Безопасен ли Ubuntu от USB-хаков, когда включен экран блокировки?
Безопасен ли Ubuntu из-за USB-хаков (например, аналогично badusb и usbdriveby), когда экран блокировки открыт?
Например, если новые USB-устройства не могут быть включены и доступны для доступа к системе, когда блокировка экран включен?
В случае, если это имеет значение, я на Ubuntu 16. Спасибо.
3 ответа
Единственная цель экрана блокировки - предотвратить физический доступ к сеансу пользователя через интерфейсные устройства (клавиатуры, мыши, дисплеи ...). Это не мешает взаимодействию с системными и сеансовыми службами другими способами. Это означает, что ядро по-прежнему будет перечислять новые USB-устройства и отправлять уведомления о них в udev, что, в свою очередь, будет делать такие вещи, как загрузка соответствующих модулей ядра или запуск службы, связанной с устройством.
Кроме того, блокировка экран не препятствует любому взаимодействию между (новыми) USB-устройствами системной прошивкой (например, BIOS), что является целью BadUSB.
Нижняя строка:
Если вы хотите защитить атаки прошивки, обновление уязвимой прошивки или не использовать аппаратное обеспечение, встроенное в нее. Если вы хотите защитить от USB-атак против операционной системы (службы ядра и пользовательского пространства), отключите определенные правила udev, которые их активируют, или отключите все правила udev, связанные с USB, чтобы предотвратить любое взаимодействие между операционной системой и устройством USB1 без явное действие суперпользователя. 1, за исключением перечисления, которое является безобидным, когда оно выполняется правильно.-
1Спасибо за ваш ответ. Я нашел usbguard, который помогает мне смягчать опасения по поводу несанкционированных устройств USB, подключенных во время работы экрана журнала (а также когда это не так). github.com/dkopecek/usbguard – bmiller59 28 August 2017 в 20:34
Единственная цель экрана блокировки - предотвратить физический доступ к сеансу пользователя через интерфейсные устройства (клавиатуры, мыши, дисплеи ...). Это не мешает взаимодействию с системными и сеансовыми службами другими способами. Это означает, что ядро по-прежнему будет перечислять новые USB-устройства и отправлять уведомления о них в udev, что, в свою очередь, будет делать такие вещи, как загрузка соответствующих модулей ядра или запуск службы, связанной с устройством.
Кроме того, блокировка экран не препятствует любому взаимодействию между (новыми) USB-устройствами системной прошивкой (например, BIOS), что является целью BadUSB.
Нижняя строка:
Если вы хотите защитить атаки прошивки, обновление уязвимой прошивки или не использовать аппаратное обеспечение, встроенное в нее. Если вы хотите защитить от USB-атак против операционной системы (службы ядра и пользовательского пространства), отключите определенные правила udev, которые их активируют, или отключите все правила udev, связанные с USB, чтобы предотвратить любое взаимодействие между операционной системой и устройством USB1 без явное действие суперпользователя. 1, за исключением перечисления, которое является безобидным, когда оно выполняется правильно.Единственная цель экрана блокировки - предотвратить физический доступ к сеансу пользователя через интерфейсные устройства (клавиатуры, мыши, дисплеи ...). Это не мешает взаимодействию с системными и сеансовыми службами другими способами. Это означает, что ядро по-прежнему будет перечислять новые USB-устройства и отправлять уведомления о них в udev, что, в свою очередь, будет делать такие вещи, как загрузка соответствующих модулей ядра или запуск службы, связанной с устройством.
Кроме того, блокировка экран не препятствует любому взаимодействию между (новыми) USB-устройствами системной прошивкой (например, BIOS), что является целью BadUSB.
Нижняя строка:
Если вы хотите защитить атаки прошивки, обновление уязвимой прошивки или не использовать аппаратное обеспечение, встроенное в нее. Если вы хотите защитить от USB-атак против операционной системы (службы ядра и пользовательского пространства), отключите определенные правила udev, которые их активируют, или отключите все правила udev, связанные с USB, чтобы предотвратить любое взаимодействие между операционной системой и устройством USB1 без явное действие суперпользователя. 1, за исключением перечисления, которое является безобидным, когда оно выполняется правильно.