- Как заблокировать доступ к USB и CD/DVD в Debian и его производных
- Заблокировать доступ к USB и CDDVD в Debian и его производных
- Блокировка USB и CD/DVD-устройств через файл блокировки (blacklist)
- Блокировка USB и CD/DVD-устройств через настройку udev
- Отключить порты USB кроме клавиатуры и мыши
- 1. Проверьте требования системы
- 2. Измените список USB устройств
- 3. Настройка доступа через группу пользователей
- 4. Настройка политики доступа
- 5. Перезагрузите систему
- Белый список флешек и принтеров
- Видео:
- Как пользоваться Live CD DVD USB часть 1.
Как заблокировать доступ к USB и CD/DVD в Debian и его производных
В операционных системах Linux существует необходимость ограничить доступ к некоторым устройствам, таким как порты USB и CDDVD. Пользователи могут использовать эти порты для копирования или передачи конфиденциальной информации, что может представлять угрозу для безопасности даже на предприятии. Поэтому, следует настроить систему таким образом, чтобы доступ к данным устройствам был ограничен.
Самый простой способ заблокировать доступ к USB и CDDVD состоит в том, чтобы отредактировать файл blacklist.conf в системе. Для этого нужно войти в систему от имени root, используя команду su или sudo. Затем открываем файл blacklist.conf, который обычно располагается в папке /etc/modprobe.d/. Для редактирования файла можно использовать любой редактор, например, nano или vim.
В файле blacklist.conf необходимо добавить строки usb_storage и udisks для блокировки доступа к USB флешкам и внешним CD/DVD приводам соответственно. Для этого просто добавьте следующие строки в конец файла:
blacklist usb_storage
blacklist udisks
После сохранения изменений и перезагрузки системы, доступ к USB и CDDVD будет заблокирован. Однако, это не идеальное решение, так как пользователи всегда могут изменить настройки системы или использовать другие типы устройств для доступа к информационным ресурсам.
Более надежным методом является использование программного обеспечения, такого как polkit, для управления доступом к устройствам. Если полностью запретить использование USB и CDDVD портов нельзя, можно ограничить доступ только определенным пользователям или группам. Для этого нужно настроить файлы конфигурации и списка доступа (etc/group), указав, какие пользователи или группы могут иметь доступ к определенным устройствам.
Заблокировать доступ к USB и CDDVD в Debian и его производных
Для защиты информационных ресурсов в предприятии часто необходимо ограничить доступ к USB и CD/DVD-устройствам. В Debian и его производных это можно сделать с помощью указаний в файле блокировки (blacklist) и настройками udev.
Блокировка USB и CD/DVD-устройств через файл блокировки (blacklist)
Для блокировки USB и CD/DVD-устройств в Debian и его производных, можно воспользоваться файлом blacklist.conf. В этом файле мы указываем типы устройств, доступ к которым необходимо ограничить.
1. Откройте в текстовом редакторе файл blacklist.conf. Стандартное расположение этого файла в Debian и его производных: /etc/modprobe.d/blacklist.conf.
2. Добавьте следующие строки в конец файла:
| Синтаксис | Описание |
|---|---|
| blacklist usb_storage | Блокировка доступа к USB-накопителям (флешкам и т.д.) |
| blacklist usbhid | Блокировка доступа к USB-устройствам типа мыши и клавиатуры |
| blacklist cdrom | Блокировка доступа к CD/DVD-устройствам |
3. Сохраните изменения в файле.
4. Перезагрузите операционную систему для применения изменений.
Блокировка USB и CD/DVD-устройств через настройку udev
Можно также ограничить доступ к USB и CD/DVD-устройствам через настройку udev. Для этого нужно создать файл правил в директории /etc/udev/rules.d/.
1. Создайте новый файл в директории /etc/udev/rules.d/. Например, 10-block-usb.rules.
2. Откройте созданный файл в текстовом редакторе и добавьте следующий код:
# Запрет на монтирование USB-флешек
SUBSYSTEMS=="block", SUBSYSTEM=="scsi", ATTRS{model}=="Astra Linux Edition", ACTION=="add", RUN+="/bin/sh -c 'echo 1 > /sys/$devpath/device/block/$name/ro'"
# Запрет на монтирование CD-ROM
KERNEL=="sr0", SUBSYSTEM=="block", ACTION=="add", RUN+="/bin/sh -c 'echo 1 > /sys/$devpath/device/block/$name/ro'"
3. Сохраните изменения в файле.
4. Перезагрузите операционную систему для применения изменений.
Примечание: В коде выше приведены примеры блокировки флешек модели «Astra Linux Edition» и CD/DVD-устройств. Для блокировки других моделей или типов устройств, замените соответствующие значения в коде.
Теперь доступ к USB и CD/DVD-устройствам будет ограничен только для указанных типов устройств, а все остальные будут заблокированы.
Отключить порты USB кроме клавиатуры и мыши
Для защиты системы от возможных информационных угроз и особенностей монтирования USB-устройств можно отключить доступ к портам USB, за исключением клавиатуры и мыши. Для этого следуйте указаниям ниже:
1. Проверьте требования системы
Перед приступлением к работе убедитесь, что у вас есть права администратора и необходимые компоненты для настройки USB-портов.
2. Измените список USB устройств
Откройте файл /etc/udev/rules.d/10-local.rules для обновления списка USB устройств:
SUBSYSTEM=="usb", ID_VENDOR_ID=="xxxx", ID_MODEL_ID=="xxxx", ACTION=="remove", RUN+="/bin/sh -c '/usr/bin/logger USB device removed'"Вместо xxxx введите номера по типу вашего устройства. Этот список должен содержать только номера для клавиатуры и мыши.
3. Настройка доступа через группу пользователей
Для настроек доступа к портам USB кроме флэшек, принтеров и CD-приводов, создайте группу пользователей «usb_storage».
Добавьте пользователя к этой группе, к которому должен быть ограничен доступ к USB портам, за исключением клавиатуры и мыши:
$ sudo usermod -a -G usb_storage username4. Настройка политики доступа
Откройте файл /etc/polkit-1/rules.d/10-storage.rules и удалите следующие строки:
_pk_get_adm_usb_devices()
{
cat <<EOF
org.freedesktop.udisks2.filesystem-mount-other-systems
org.freedesktop.udisks2.filesystem-mount
org.freedesktop.udisks2.filesystem-umount-others
org.freedesktop.udisks2.filesystem-umount
org.freedesktop.udisks2.encrypted-unlock-other-systems
org.freedesktop.udisks2.encrypted-unlock
org.freedesktop.udisks2.eject-media
org.freedesktop.udisks2.drive-eject-media
org.freedesktop.udisks2.eject-media
org.freedesktop.udisks2.drive-poll-media
org.freedesktop.udisks2.ata-check-power
EOF
}Это позволит отключить доступ к монтированию USB-устройств.
5. Перезагрузите систему
Чтобы изменения вступили в силу, перезагрузите компьютер.
Теперь доступ к портам USB будет открыт только для клавиатуры и мыши, а все другие устройства, такие как флэшки, принтеры и CD-приводы, будут заблокированы.
Белый список флешек и принтеров
При обновлении операционной системы Debian и ее производных, часто возникает необходимость блокировки доступа к USB-накопителям (флешкам) и оптическим приводам (CD/DVD) из соображений безопасности информационных систем. Однако, в некоторых случаях, доступ к определенным флешкам или принтерам все же нужно использовать.
Для решения подобных задач существует так называемый «белый список» (whitelist) — список устройств, к которым допускается доступ, в то время как остальные устройства блокируются. В этом разделе мы рассмотрим, как настроить белый список флешек и принтеров в Debian и его производных системах.
Настройка белого списка флешек и принтеров основана на использовании правил udev — программного обеспечения, отвечающего за динамическую настройку системы.
Перед настройкой белого списка флешек и принтеров, необходимо создать файл правил udev, в котором будут указаны нужные действия для каждого устройства. Для этого создаем файл с расширением «.rules» в каталоге /etc/udev/rules.d/. Например, /etc/udev/rules.d/99-whitelist.rules.
В этом файле мы будем задавать правила для блокировки всех устройств, а затем указывать исключения — флешки и принтеры, к которым нужно допускать доступ. Синтаксис правил следующий:
| Синтаксис | Описание |
|---|---|
| KERNEL==»sd*», SUBSYSTEMS==»usb», ATTRS{idVendor}==» | Разрешить доступ к определенной флешке по ее Vendor ID и Product ID. |
| KERNEL==»lp*», SUBSYSTEMS==»usb», ATTRS{idVendor}==» | Разрешить доступ к определенному принтеру по его Vendor ID и Product ID. |
Для получения Vendor ID и Product ID флешки или принтера, можно использовать команду lsusb.
Пример правил для белого списка флешек:
KERNEL=="sd*", SUBSYSTEMS=="usb", ATTRS{idVendor}=="0781", ATTRS{idProduct}=="5582", MODE="0666"
KERNEL=="sd*", SUBSYSTEMS=="usb", ATTRS{idVendor}=="0951", ATTRS{idProduct}=="1665", MODE="0666"
Пример правил для белого списка принтеров:
KERNEL=="lp*", SUBSYSTEMS=="usb", ATTRS{idVendor}=="03f0", ATTRS{idProduct}=="b111", MODE="0666"
KERNEL=="lp*", SUBSYSTEMS=="usb", ATTRS{idVendor}=="04e8", ATTRS{idProduct}=="3441", MODE="0666"
После создания файла правил, необходимо перезапустить сервис udev для применения изменений. В Debian и его производных системах это можно сделать с помощью команды:
sudo service udev restart
Теперь только флешки и принтеры, указанные в нашем белом списке, будут иметь доступ к системе. Остальные устройства будут заблокированы. Если появится необходимость добавить или удалить устройства из белого списка, нужно просто изменить файл правил и перезапустить сервис udev.
Важно отметить, что настройка белого списка флешек и принтеров является одной из множества мер по усилению безопасности информационных систем. В предприятии также могут быть требования к блокировке других портов, таких как порты USB для мышей и клавиатур, CD/DVD-ROM приводов и т.д. Настройте белый список в соответствии с требованиями вашей системы и организации.
Сейчас вы знаете, как настроить белый список для флешек и принтеров в Debian и его производных системах Linux. Белый список позволяет управлять доступом к данным устройствам, повышая безопасность системы и защищая от уязвимостей. Удачной настройки!
Видео:
Как пользоваться Live CD DVD USB часть 1.
Как пользоваться Live CD DVD USB часть 1. by Wonderful World 136,777 views 11 years ago 14 minutes, 55 seconds