INTERFACE31 Telegram 4336
tgoop.com » United States » Записки IT специалиста » Telegram web » Post 4336
Записки IT специалиста
​​Блокировка подключения USB-устройств в Linux

USB-устройства – это удобно, подключил и работай, но это серьезная брешь в безопасности. Поэтому многие администраторы задумываются над тем, как ограничить возможность использовать USB-устройства.

Самое простое решение, что называется «в лоб», заблокировать загрузку драйвера usb-storage, для этого выполните:

echo "install usb-storage /bin/true" > /etc/modprobe.d/usb-storage.conf


После чего потребуется перезагрузить устройство. Данный метод заменяет установку драйвера usb-storage командой /bin/true, которая ничего не делает, а только возвращает код успешного завершения операции.

При этом кроме USB-накопителей у вас также перестанут работать и USB устройства ввода, такие как клавиатуры или мыши.

Данный способ вполне подойдет для серверов, чтобы уменьшить возможности «шаловливых рук» в случае непосредственного физического доступа к устройствам.

Альтернативой указанному выше способу можно использовать:

echo "blacklist uas" > /etc/modprobe.d/blacklist.conf
echo "blacklist usb-storage" > /etc/modprobe.d/blacklist.conf


Список модулей приведен для систем Debian и Ubuntu, после чего также перезагрузите устройство.

Более гуманным будет запрет на автоматическое монтирование USB-накопителей, после чего это можно будет сделать только вручную и только с правами суперпользователя.
Создадим файл /etc/udev/rules.d/99-usb.rules и внесем в него строку:

ENV{ID_USB_DRIVER}=="usb-storage",ENV{UDISKS_IGNORE}="1"


Для применения без перезагрузки применяем:

udevadm control --reload-rules


Чтобы разрешить автоматическое монтирование выбранных устройств сначала нам потребуется узнать их серийный номер:

udevadm info --query=env --name=/dev/sdd | grep ID_SERIAL


В нашем случае мы узнаем серийный номер устройства sdd, затем добавляем в /etc/udev/rules.d/99-usb.rules строку:

ATTRS{serial}=="4079621041319618643",ENV{UDISKS_IGNORE}="0"


Где в кавычках указываем серийный номер нужного устройства. Таких строк можно добавить несколько.

Данные способы простые и в чем-то даже грубые, но они доступны на любой системе без установки стороннего ПО.

Если же требуется более гибкое управление USВ устройствами, то вам потребуется специализированный софт, например, USBGuard, но это уже тема отдельной заметки.
www.tgoop.com/interface31/4336
2.5K views



tgoop.com/interface31/4336
Create:
Last Update:

​​Блокировка подключения USB-устройств в Linux

USB-устройства – это удобно, подключил и работай, но это серьезная брешь в безопасности. Поэтому многие администраторы задумываются над тем, как ограничить возможность использовать USB-устройства.

Самое простое решение, что называется «в лоб», заблокировать загрузку драйвера usb-storage, для этого выполните:

echo "install usb-storage /bin/true" > /etc/modprobe.d/usb-storage.conf


После чего потребуется перезагрузить устройство. Данный метод заменяет установку драйвера usb-storage командой /bin/true, которая ничего не делает, а только возвращает код успешного завершения операции.

При этом кроме USB-накопителей у вас также перестанут работать и USB устройства ввода, такие как клавиатуры или мыши.

Данный способ вполне подойдет для серверов, чтобы уменьшить возможности «шаловливых рук» в случае непосредственного физического доступа к устройствам.

Альтернативой указанному выше способу можно использовать:

echo "blacklist uas" > /etc/modprobe.d/blacklist.conf
echo "blacklist usb-storage" > /etc/modprobe.d/blacklist.conf


Список модулей приведен для систем Debian и Ubuntu, после чего также перезагрузите устройство.

Более гуманным будет запрет на автоматическое монтирование USB-накопителей, после чего это можно будет сделать только вручную и только с правами суперпользователя.
Создадим файл /etc/udev/rules.d/99-usb.rules и внесем в него строку:

ENV{ID_USB_DRIVER}=="usb-storage",ENV{UDISKS_IGNORE}="1"


Для применения без перезагрузки применяем:

udevadm control --reload-rules


Чтобы разрешить автоматическое монтирование выбранных устройств сначала нам потребуется узнать их серийный номер:

udevadm info --query=env --name=/dev/sdd | grep ID_SERIAL


В нашем случае мы узнаем серийный номер устройства sdd, затем добавляем в /etc/udev/rules.d/99-usb.rules строку:

ATTRS{serial}=="4079621041319618643",ENV{UDISKS_IGNORE}="0"


Где в кавычках указываем серийный номер нужного устройства. Таких строк можно добавить несколько.

Данные способы простые и в чем-то даже грубые, но они доступны на любой системе без установки стороннего ПО.

Если же требуется более гибкое управление USВ устройствами, то вам потребуется специализированный софт, например, USBGuard, но это уже тема отдельной заметки.

BY Записки IT специалиста




Share with your friend now:
tgoop.com/interface31/4336

View MORE
Open in Telegram


Telegram News

Date: |

1What is Telegram Channels? Deputy District Judge Peter Hui sentenced computer technician Ng Man-ho on Thursday, a month after the 27-year-old, who ran a Telegram group called SUCK Channel, was found guilty of seven charges of conspiring to incite others to commit illegal acts during the 2019 extradition bill protests and subsequent months. With the sharp downturn in the crypto market, yelling has become a coping mechanism for many crypto traders. This screaming therapy became popular after the surge of Goblintown Ethereum NFTs at the end of May or early June. Here, holders made incoherent groaning sounds in late-night Twitter spaces. They also role-played as urine-loving Goblin creatures. Administrators Commenting about the court's concerns about the spread of false information related to the elections, Minister Fachin noted Brazil is "facing circumstances that could put Brazil's democracy at risk." During the meeting, the information technology secretary at the TSE, Julio Valente, put forward a list of requests the court believes will disinformation.
from us


​​Блокировка подключения USB-устройств в Linux

 Записки IT специалиста TG
web: 4336
Записки IT специалиста.Telegram web
Записки IT специалиста Telegram TG Channel
Telegram Updated:
Telegram Записки IT специалиста
FROM American