udev может использоваться (udev правила) для белого списка определенных USB-устройств?
udev может использоваться (udev правила) для белого списка определенных USB-устройств?
То, что я имею в виду, - то, что только устройства в списке, который я создаю (содержащий идентификаторы устройства, которые я могу получить с lsusb) будут переданы / обработанный udev. Те, которые не в моем списке, должны быть проигнорированы udev как можно скорее (даже не уведомляя драйвер для устройства).
Я услышал о "udev правила". Если Вы знаете что-то о том, как udev управляет работой, Вы думаете, что возможно использовать их в моих целях?
Можно задаваться вопросом, почему я хочу это. Это в целях безопасности. Посмотрите больше деталей здесь о таких уязвимостях: http://www.charlescurley.com/blog/archives/2011/03/13/linux_usb_vulnerability/index.html
3 ответа
Ключ к записи надлежащих правил понимает, что правила udev применяются в определенном порядке. Значение по умолчанию, предоставленные пакет правила находятся в /lib/udev/rules.d/. Оставьте те файлы в покое. Локальные правила должны быть помещены в /etc/udev/rules.d/ который имеет приоритет /lib/udev/rules.d.
Ваш файл (если Вы принимаете решение создать новый) должен закончиться в .rules и это можно назвать как Вам угодно однако, пронумерованные файлы будут обработаны сначала. Если Вы захотите переопределить пронумерованный файл правил, выбрать более высокое количество для Вашего имени файла или выбрать имя файла без числа, то это будет бежать за всеми пронумерованными файлами правил. Таким образом, идея: заставьте свой общий черный список управлять выполненный сначала и затем правила whilelist впоследствии для разрешения определенных устройств, которые Вы хотите позволить.
На это уже указали однако, что это нападение требует физического доступа, и такие уязвимости обычно устраняются быстро. Однако то, что еще более интересно, является тем, что при использовании Ubuntu 9.10 и выше Вы никогда не были действительно уязвимы для этого нападения так или иначе. Так как профиль AppArmor 9.10 evince содержал бы процесс жулика и ограничил бы его pwning Ваши миниатюры. См.: USN-1035-1: Проявите уязвимости
Необходимо добавить правила к /lib/udev/rules.d/ это добавит в белый список только данные устройства и поместит в черный список все остальные.
Можно читать /lib/udev/rules.d/75-persistent-net-generator.rules для примеров. Это показывает, как отфильтровать устройства и выбрать, активироваться ли или не устройства.
Я не боялся бы этого. Из ссылки: "Уязвимость требует флеш-карты, так физический доступ". Любой, который имеет физический доступ, может изменить Ваш корневой пароль учетной записи, диски формата, скопировать и переместить файлы, руткиты отпуска, перезагрузку и использовать живой CD или получить доступ к карте с интерфейсом USB от RAM во время живой сессии CD. И этот тип проблемы фиксируется скорее быстро (человек, который нашел, что это также сделало фиксацию).
Несмотря на это... Я нашел тему на ubuntuforums для того, чтобы сделать специальные правила udev для специально для usb: Короче говоря (больше в ссылке):
Создайте файл /etc/udev/rules.d/91-local.rules и скопируйте это в него SUBSYSTEMS=="usb", KERNEL=="sd??", ACTION=="add", RUN+="/usr/local/bin/USB %k"
%k устройство, ядро проанализирует в сценарий USB, который выполняется (sudo chmod +x /usr/local/bin/USB).
И теперь можно создать сценарий под названием USB, который может сделать вещи на основе условий, как не монтирование его (в ссылке установка для того, чтобы сделать резервные копии).