無法發布(我想由於Desdelinux UsemosLinux中發生的更改)這一事實,使有關使用policykit的消息具有連續性,我照常這樣做,以防止用戶掛載他們的USB設備。 在Debian 7.6和Gnome 3.4.2下

    1.-打開文件/usr/share/polkit-1/actions/org.freedesktop.udisks.policy
    2.-我們在尋找«»部分
    3.-我們更改以下內容:

    “是的”

    POR:

    “ Auth_admin”

    準備!! 這將要求您在嘗試安裝USB設備時以root用戶身份進行身份驗證。

    引用:
    http://www.freedesktop.org/software/polkit/docs/latest/polkit.8.html
    http://scarygliders.net/2012/06/20/a-brief-guide-to-policykit/
    http://lwn.net/Articles/258592/

    問候。

    1.    雷德爾·塞爾瑪 他說:

      在第2步中,我不明白您是指“我是初學者”這一節。

      謝謝您的幫助。

  6.   這個名字是假的 他說:

    另一種方法:在內核引導命令行中添加“ nousb”選項,這涉及編輯grub或lilo配置文件。

    nousb-禁用USB子系統。
    如果存在此選項,則不會初始化USB子系統。

  7.   雷德爾·塞爾瑪 他說:

    如何記住,只有root用戶才具有安裝USB設備的權限,而其他用戶則沒有。

    謝謝。

    1.    KZKG ^ Gaara 他說:

      如何記住開箱即用的發行版(如您使用的發行版)會自動掛載USB設備(Unity,Gnome或KDE ...)或使用policykit或dbus,因為它是掛載它們的系統,不是用戶。

      一無所有😉

  8.   勝利者 他說:

    如果我想取消的效果
    sudo chmod 700 /媒體/

    我應該在終端中放些什麼以重新獲得對USB的訪問權限?

    謝謝

  9.   匿名 他說:

    如果您使用USB電纜連接手機,那將不起作用。

  10.   魯伊茲 他說:

    sudo chmod 777 /媒體/重新啟用。

    問候。

  11.   莫雷爾·雷耶斯 他說:

    這是不可行的。 他們應該只將 USB 安裝在 /media 以外的目錄中。

    如果禁用 USB 模塊對您不起作用,您應該查看哪個模塊用於您的 USB 端口。 也許你禁用了錯誤的。

  12.   約翰費雷爾 他說:

    絕對是最簡單的方法,我一直在尋找一個,但我想不出在我眼皮底下的那個。 太感謝了

  13.   約翰費雷爾 他說:

    絕對是最簡單的方法。 我一直在尋找一個,但我想不出就在我眼皮底下的那個。 太感謝了