Можно ли использовать udev (правила udev) для белого списка определенных USB-устройств?
Вы можете создать резервную копию всей системы, но ее сложнее восстановить, а также принять FOREVER! Если бы я был вами, я бы просто сделал резервную копию /home/ и переустановил приложения, если вам нужно. Когда вы выполняете резервное копирование /home/, вы также создаете резервные копии настроек приложения, поэтому вы не потеряете свои настройки.
24 ответа
Ключом к написанию правильных правил является понимание того, что правила udev применяются в определенном порядке. По умолчанию в пакете содержатся правила /lib/udev/rules.d/. Оставьте эти файлы в покое. Локальные правила должны быть помещены в /etc/udev/rules.d/, который имеет приоритет над /lib/udev/rules.d.
Ваш файл (если вы хотите создать новый) должен заканчиваться на .rules, и его можно назвать как вам нравится , однако сначала будут обрабатываться пронумерованные файлы. Если вы хотите переопределить файл с номерами правил, выберите более высокое число для имени вашего файла или выберите имя файла без номера, он будет запущен после всех файлов с номерами правил. Итак, идея такова: сначала выполните правило общего черного списка, а затем правила whilelist, чтобы разрешить определенные устройства, которые вы хотите разрешить.
. Однако уже было указано, что для этой атаки требуется физический доступ и такие уязвимости обычно исправляются быстро. Однако, что еще более интересно, так это то, что если вы использовали Ubuntu 9.10 и выше, вы никогда не были действительно уязвимы для этой атаки. Начиная с 9.10, профиль AppArmor evince содержал бы процесс изгоев и ограничивал бы его пирамидой ваших эскизов. См .: USN-1035-1: Уязвимости
-
1Существуют различные типы атак с физическим доступом . Это не требует от вас отвинчивания компьютера или перезагрузки его с помощью LiveUSB или перезагрузки в режиме восстановления. – user4124 24 May 2011 в 19:53
-
2Да, однако разработчики Ubuntu, похоже, не очень заботятся об AppArmor, и он будет работать примерно на ~ 50% ядер. Кроме того, я считаю, что ситуация, когда физический доступ не является проблемой , за исключением для уязвимостей, как описано в моем вопросе. То есть: если жесткий диск полностью зашифрован (LVM + Crypt), а машина заблокирована (Ctrl + Alt + L) - и, следовательно, единственными оставшимися векторами атаки являются физические порты компьютера (USB, Firewire и т. Д.). Конечно, в функции блокировки Gnome могут быть дополнительные уязвимости, но хе, у нас не может быть всего: P. – user 25 May 2011 в 20:06
-
3Привет, Андрей. Я не уверен в более старых версиях, но я не знаю никаких проблем с AppArmor / kernel в Ubuntu с 10.04. И далеко не заботясь о AppArmor, Canonical использует команду UpArmor вверх по течению. Разработка довольно активна: blueprints.launchpad.net/ubuntu/+spec/security-o-apparmor-dev1 – Mark Russell 25 May 2011 в 20:36
-
4Вы уверены в AppArmor? Или, может быть, проблемы только для определенных пользователей / конфигураций? Вот, например, отчет об ошибке, открытый для 10.10: bugs.launchpad.net/ubuntu/+bug/770565 ; и вот мой: bugs.launchpad.net/ubuntu/+source/linux/+bug/786839 (открыт для Natty) – user 26 May 2011 в 02:12
-
5Ах, также, вот еще один (10.04) прямо на этом сайте: askubuntu.com/questions/32565/… – user 26 May 2011 в 02:16
Ключом к написанию правильных правил является понимание того, что правила udev применяются в определенном порядке. По умолчанию в пакете содержатся правила /lib/udev/rules.d/. Оставьте эти файлы в покое. Локальные правила должны быть помещены в /etc/udev/rules.d/, который имеет приоритет над /lib/udev/rules.d.
Ваш файл (если вы хотите создать новый) должен заканчиваться на .rules, и его можно назвать как вам нравится , однако сначала будут обрабатываться пронумерованные файлы. Если вы хотите переопределить файл с номерами правил, выберите более высокое число для имени вашего файла или выберите имя файла без номера, он будет запущен после всех файлов с номерами правил. Итак, идея такова: сначала выполните правило общего черного списка, а затем правила whilelist, чтобы разрешить определенные устройства, которые вы хотите разрешить.
. Однако уже было указано, что для этой атаки требуется физический доступ и такие уязвимости обычно исправляются быстро. Однако, что еще более интересно, так это то, что если вы использовали Ubuntu 9.10 и выше, вы никогда не были действительно уязвимы для этой атаки. Начиная с 9.10, профиль AppArmor evince содержал бы процесс изгоев и ограничивал бы его пирамидой ваших эскизов. См .: USN-1035-1: Уязвимости
Ключом к написанию правильных правил является понимание того, что правила udev применяются в определенном порядке. По умолчанию в пакете содержатся правила /lib/udev/rules.d/. Оставьте эти файлы в покое. Локальные правила должны быть помещены в /etc/udev/rules.d/, который имеет приоритет над /lib/udev/rules.d.
Ваш файл (если вы хотите создать новый) должен заканчиваться на .rules, и его можно назвать как вам нравится , однако сначала будут обрабатываться пронумерованные файлы. Если вы хотите переопределить файл с номерами правил, выберите более высокое число для имени вашего файла или выберите имя файла без номера, он будет запущен после всех файлов с номерами правил. Итак, идея такова: сначала выполните правило общего черного списка, а затем правила whilelist, чтобы разрешить определенные устройства, которые вы хотите разрешить.
. Однако уже было указано, что для этой атаки требуется физический доступ и такие уязвимости обычно исправляются быстро. Однако, что еще более интересно, так это то, что если вы использовали Ubuntu 9.10 и выше, вы никогда не были действительно уязвимы для этой атаки. Начиная с 9.10, профиль AppArmor evince содержал бы процесс изгоев и ограничивал бы его пирамидой ваших эскизов. См .: USN-1035-1: Уязвимости
Ключом к написанию правильных правил является понимание того, что правила udev применяются в определенном порядке. По умолчанию в пакете содержатся правила /lib/udev/rules.d/. Оставьте эти файлы в покое. Локальные правила должны быть помещены в /etc/udev/rules.d/, который имеет приоритет над /lib/udev/rules.d.
Ваш файл (если вы хотите создать новый) должен заканчиваться на .rules, и его можно назвать как вам нравится , однако сначала будут обрабатываться пронумерованные файлы. Если вы хотите переопределить файл с номерами правил, выберите более высокое число для имени вашего файла или выберите имя файла без номера, он будет запущен после всех файлов с номерами правил. Итак, идея такова: сначала выполните правило общего черного списка, а затем правила whilelist, чтобы разрешить определенные устройства, которые вы хотите разрешить.
. Однако уже было указано, что для этой атаки требуется физический доступ и такие уязвимости обычно исправляются быстро. Однако, что еще более интересно, так это то, что если вы использовали Ubuntu 9.10 и выше, вы никогда не были действительно уязвимы для этой атаки. Начиная с 9.10, профиль AppArmor evince содержал бы процесс изгоев и ограничивал бы его пирамидой ваших эскизов. См .: USN-1035-1: Уязвимости
Ключом к написанию правильных правил является понимание того, что правила udev применяются в определенном порядке. По умолчанию в пакете содержатся правила /lib/udev/rules.d/. Оставьте эти файлы в покое. Локальные правила должны быть помещены в /etc/udev/rules.d/, который имеет приоритет над /lib/udev/rules.d.
Ваш файл (если вы хотите создать новый) должен заканчиваться на .rules, и его можно назвать как вам нравится , однако сначала будут обрабатываться пронумерованные файлы. Если вы хотите переопределить файл с номерами правил, выберите более высокое число для имени вашего файла или выберите имя файла без номера, он будет запущен после всех файлов с номерами правил. Итак, идея такова: сначала выполните правило общего черного списка, а затем правила whilelist, чтобы разрешить определенные устройства, которые вы хотите разрешить.
. Однако уже было указано, что для этой атаки требуется физический доступ и такие уязвимости обычно исправляются быстро. Однако, что еще более интересно, так это то, что если вы использовали Ubuntu 9.10 и выше, вы никогда не были действительно уязвимы для этой атаки. Начиная с 9.10, профиль AppArmor evince содержал бы процесс изгоев и ограничивал бы его пирамидой ваших эскизов. См .: USN-1035-1: Уязвимости
Ключом к написанию правильных правил является понимание того, что правила udev применяются в определенном порядке. Стандартные, поставляемые в комплекте правила находятся в /lib/udev/rules.d / . Оставьте эти файлы в покое. Локальные правила должны быть помещены в /etc/udev/rules.d / , который имеет приоритет над /lib/udev/rules.d .
Ваш файл (если вы решили создать новый), должен заканчиваться на .rules , и его можно назвать по своему усмотрению, однако сначала будут обрабатываться пронумерованные файлы. Если вы хотите переопределить файл с номерами правил, выберите более высокое число для имени вашего файла или выберите имя файла без номера, он будет запущен после всех файлов с номерами правил. Итак, идея такова: сначала сделайте правило общего черного списка, а затем правила whilelist, чтобы разрешить определенные устройства, которые вы хотите разрешить.
Как уже отмечалось, эта атака требует физического доступа и такие уязвимости обычно исправляются быстро. Тем не менее, что еще больше интересно, так это то, что если вы использовали Ubuntu 9.10 и выше, вы никогда не были действительно уязвимы для этой атаки. Начиная с 9.10, профиль AppArmor evince содержал бы процесс изгоев и ограничивал бы его пирамидой ваших эскизов. См. [D0] USN-1035-1: Уязвимости
Ключом к написанию правильных правил является понимание того, что правила udev применяются в определенном порядке. Стандартные, поставляемые в комплекте правила находятся в /lib/udev/rules.d / . Оставьте эти файлы в покое. Локальные правила должны быть помещены в /etc/udev/rules.d / , который имеет приоритет над /lib/udev/rules.d .
Ваш файл (если вы решили создать новый), должен заканчиваться на .rules , и его можно назвать по своему усмотрению, однако сначала будут обрабатываться пронумерованные файлы. Если вы хотите переопределить файл с номерами правил, выберите более высокое число для имени вашего файла или выберите имя файла без номера, он будет запущен после всех файлов с номерами правил. Итак, идея такова: сначала сделайте правило общего черного списка, а затем правила whilelist, чтобы разрешить определенные устройства, которые вы хотите разрешить.
Как уже отмечалось, эта атака требует физического доступа и такие уязвимости обычно исправляются быстро. Тем не менее, что еще больше интересно, так это то, что если вы использовали Ubuntu 9.10 и выше, вы никогда не были действительно уязвимы для этой атаки. Начиная с 9.10, профиль AppArmor evince содержал бы процесс изгоев и ограничивал бы его пирамидой ваших эскизов. См. [D0] USN-1035-1: Уязвимости
Ключом к написанию правильных правил является понимание того, что правила udev применяются в определенном порядке. Стандартные, поставляемые в комплекте правила находятся в /lib/udev/rules.d / . Оставьте эти файлы в покое. Локальные правила должны быть помещены в /etc/udev/rules.d / , который имеет приоритет над /lib/udev/rules.d .
Ваш файл (если вы решили создать новый), должен заканчиваться на .rules , и его можно назвать по своему усмотрению, однако сначала будут обрабатываться пронумерованные файлы. Если вы хотите переопределить файл с номерами правил, выберите более высокое число для имени вашего файла или выберите имя файла без номера, он будет запущен после всех файлов с номерами правил. Итак, идея такова: сначала сделайте правило общего черного списка, а затем правила whilelist, чтобы разрешить определенные устройства, которые вы хотите разрешить.
Как уже отмечалось, эта атака требует физического доступа и такие уязвимости обычно исправляются быстро. Тем не менее, что еще больше интересно, так это то, что если вы использовали Ubuntu 9.10 и выше, вы никогда не были действительно уязвимы для этой атаки. Начиная с 9.10, профиль AppArmor evince содержал бы процесс изгоев и ограничивал бы его пирамидой ваших эскизов. См. [D0] USN-1035-1: Уязвимости
-
1Существуют различные типы атак типа с физическим доступом . Это не требует от вас отвинчивания компьютера или перезагрузки его с помощью LiveUSB или перезагрузки в режиме восстановления. – user4124 24 May 2011 в 19:53
-
2Да, однако разработчики Ubuntu, похоже, не очень заботятся об AppArmor, и он будет работать примерно на ~ 50% ядер. Кроме того, я считаю, что ситуация, когда физический доступ не является проблемой except для уязвимостей, как описано в моем вопросе. То есть: если жесткий диск полностью зашифрован (LVM + Crypt), а машина заблокирована (Ctrl + Alt + L) - и, следовательно, единственными оставшимися векторами атаки являются физические порты компьютера (USB, Firewire и т. Д.). Конечно, в функции блокировки Gnome могут быть дополнительные уязвимости, но хе, у нас не может быть всего: P. – user 25 May 2011 в 20:06
-
3Привет, Андрей. Я не уверен в более старых версиях, но я не знаю никаких проблем с AppArmor / kernel в Ubuntu с 10.04. И далеко не заботясь о AppArmor, Canonical использует команду UpArmor вверх по течению. Разработка довольно активна: blueprints.launchpad.net/ubuntu/+spec/security-o-apparmor-dev1 – Mark Russell 25 May 2011 в 20:36
-
4Вы уверены в AppArmor? Или, может быть, проблемы только для определенных пользователей / конфигураций? Вот, например, отчет об ошибке, открытый для 10.10: bugs.launchpad.net/ubuntu/+bug/770565 ; и вот мой: bugs.launchpad.net/ubuntu/+source/linux/+bug/786839 (открыт для Natty) – user 26 May 2011 в 02:12
-
5Ах, также, вот еще один (10.04) прямо на этом сайте: askubuntu.com/questions/32565/… – user 26 May 2011 в 02:16
Я бы этого не боялся. Из ссылки: «Уязвимость требует USB-ключ, поэтому физический доступ». Любой, у кого есть физический доступ, может изменить пароль учетной записи root, форматировать диски, копировать и перемещать файлы, оставлять руткиты, перезагружать и использовать живой компакт-диск или получить доступ к USB-накопителю из оперативной памяти во время сеанса Live cd.
Даже так ... Я нашел тему на ubuntuforums для выполнения специальных правил udev специально для usb: In short (больше внутри ссылки):
Создайте файл /etc/udev/rules.d/91-local.rules и скопируйте его в него SUBSYSTEMS=="usb", KERNEL=="sd??", ACTION=="add", RUN+="/usr/local/bin/USB %k"
%k - это устройство, в котором ядро будет анализироваться в сценарии USB который выполняется (sudo chmod +x /usr/local/bin/USB).
И теперь вы можете создать скрипт под названием USB, который может делать что-то на основе ваших условий, например, не устанавливать его (в ссылке есть настройка для создания резервных копий).
-
1Спасибо за понимание. Однако, что IF мой жесткий диск полностью зашифрован (LVM + Crypt) И система заблокирована (Ctrl + Alt + L); будет ли это иметь смысл в этом случае? Я думаю, что это имеет смысл, потому что в этом случае единственными оставшимися векторами атаки являются физические порты компьютера (USB, Firewire, HDMI и т. Д.). – user 25 May 2011 в 20:01
-
2Да, это тоже поможет. Вам нужно ввести кодовую фразу для установки жестких дисков, чтобы кто-то еще не повезло! – Rinzwind 25 May 2011 в 21:37
Вам нужно добавить правила в /lib/udev/rules.d/, которые будут использовать белый список только для указанных устройств, а черный список - все остальные.
Для примера вы можете прочитать /lib/udev/rules.d/75-persistent-net-generator.rules. Он показывает, как фильтровать устройства и выбирать, активировать или не использовать устройства.
Я бы этого не боялся. Из ссылки: «Уязвимость требует USB-ключ, поэтому физический доступ». Любой, у кого есть физический доступ, может изменить пароль учетной записи root, форматировать диски, копировать и перемещать файлы, оставлять руткиты, перезагружать и использовать живой компакт-диск или получить доступ к USB-накопителю из оперативной памяти во время сеанса Live cd.
Даже так ... Я нашел тему на ubuntuforums для выполнения специальных правил udev специально для usb: In short (больше внутри ссылки):
Создайте файл /etc/udev/rules.d/91-local.rules и скопируйте его в него SUBSYSTEMS=="usb", KERNEL=="sd??", ACTION=="add", RUN+="/usr/local/bin/USB %k"
%k - это устройство, в котором ядро будет анализироваться в сценарии USB который выполняется (sudo chmod +x /usr/local/bin/USB).
И теперь вы можете создать скрипт под названием USB, который может делать что-то на основе ваших условий, например, не устанавливать его (в ссылке есть настройка для создания резервных копий).
-
1Спасибо за понимание. Однако, что IF мой жесткий диск полностью зашифрован (LVM + Crypt) И система заблокирована (Ctrl + Alt + L); будет ли это иметь смысл в этом случае? Я думаю, что это имеет смысл, потому что в этом случае единственными оставшимися векторами атаки являются физические порты компьютера (USB, Firewire, HDMI и т. Д.). – user 25 May 2011 в 20:01
-
2Да, это тоже поможет. Вам нужно ввести кодовую фразу для установки жестких дисков, чтобы кто-то еще не повезло! – Rinzwind 25 May 2011 в 21:37
Вам нужно добавить правила в /lib/udev/rules.d/, которые будут использовать белый список только для указанных устройств, а черный список - все остальные.
Для примера вы можете прочитать /lib/udev/rules.d/75-persistent-net-generator.rules. Он показывает, как фильтровать устройства и выбирать, активировать или не использовать устройства.
Я бы этого не боялся. Из ссылки: «Уязвимость требует USB-ключ, поэтому физический доступ». Любой, у кого есть физический доступ, может изменить пароль учетной записи root, форматировать диски, копировать и перемещать файлы, оставлять руткиты, перезагружать и использовать живой компакт-диск или получить доступ к USB-накопителю из оперативной памяти во время сеанса Live cd.
Даже так ... Я нашел тему на ubuntuforums для выполнения специальных правил udev специально для usb: In short (больше внутри ссылки):
Создайте файл /etc/udev/rules.d/91-local.rules и скопируйте его в него SUBSYSTEMS=="usb", KERNEL=="sd??", ACTION=="add", RUN+="/usr/local/bin/USB %k"
%k - это устройство, в котором ядро будет анализироваться в сценарии USB который выполняется (sudo chmod +x /usr/local/bin/USB).
И теперь вы можете создать скрипт под названием USB, который может делать что-то на основе ваших условий, например, не устанавливать его (в ссылке есть настройка для создания резервных копий).
-
1Спасибо за понимание. Однако, что IF мой жесткий диск полностью зашифрован (LVM + Crypt) И система заблокирована (Ctrl + Alt + L); будет ли это иметь смысл в этом случае? Я думаю, что это имеет смысл, потому что в этом случае единственными оставшимися векторами атаки являются физические порты компьютера (USB, Firewire, HDMI и т. Д.). – user 25 May 2011 в 20:01
-
2Да, это тоже поможет. Вам нужно ввести кодовую фразу для установки жестких дисков, чтобы кто-то еще не повезло! – Rinzwind 25 May 2011 в 21:37
Вам нужно добавить правила в /lib/udev/rules.d/, которые будут использовать белый список только для указанных устройств, а черный список - все остальные.
Для примера вы можете прочитать /lib/udev/rules.d/75-persistent-net-generator.rules. Он показывает, как фильтровать устройства и выбирать, активировать или не использовать устройства.
Я бы этого не боялся. Из ссылки: «Уязвимость требует USB-ключ, поэтому физический доступ». Любой, у кого есть физический доступ, может изменить пароль учетной записи root, форматировать диски, копировать и перемещать файлы, оставлять руткиты, перезагружать и использовать живой компакт-диск или получить доступ к USB-накопителю из оперативной памяти во время сеанса Live cd.
Даже так ... Я нашел тему на ubuntuforums для выполнения специальных правил udev специально для usb: In short (больше внутри ссылки):
Создайте файл /etc/udev/rules.d/91-local.rules и скопируйте его в него SUBSYSTEMS=="usb", KERNEL=="sd??", ACTION=="add", RUN+="/usr/local/bin/USB %k"
%k - это устройство, в котором ядро будет анализироваться в сценарии USB который выполняется (sudo chmod +x /usr/local/bin/USB).
И теперь вы можете создать скрипт под названием USB, который может делать что-то на основе ваших условий, например, не устанавливать его (в ссылке есть настройка для создания резервных копий).
-
1Спасибо за понимание. Однако, что IF мой жесткий диск полностью зашифрован (LVM + Crypt) И система заблокирована (Ctrl + Alt + L); будет ли это иметь смысл в этом случае? Я думаю, что это имеет смысл, потому что в этом случае единственными оставшимися векторами атаки являются физические порты компьютера (USB, Firewire, HDMI и т. Д.). – user 25 May 2011 в 20:01
-
2Да, это тоже поможет. Вам нужно ввести кодовую фразу для установки жестких дисков, чтобы кто-то еще не повезло! – Rinzwind 25 May 2011 в 21:37
Вам нужно добавить правила в /lib/udev/rules.d/, которые будут использовать белый список только для указанных устройств, а черный список - все остальные.
Для примера вы можете прочитать /lib/udev/rules.d/75-persistent-net-generator.rules. Он показывает, как фильтровать устройства и выбирать, активировать или не использовать устройства.
Я бы этого не боялся. Из ссылки: «Уязвимость требует USB-ключ, поэтому физический доступ». Любой, у кого есть физический доступ, может изменить пароль учетной записи root, форматировать диски, копировать и перемещать файлы, оставлять руткиты, перезагружать и использовать живой компакт-диск или получить доступ к USB-накопителю из оперативной памяти во время сеанса Live cd.
Даже так ... Я нашел тему на ubuntuforums для выполнения специальных правил udev специально для usb: In short (больше внутри ссылки):
Создайте файл /etc/udev/rules.d/91-local.rules и скопируйте его в него SUBSYSTEMS=="usb", KERNEL=="sd??", ACTION=="add", RUN+="/usr/local/bin/USB %k"
%k - это устройство, в котором ядро будет анализироваться в сценарии USB который выполняется (sudo chmod +x /usr/local/bin/USB).
И теперь вы можете создать скрипт под названием USB, который может делать что-то на основе ваших условий, например, не устанавливать его (в ссылке есть настройка для создания резервных копий).
-
1Спасибо за понимание. Однако, что IF мой жесткий диск полностью зашифрован (LVM + Crypt) И система заблокирована (Ctrl + Alt + L); будет ли это иметь смысл в этом случае? Я думаю, что это имеет смысл, потому что в этом случае единственными оставшимися векторами атаки являются физические порты компьютера (USB, Firewire, HDMI и т. Д.). – user 25 May 2011 в 20:01
-
2Да, это тоже поможет. Вам нужно ввести кодовую фразу для установки жестких дисков, чтобы кто-то еще не повезло! – Rinzwind 25 May 2011 в 21:37
Вам нужно добавить правила в /lib/udev/rules.d/, которые будут использовать белый список только для указанных устройств, а черный список - все остальные.
Для примера вы можете прочитать /lib/udev/rules.d/75-persistent-net-generator.rules. Он показывает, как фильтровать устройства и выбирать, активировать или не использовать устройства.
Я бы этого не боялся. Из ссылки: «Уязвимость требует USB-ключ, поэтому физический доступ». Любой, у кого есть физический доступ, может изменить пароль учетной записи root, форматировать диски, копировать и перемещать файлы, оставлять руткиты, перезагружать и использовать живой компакт-диск или получить доступ к USB-накопителю из оперативной памяти во время сеанса Live cd.
Даже так ... Я нашел тему на ubuntuforums для выполнения специальных udev правила для специально для usb: короче (больше внутри ссылки):
Создайте файл /etc/udev/rules.d/91-local.rules и скопируйте его в это SUBSYSTEMS == "usb", KERNEL == "sd ??", ACTION == "add", RUN + = "/ usr / local / bin / USB% k"
% k - это устройство, в котором ядро будет анализироваться в скрипт USB, который запускается ( sudo chmod + x / usr / local / bin / USB ).
И теперь вы можете создать скрипт под названием USB, который может делать что-то на основе ваших условий, например, не устанавливать его (в ссылке есть настройка для создания резервных копий).
Вам нужно добавить правила в /lib/udev/rules.d / , которые будут использовать белый список только для указанных устройств, а черный список - все остальные.
Вы можете прочитать примеры /lib/udev/rules.d/75-persistent-net-generator.rules . Он показывает, как фильтровать устройства и выбирать, активировать или не использовать устройства.
Я бы этого не боялся. Из ссылки: «Уязвимость требует USB-ключ, поэтому физический доступ». Любой, у кого есть физический доступ, может изменить пароль учетной записи root, форматировать диски, копировать и перемещать файлы, оставлять руткиты, перезагружать и использовать живой компакт-диск или получить доступ к USB-накопителю из оперативной памяти во время сеанса Live cd.
Даже так ... Я нашел тему на ubuntuforums для выполнения специальных udev правила для специально для usb: короче (больше внутри ссылки):
Создайте файл /etc/udev/rules.d/91-local.rules и скопируйте его в это SUBSYSTEMS == "usb", KERNEL == "sd ??", ACTION == "add", RUN + = "/ usr / local / bin / USB% k"
% k - это устройство, в котором ядро будет анализироваться в скрипт USB, который запускается ( sudo chmod + x / usr / local / bin / USB ).
И теперь вы можете создать скрипт под названием USB, который может делать что-то на основе ваших условий, например, не устанавливать его (в ссылке есть настройка для создания резервных копий).
Вам нужно добавить правила в /lib/udev/rules.d / , которые будут использовать белый список только для указанных устройств, а черный список - все остальные.
Вы можете прочитать примеры /lib/udev/rules.d/75-persistent-net-generator.rules . Он показывает, как фильтровать устройства и выбирать, активировать или не использовать устройства.
Я бы этого не боялся. Из ссылки: «Уязвимость требует USB-ключ, поэтому физический доступ». Любой, у кого есть физический доступ, может изменить пароль учетной записи root, форматировать диски, копировать и перемещать файлы, оставлять руткиты, перезагружать и использовать живой компакт-диск или получить доступ к USB-накопителю из оперативной памяти во время сеанса Live cd.
Даже так ... Я нашел тему на ubuntuforums для выполнения специальных udev правила для специально для usb: короче (больше внутри ссылки):
Создайте файл /etc/udev/rules.d/91-local.rules и скопируйте его в это SUBSYSTEMS == "usb", KERNEL == "sd ??", ACTION == "add", RUN + = "/ usr / local / bin / USB% k"
% k - это устройство, в котором ядро будет анализироваться в скрипт USB, который запускается ( sudo chmod + x / usr / local / bin / USB ).
И теперь вы можете создать скрипт под названием USB, который может делать что-то на основе ваших условий, например, не устанавливать его (в ссылке есть настройка для создания резервных копий).
-
1Спасибо за понимание. Однако, что IF мой жесткий диск полностью зашифрован (LVM + Crypt) AND система заблокирована (Ctrl + Alt + L); будет ли это иметь смысл в этом случае? Я думаю, что это имеет смысл, потому что в этом случае единственными оставшимися векторами атаки являются физические порты компьютера (USB, Firewire, HDMI и т. Д.). – user 25 May 2011 в 20:01
-
2Да, это тоже поможет. Вам нужно ввести кодовую фразу для установки жестких дисков, чтобы кто-то еще не повезло! – Rinzwind 25 May 2011 в 21:37
Вам нужно добавить правила в /lib/udev/rules.d / , которые будут использовать белый список только для указанных устройств, а черный список - все остальные.
Вы можете прочитать примеры /lib/udev/rules.d/75-persistent-net-generator.rules . Он показывает, как фильтровать устройства и выбирать, активировать или не использовать устройства.