So schützen Sie Ihren Linux-Computer vor betrügerischen USB-Laufwerken

Veröffentlicht: 2023-01-23
Die Hand einer Person, die ein USB-Laufwerk an einen Computer anschließt.
Freer/Shutterstock.com
Installieren Sie USBGuard, um zu steuern und zu verwalten, welche USB-Sticks auf Ihrem Linux-Computer verwendet werden können. Als eine Art Firewall für USB-Geräte können Sie eine Reihe von Regeln erstellen, die bestimmte Laufwerke zulassen, blockieren oder ablehnen.

USB-Speichersticks können verwendet werden, um Daten von Ihrem Linux-Computer zu stehlen. Mit USBGuard können Sie Regeln für die Verwendung von USB-Speichersticks festlegen, wie eine Firewall für USB-Speichergeräte. Hier erfahren Sie, wie es funktioniert und wie Sie es einrichten können.

Inhaltsverzeichnis

Der USB Memory Stick und seine Gefahren
Was ist USBGuard?
Normales Verhalten mit USB-Sticks unter Linux
USBGuard installieren
Konfigurieren einer Basisrichtlinie
Hinzufügen eines weiteren USB-Geräts
Entfernen des Zugriffs eines USB-Geräts

Der USB Memory Stick und seine Gefahren

Wir haben wahrscheinlich alle mindestens einen USB-Speicherstick oder ein USB-Speichergerät wie ein externes USB-Laufwerk. Sie sind billig, effektiv, tragbar und einfach zu bedienen.

Heutzutage können Sie einfach eines an Ihren Linux-Computer anschließen, damit es als Speichergerät identifiziert und automatisch gemountet wird. Vorbei sind die Zeiten, in denen sie von Hand auf der Kommandozeile gemountet werden mussten. Diese Bequemlichkeit bedeutet, dass jeder einen in einen Linux-Computer stecken und Daten vom USB-Laufwerk auf den Computer oder vom Computer auf den Speicherstick kopieren kann.

Wenn andere Personen Ihren Computer verwenden, möchten Sie möglicherweise einschränken, was sie mit USB-Speichersticks tun können. Wenn sich Ihr Computer bei Ihnen zu Hause befindet, ist es unwahrscheinlich, dass ein Opportunist mit böswilliger Absicht vorbeigeht, wenn Ihr Computer eingeschaltet und unbeaufsichtigt ist, aber das kann an einem Arbeitsplatz passieren.

Wie USB-Laufwerke eine Gefahr für Ihren Computer darstellen können
RELATED Wie USB-Laufwerke eine Gefahr für Ihren Computer darstellen können

Aber selbst mit einem Computer in Ihrem Familienhaus möchten Sie möglicherweise den USB-Zugriff einschränken. Vielleicht haben Ihre Kinder regelmäßig Freunde zum Spielen. Das Sperren des USB-Zugriffs ist eine vernünftige Vorsichtsmaßnahme, um zu verhindern, dass sie versehentlich Probleme verursachen.

Wenn jemand ein USB-Laufwerk findet, besteht sofort der Wunsch, es an etwas anzuschließen, um zu sehen, was sich darauf befindet. Cyber-Bedrohungen, die auf Linux-Computer abzielen, sind viel seltener als solche, die für Windows-Computer entwickelt wurden, aber es gibt sie immer noch.

Was ist USBGuard?

USBGuard kann Sie vor softwarebasierten Bedrohungen schützen, die auf kompromittierten USB-Speichersticks verteilt werden, wie z. B. BadUSB, wo der Angriff beginnt, wenn Sie dazu manipuliert werden, etwas zu öffnen, das wie ein Dokument aussieht, aber eine getarnte ausführbare Datei ist. USBGuard kann Sie nicht vor hardwarebasierten Bedrohungen wie USB-Killer-Geräten schützen, die Ihrem Computer physischen Schaden zufügen, indem sie eine Hochspannungsentladung in Ihrem Computer auslösen.

Tatsächlich ermöglicht Ihnen USBGuard, Regeln für alle Arten von verschiedenen USB-Geräten einzurichten, einschließlich Mäusen, Webcams und Tastaturen. Es ist nicht nur für USB-Speichersticks. Ihr Computer kennt die ID jedes USB-Geräts, sodass Sie auswählen können, welche USB-Geräte in Ihrem Computer funktionieren und welche nicht. Es ist so etwas wie eine Firewall für die USB-Konnektivität.

Warnung: Der USBGuard-Daemon wird ausgeführt, sobald er installiert ist. Stellen Sie sicher, dass Sie USBGuard direkt nach der Installation konfigurieren. Wenn Sie dies nicht tun, werden alle Ihre USB-Geräte blockiert, wenn Sie Ihren Computer neu starten.

Normales Verhalten mit USB-Sticks unter Linux

Bevor wir etwas tun, überprüfen wir das Standardverhalten auf unserem Ubuntu 22.10-Computer. Es ist ein einfacher Prozess. Wir stecken einen USB-Speicherstick ein und sehen, was passiert.

Wir hören einen akustischen Alarmton und ein Memory Stick-Symbol erscheint im Dock.

Beim Öffnen des Dateibrowsers wird angezeigt, dass der Liste der Speicherorte in der Seitenleiste ein Eintrag hinzugefügt wurde. Der angezeigte Name ist der Name, den das Gerät bei der Formatierung erhalten hat.

Das Öffnen eines Terminals und die Verwendung des lsusb listet die angeschlossenen USB-Geräte auf. Der oberste Eintrag ist der fragliche Speicherstick, der zufällig ein Gerät der Marke TDK ist.

 lsusb 

Verwenden von lsusb zum Auflisten angeschlossener USB-Geräte

VERWANDT: So listen Sie die Geräte Ihres Computers über das Linux-Terminal auf

USBGuard installieren

USBGuard hat Abhängigkeiten von usbutils und udisks2 . Auf den neuesten Manjaro-, Fedora- und Ubuntu-Builds, die wir getestet haben, waren diese bereits installiert.

Verwenden Sie diesen Befehl, um USBGuard unter Ubuntu zu installieren:

 sudo apt installiere usbguard 

Installation von USBGuard auf Ubuntu mit apt

Auf Fedora müssen Sie Folgendes eingeben:

 sudo dnf installiere usbguard 

USBGuard auf Fedora mit dnf installieren

Auf Manjaro lautet der Befehl:

 sudo pacman -S usbguard 

USBGuard auf Manjaro mit Pacman installieren

Konfigurieren einer Basisrichtlinie

USBGuard hat einen netten Trick. Es verfügt über einen Befehl, der eine Regel erstellt, die es allen derzeit angeschlossenen USB-Geräten ermöglicht, ungehindert weiterzuarbeiten. Das bedeutet, dass Sie eine Basiskonfiguration für alle Ihre immer benötigten Geräte erstellen können. Dieser Regelsatz wird als Basisrichtlinie bezeichnet.

USBGuard verwendet drei Arten von Regeln.

  • Zulassen : Zulassen-Regeln gestatten einem bestimmten Gerät den ungehinderten Betrieb wie gewohnt. Dies wird für Geräte verwendet, die immer verbunden sind, wie z. B. kabelgebundene Tastaturen, Mäuse, Trackballs, Webcams usw. Es wird auch für Geräte verwendet, die zeitweise verbunden sind und die bekannt und vertrauenswürdig sind.
  • Sperren : Sperrregeln verhindern den Betrieb von USB-Geräten. Das USB-Gerät ist für den Benutzer überhaupt nicht sichtbar.
  • Reject : Reject-Regeln verhindern auch den Betrieb von USB-Geräten, aber das USB-Gerät ist für den Benutzer sichtbar, der lsusb verwendet.

USBGuard hat einen netten Trick. Es verfügt über einen Befehl, der eine Basisrichtlinie mit einer Zulassungsregel für jedes der derzeit verbundenen USB-Geräte erstellt. Dies ist eine großartige Möglichkeit, Geräte, die immer mit Ihrem Computer verbunden sind, wie Tastaturen und Webcams, schnell zu konfigurieren. Es ist auch eine bequeme Möglichkeit, vertrauenswürdige, intermittierende Geräte zu erfassen. Stellen Sie einfach sicher, dass alle Ihre vertrauenswürdigen Geräte mit Ihrem Computer verbunden sind, wenn Sie den Befehl ausgeben.

So steuern Sie den sudo-Zugriff unter Linux
RELATED So steuern Sie den sudo-Zugriff unter Linux

Eine seltsame Eigenart erfordert, dass Sie dies als Root tun. Die Verwendung von sudo mit dem Befehl funktioniert nicht. Wir müssen den Befehl sudo -i (login) verwenden, um eine Shell als root zu öffnen, und dann den Befehl ausgeben. Stellen Sie sicher, dass Sie den Befehl exit verwenden, um die Root-Anmeldesitzung zu verlassen, sobald Sie fertig sind.

 sudo -i
 usbguard generate-policy -X -t abgelehnt > /etc/usbguard/rules.conf
 Ausfahrt

Die Option -X (–no-hashes) verhindert, dass USBGuard Hash-Attribute für jedes Gerät generiert. Die Option -t (Ziel) legt ein Standardziel für alle nicht erkannten USB-Geräte fest. In unserem Fall haben wir „Ablehnen“ gewählt. Wir hätten auch „Block“ wählen können.

Erstellen einer Basis-USBGuard-Richtlinie mit einer Root-Terminalsitzung

Um unsere neuen Regeln zu sehen, können wir cat verwenden.

 sudo cat /etc/usbguard/rules.conf 

Verwenden von cat zum Auflisten der automatisch generierten Regeln in /etc/usbguard/rules.conf

Auf unserem Testcomputer hat dies drei USB-Geräte erkannt und „Zulassen“-Regeln für sie erstellt. Es fügte „reject“ als Ziel für alle anderen USB-Geräte hinzu.

Hinzufügen eines weiteren USB-Geräts

Wenn wir jetzt denselben USB-Speicherstick anschließen, den wir zuvor verwendet haben, darf er nicht betrieben werden. Es wird nicht zum Dock hinzugefügt, es wird nicht zum Dateibrowser hinzugefügt, und wir erhalten keine akustische Warnung.

Da wir jedoch ein „Reject“-Ziel für nicht erkannte Geräte verwendet haben, kann lsusb dessen Details auflisten.

 lsusb 

Verwenden von lsusb zum Auflisten angeschlossener USB-Geräte

Wenn wir in unserer Basisrichtlinie ein „Block“-Ziel verwendet hätten, müssten wir den Befehl „ list-devices “ mit der Option „ -b “ (blockierte Geräte) verwenden.

 sudo usbguard list-devices -b 

Verwenden des Befehls list-devices zum Auflisten blockierter, verbundener Geräte

Hier werden die derzeit verbundenen, aber blockierten USB-Geräte angezeigt.

Wir werden einige der Informationen aus diesem Befehl verwenden, um unserem abgelehnten USB-Gerät vorübergehenden oder dauerhaften Zugriff zu gewähren. Um unserem Gerät vorübergehend Zugriff zu gewähren, verwenden wir die Geräte-ID-Nummer. In unserem Beispiel ist dies „10“.

 sudo usbguard allow-device 10 

Einem USB-Gerät temporären Zugriff gewähren

Unser Gerät ist verbunden und erscheint im Dock und im Dateibrowser. Wenn wir USBGuard bitten, die blockierten Geräte aufzulisten, werden keine aufgelistet.

 sudo usbguard list-devices -b 

USBGUard findet keine blockierten Geräte

Wir können die Berechtigung dauerhaft machen, indem wir die Option -p (permanent) verwenden. Dadurch wird eine Regel für uns erstellt und zu unserer Richtlinie hinzugefügt.

 sudo usbguard allow-device 10 -p 

Gewähren Sie einem Gerät dauerhaften Zugriff, indem Sie der Richtlinie eine Zulassungsregel hinzufügen

Wir können dieses USB-Gerät jetzt wie gewohnt verwenden.

Entfernen des Zugriffs eines USB-Geräts

Wenn Sie Ihre Meinung zu einem USB-Gerät ändern – vielleicht haben Sie einen USB-Speicherstick verloren und möchten seinen Zugriff entfernen – können Sie dies mit dem Befehl block-device tun.

Wir müssen die Geräte-ID kennen. Wir können dies finden, indem wir die zulässigen Geräte auflisten. Beachten Sie, dass diese Nummer möglicherweise nicht mit der Nummer übereinstimmt, die Sie zum Hinzufügen der Regel zur Liste verwendet haben. Überprüfen Sie dies daher, bevor Sie den Befehl block-device ausführen.

 sudo usbguard list-devices -a 

Abrufen der ID-Nummer eines USB-Geräts mit dem Befehl list-devices

In unserem Fall lautet die ID „13“. Wir werden dies mit dem Befehl block-device und der Option -p (permanent) verwenden, um seinen Zugriff für immer zu entfernen.

 sudo usbguard block-device 13 -p 

Dauerhaftes Sperren des Zugriffs eines USB-Geräts mit dem Befehl block-device

Beachten Sie, dass dies das Gerät sofort trennt. Verwenden Sie diesen Befehl nur, wenn Sie mit der Verwendung von Daten auf dem Gerät fertig sind.


USBGuard bietet Ihnen eine effiziente und robuste Möglichkeit, die Kontrolle darüber zu übernehmen und zu verwalten, welche USB-Geräte auf Ihrem Computer verwendet werden können.

Es ist Ihr Computer, also ist es nur fair, dass Sie die Wahl haben.

VERWANDT: So mounten und unmounten Sie Speichergeräte vom Linux-Terminal