Я хотел бы создать версию Ubuntu, в которой нет абсолютно никакой возможности распознавать любое вставленное USB-устройство. Возможно ли это?
Существует проблема, связанная с тем, что мыши и клавиатуры в настоящее время подключены через USB, поэтому мне интересно, можно ли распознать их, но не все остальное.
В конце концов, это мера безопасности, поэтому также приветствуются различные решения для достижения этой цели.
Программная среда USBGuard помогает защитить компьютер от мошеннических USB-устройств, реализуя базовые возможности создания белых и черных списков на основе атрибутов устройства. Для реализации политики, определяемой пользователем, она использует функцию авторизации USB-устройств, реализованную в ядре Linux с 2007 года.
По умолчанию USBGuard блокирует все вновь подключенные устройства и устройства, подключенные до запуска демона, как есть.
Быстрый способ начать использовать USBGuard для защиты вашей системы от USB-атак - это сначала создать политику для вашей системы. Затем запустите демон usbguard с помощью команды sudo systemctl start usbguard.service
. Вы можете использовать команду интерфейса командной строки usbguard
и ее подкоманду generate-policy
(usbguard generate-policy
), чтобы сгенерировать начальную политику для вашей системы вместо того, чтобы писать ее с нуля. Инструмент генерирует политику разрешений для всех устройств, подключенных к вашей системе в настоящий момент на момент выполнения. 1 sup>
Чтобы установить USBGuard в Ubuntu 17.04 и более поздних версиях, откройте терминал и введите:
sudo apt install usbguard
Для установки USBGuard в более ранних выпусках требуется компиляция из источника , что, в свою очередь, требует установки нескольких других пакетов в качестве зависимостей.
1 sup> Пересмотрено с: Встроенная защита от USB-атак безопасности с помощью USBGuard
Я протестировал это решение на своем Ubuntu, работающем на VirtualBox:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /root/
echo 'blacklist usb_storage' >> /etc/modprobe.d/blacklist.conf
sudo update-initramfs -k all -c -v
NB! Вы должны сделать это с отключенным USB-накопителем, иначе вы получите сообщение об ошибке, что модуль используется.
Здесь вы можете найти дополнительную информацию об этой процедуре. Удачи!