Главная » Linux

Блокировка usb портов astra linux

Содержание
  1. Как блокировать доступ к USB и CD/DVD в Debian и его производных
  2. Белый список флешек и принтеров
  3. Как отключить порты USB, кроме клавиатуры и мыши?
  4. Операционные системы Astra Linux

Как блокировать доступ к USB и CD/DVD в Debian и его производных

Оригинал: How to Block access of USB and CD/DVD in Debian and Derivatives
Автор: Naga Ramesh
Дата публикации: 31 марта 2016 года
Перевод: А. Кривошей
Дата перевода: февраль 2017 г.

Сегодня в вопросах безопасности нельзя допускать компромиссов. Неважно, касается ли это офиса, дома, или любого другого места работы, настройки безопасности должны предотвращать несанкционированный доступ к вашей системе и заражение ее вирусами. Наиболее распространенный путь доступа к содержимому компьютера — порты USB. Они используются для передачи данных и различных сетевых соединений. Любой может попытаться украсть ваши данные с помощью флешки, или заразить вашу систему вирусами или шпионскими программами. Для обеспечения повышенного уровня безопасности вы можете заблокировать доступ к портам USB в вашей системе.
Для администратора Linux основным рабочим инструментом является командная строка. Мы также будем выполнять необходимые операции в терминале.

Для блокировки доступа к USB и CD-ROM можно использовать права доступа файловой системы. Обычно все съемные диски монтируются в /media.

разрешает только пользователю root монтировать съемные диски.

Для разблокировки доступа используется следующая команда:

Второй способ — использование списка блокировки. Настроить его можно в файле blacklist.conf.
В Ubuntu или других дистрибутивах на базе Debian необходимо редактировать файл blacklist.conf в директории /etc/modprobe.d/.

Для редактирования файла blacklist.conf введите команду:

Содержимое файла выглядит следующим образом:

Добавьте следующие две строки в конец файла.

Сохраните и закройте файл, затем перезагрузите систему. Теперь порты USB отключены.

Для активации портов USB снова откройте файл, удалите эти строки (или закомментируйте их).

Еще один, более простой метод для добавления USB-дисков в список блокировки:

Для блокировки CD-ROM просто удалите пользователя из группы «cdrom». После этого пользователь не сможет с ним работать.

Источник

Белый список флешек и принтеров

На работе использую Astra Linux Special Edition. Необходимо настроить белый список флешек и принтеров, чтобы система не видела «левые» устройства. Кто знает как это можно сделать. Система базируется на Debian.

Вижу три проблемы:

1) Флешки часто не имеют серийного номера. То есть все флешки одной модели одного производителя будут выглядеть абсолютно идентично с точки зрения ОС.

2) Ну запретил ты левые флешки. Что мешает официальную флешку вставить в левый компьютер и залить/слить с неё данные?

3) Насчёт левого принтера вообще не понятно. Если у тебя люди могут пронести на работу принтер, то и фотоаппарат тем более. А между тем, если руки не из одного места растут и фотоаппарат нормальный (сейчас уже и телефоны подоспели и снимают тоже неплохо), то фотография экрана будет мало отличаться от отсканированной бумаги в плане пригодности для OCR и уж тем более читабельности.

Тут только полный запрет флешек (принтеры запрещать смысла нет из-за пункта 3), либо физически отключить USB-порты. И/или досмотр сотрудников с металлоискателями, чтобы они не могли пронести на работу левые флешки и принтеры.

Читайте также:  Windows для ноутбука hp 530

Но при этом остальные usb устройства ты хочешь, чтобы работали?

И зачем их не видеть? Можно не давать не руту их монтировать.

Это бредово, ничто не мешает сделать из любой «черной» флешки «белую», к тому же в чипах уязвимостей дохера. Проще уже selinux вменяемо настроить.

флэшку можно перепрошить на идетификаторы из белого списка, или вовсе изготовить левое usb устройство на копеечном микроконтроллере. обосрамс

Такие требования руководства. Учтенные носители из «белого» списка вынести с территории предприятия невозможно. Серийный номер есть у каждой флешки и принтера. Даже устройства одной модели имеют разные номера. В Винде сторонними программами типа SecretNet и Zlock данный вопрос решался в 5 минут. Сейчас все компы переводят на Линукс и необходимо выполнить туже задачу.

Насчет возможности перепрошивки устройств под серийные номера «белого» списка мне известно. Сам так не раз делал. Но требования по настройке есть и от них никуда не деться. Если кто может дать реальный совет буду очень благодарен.

запускай свой софт под вайном

правда он скорее всего не булед работаь

Что такое selinux примерно понимаю, но никогда его не использовал. Как его можно настроить?

Само собой он работать не будет. Он же использует реестр винды.

токены + данные в своем облаке. вынести ничего нельзя, потерять нельзя или очень сложно.

хотя это же распилгосконтора, так что им положено падать лицом в грязь

Astra Linux Special Edition — это еще шо за плесень подноготная?

Источник

Как отключить порты USB, кроме клавиатуры и мыши?

Добрый день! Подскажите пожалуйста, как на компьютере с Linux отключить все USB порты, так, чтобы в них не было возможности вставлять съемные накопители и флешки, но можно было бы подключать клавиатуру и мышь?

Удалить все udev правила usb кроме мыши и клавиатуры. Но последний раз я копался в udev несколько лет назад и поэтому уже могло там многое поменяться.

в ядре отключить USB Storage, не?

в ядре отключить USB Storage, не?

А если например отключить монтирование дисков, кроме сетевых и локальных, указанных с fstab? Нужно сделать так, чтобы пользователи на предприятии не могли подключать флешки и прочие накопители к компу, но клавиатура и мышь и возможно штрих-сканер работали бы.

blacklist usb_storage >/etc/modprobe.conf.d/666.conf

перекомпиливаешь ядро, Device Drivers -> USB -> USB Storage, USB Storage убрать галочку. либо тут написано http://www.cyberciti.biz/faq/linux-disable-modprobe-loading-of-usb-storage-dr.

или blacklist usb-storage или как там этот модуль зовётся

в иксах отключить определение клав и мышей по идентификатору с identifier keyboard и option ignore on, создав конфиг в /etc/X11/xorg.conf.d/

чорд, я всё перепутал, сорри

У меня есть: /etc/modprobe.d/fbdev-blacklist.conf

Просто добавить в него «blacklist usb-storage»?

можно создать новый файл /etc/modprobe.d/usb-blacklist.conf

в файл прописать blacklist usb_storage сохранить и ребут

Читайте также:  Xbox image browser для windows 10

В современных DE автомонтированием подключаемых накопителей заведует udisks и consolekit / polkit. Поэтому вам нужно отредактировать политики consolekit / polkit, разрешающие монтирование подключаемых съёмных накопителей. В таком случае автомонтирование средствами udisks происходить не будет, а в случае, если пользователь нажмёт на иконку накопителя в файловом менеджере будет выведен запрос пароля root.

Если же вы используете для автомонтирования правила udev, например набор правил uam, то удалите их.

Можете рассказать поподробнее, как это делается, похоже это именно то, что мне нужно.

В /etc/polkit-1/rules.d/10-disable-mount.rules помещаете:

Это что, жаваскрипт?

Это синтаксис правил polkit.

Сишный это синтаксис.

В данном случае это синтаксис правил polkit, если вы напишете правило без соответствия синтаксису, то оно не будет распознано, без разницы на что синтаксис похож.

Нужно сделать так, чтобы пользователи на предприятии не могли подключать флешки и прочие накопители к компу, но клавиатура и мышь и возможно штрих-сканер работали бы.

Ну это проще. Всего то надо отредактировать /etc/group . Дело в том что обращаться к соответствующему демону для монтирования можно только если состоишь в определённой группе. Вроде как fuse, cdrom, floppy.

А нужные скрипты монтирования (сетевая шара или какой то специальный носитель) можно монтировать делегировав соответствующий скрипт через sudo

Отключение usb-storage, в общем случае не поможет.

Сканер-штрихкодов наверняка USB-COM и пользователь должен иметь доступ к этому порту, через COM-порт скачаю что угодно.

USB-HID (через который работают большинство клав и мышей) тоже довольно навороченный протокол.

Прочитать флешку можно и с помощью libusb (наверняка есть в системе).

В конце концов есть кнопка reset и загрузка с USB (во многих BIOS-ах выбор альтернативной загрузки не отключается).

Ещё /etc/group можно посмотреть на наличие юзера/группы в storage.

Что за дистр-то? А то тут долго голову можно ломать.

Debian 6. Но я уже сделал через /etc/modprobe.d/usb-blacklist.conf, как указал anonymous, и все вроде работает, во всяком случае я попробовал после этого подключить USB флешку и диск, и они не вызвали никакой видимой реакции системы, диски не подмонтировались.

Можно залить разъёмы эпоксидкой или повредить их. Можно в биосе отключить USB, а мышь и клаву использовать через ps/2. В случае hardened ядра в grsec есть возможность при сборке ведра включить опцию типа «не детектировать новые USB-устройства после старта ядра», т.е. с чем забутились, с тем и дальше работаем.

А если при апдейте ядра название модуля поменяется(usb_storage -> usb_mass_storage, например)? А если админ захочет флешку подключить(он, конечно, модуль ручками подгрузит, но голову поломает)? И вообще, слить инфу через USB можно и в обход USB Mass Storage(например, MTP).

Думаю, нужно рубить проблему на корню — не давать пользователю монтировать ФС и работать напрямую с блочными устройствами(dd if=

Но только появилась проблема — если USB-флешка была подключена до перезапуска, то она будет видна в системе и успешно примонтируется.

добавь в параметр ядра ‘nousb’. Хотя неуверен, что мышка с клавой будут работать.

Читайте также:  Как убрать погашение экрана windows 10

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

  • реализации и совершенствования функциональных возможностей;
  • поддержки современного оборудования;
  • обеспечения соответствия актуальным требованиям безопасности информации;
  • повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

  1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
  2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
  3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Оцените статью
© 2024 Советы по настройке компьютера