Cara Melindungi Komputer Linux Anda Dari Drive USB Nakal
Diterbitkan: 2023-01-23Stik memori USB dapat digunakan untuk mencuri data dari komputer Linux Anda. USBGuard memungkinkan Anda menetapkan aturan yang mengatur penggunaan stik memori USB, seperti firewall untuk perangkat penyimpanan USB. Inilah cara kerjanya dan bagaimana Anda dapat mengaturnya.
USB Memory Stick dan Bahayanya
Apa itu USBGuard?
Perilaku Normal Dengan Stik USB di Linux
Menginstal USBGuard
Mengonfigurasi Kebijakan Dasar
Menambahkan Perangkat USB Lain
Menghapus Akses Perangkat USB
USB Memory Stick dan Bahayanya
Kita semua mungkin memiliki setidaknya satu stik memori USB atau perangkat penyimpanan USB seperti drive eksternal USB. Mereka murah, efektif, portabel, dan mudah digunakan.
Saat ini Anda cukup mencolokkan satu ke komputer Linux Anda untuk mengidentifikasinya sebagai perangkat penyimpanan dan dipasang secara otomatis. Lewat sudah hari-hari harus memasangnya dengan tangan di baris perintah. Kenyamanan ini berarti siapa pun dapat memasukkannya ke komputer Linux dan menyalin data dari drive USB ke komputer, atau dari komputer ke stik memori.
Jika orang lain menggunakan komputer Anda, Anda mungkin ingin membatasi apa yang dapat mereka lakukan dengan stik memori USB. Jika komputer Anda ada di rumah Anda, tidak mungkin seorang oportunis dengan niat jahat akan lewat saat komputer Anda menyala dan tanpa pengawasan, tetapi itu bisa terjadi di tempat kerja.
Tetapi bahkan dengan komputer di rumah keluarga Anda, Anda mungkin ingin membatasi akses USB. Mungkin anak-anak Anda secara teratur memiliki teman untuk bermain. Mengunci akses USB adalah tindakan pencegahan yang masuk akal untuk menghentikan mereka dari menyebabkan masalah secara tidak sengaja.
Ketika seseorang menemukan drive USB, ada keinginan langsung untuk menghubungkannya ke sesuatu untuk melihat apa yang ada di dalamnya. Ancaman dunia maya yang menargetkan komputer Linux jauh lebih jarang daripada yang dirancang untuk komputer Windows, tetapi masih ada.
Apa itu USBGuard?
USBGuard dapat melindungi Anda dari ancaman berbasis perangkat lunak yang didistribusikan pada stik memori USB yang disusupi, seperti BadUSB, tempat serangan dimulai saat Anda dimanipulasi untuk membuka apa yang tampak seperti dokumen tetapi dapat dieksekusi secara tersamar. USBGuard tidak dapat melindungi Anda dari ancaman berbasis perangkat keras seperti perangkat USB Killer yang menyebabkan kerusakan fisik pada komputer Anda dengan melepaskan pelepasan tegangan tinggi ke dalam mesin Anda.
Sebenarnya, USBGuard memungkinkan Anda mengatur aturan untuk semua jenis perangkat USB yang berbeda, termasuk mouse, webcam, dan keyboard. Ini bukan hanya untuk stik memori USB. Komputer Anda mengetahui ID dari setiap perangkat USB, sehingga Anda dapat memilih perangkat USB mana yang berfungsi di komputer Anda, dan mana yang tidak. Ini seperti firewall untuk konektivitas USB.
Peringatan: Daemon USBGuard berjalan segera setelah diinstal. Pastikan Anda mengonfigurasi USBGuard langsung setelah menginstalnya. Jika tidak, semua perangkat USB Anda akan diblokir saat Anda menyalakan ulang komputer.
Perilaku Normal Dengan Stik USB di Linux
Sebelum kami melakukan apa pun, kami akan memeriksa perilaku default di komputer Ubuntu 22.10 kami. Ini adalah proses yang sederhana. Kami memasukkan stik memori USB dan melihat apa yang terjadi.
Kami mendengar suara peringatan, dan ikon stik memori muncul di dok.
Membuka browser file menunjukkan entri telah ditambahkan ke daftar lokasi di sidebar. Nama yang ditampilkan adalah nama yang diberikan ke perangkat saat diformat.
Membuka terminal dan menggunakan perintah lsusb
mencantumkan perangkat USB yang terhubung. Entri teratas adalah memory stick yang dimaksud, yang merupakan perangkat bermerek TDK.
lsusb
TERKAIT: Cara Daftar Perangkat Komputer Anda Dari Terminal Linux
Menginstal USBGuard
USBGuard memiliki ketergantungan pada usbutils
dan udisks2
. Pada build Manjaro, Fedora, dan Ubuntu terbaru yang kami uji, ini sudah diinstal.
Untuk menginstal USBGuard di Ubuntu, gunakan perintah ini:
sudo apt install usbguard
Di Fedora Anda perlu mengetik:
sudo dnf instal usbguard
Di Manjaro, perintahnya adalah:
sudo pacman -S usbguard
Mengonfigurasi Kebijakan Dasar
USBGuard memiliki trik yang rapi. Ini memiliki perintah yang membuat aturan yang memungkinkan semua perangkat USB yang terhubung saat ini terus bekerja tanpa hambatan. Artinya, Anda dapat membuat konfigurasi dasar untuk semua perangkat yang selalu dibutuhkan. Seperangkat aturan ini disebut kebijakan dasar.
USBGuard menggunakan tiga jenis aturan.
- Izinkan : Izinkan aturan mengizinkan perangkat tertentu untuk beroperasi tanpa hambatan, seperti biasa. Ini digunakan untuk perangkat yang selalu terhubung, seperti keyboard berkabel, mouse, trackball, webcam, dan sebagainya. Itu juga digunakan untuk perangkat yang terhubung sebentar-sebentar, dan yang dikenal dan dipercaya.
- Blokir : Aturan blok mencegah perangkat USB beroperasi. Perangkat USB sama sekali tidak terlihat oleh pengguna.
- Tolak : Aturan penolakan juga mencegah perangkat USB beroperasi, tetapi perangkat USB dapat dilihat oleh pengguna menggunakan
lsusb
.
USBGuard memiliki trik yang rapi. Ini memiliki perintah yang akan membuat kebijakan dasar dengan aturan izinkan untuk setiap perangkat USB yang terhubung saat ini . Ini adalah cara yang bagus untuk mengonfigurasi perangkat yang selalu terhubung ke komputer Anda dengan cepat, seperti keyboard dan webcam. Ini juga merupakan cara mudah untuk merekam perangkat tepercaya dan terputus-putus. Pastikan saja semua perangkat tepercaya Anda terhubung ke komputer saat Anda mengeluarkan perintah.
Keanehan aneh mengharuskan Anda melakukan ini sebagai root. Menggunakan sudo
dengan perintah tidak berfungsi. Kita perlu menggunakan perintah sudo -i
(login) untuk membuka shell sebagai root, lalu mengeluarkan perintah. Pastikan Anda menggunakan perintah exit
untuk meninggalkan sesi login root setelah Anda selesai.
sudo -i
usbguard generate-policy -X -t reject > /etc/usbguard/rules.conf
KELUAR
Opsi -X
(–no-hash) mencegah USBGuard menghasilkan atribut hash untuk setiap perangkat. Opsi -t
(target) menetapkan target default untuk semua perangkat USB yang tidak dikenal. Dalam kasus kami, kami telah memilih "tolak". Kami juga bisa memilih "blok".
Untuk melihat aturan baru kita, kita bisa menggunakan cat
.
sudo cat /etc/usbguard/rules.conf
Di komputer uji kami, ini mendeteksi tiga perangkat USB dan membuat aturan "izinkan" untuk perangkat tersebut. Itu menambahkan "tolak" sebagai target untuk semua perangkat USB lainnya.
Menambahkan Perangkat USB Lain
Sekarang, jika kita memasang stik memori USB yang sama dengan yang kita gunakan sebelumnya, itu tidak diizinkan untuk beroperasi. Itu tidak ditambahkan ke dok, tidak ditambahkan ke browser file, dan kami tidak mendapatkan peringatan suara.
Namun karena kita menggunakan target "tolak" untuk perangkat yang tidak dikenal, lsusb
dapat mencantumkan detailnya.
lsusb
Jika kami menggunakan target "blokir" dalam kebijakan dasar kami, kami perlu menggunakan perintah list-devices
dengan opsi -b
(perangkat yang diblokir).
sudo usbguard daftar-perangkat -b
Ini menunjukkan perangkat USB yang saat ini terhubung, tetapi diblokir.
Kami akan menggunakan beberapa informasi dari perintah ini untuk mengizinkan perangkat USB kami yang ditolak memiliki akses sementara atau akses permanen. Untuk memberikan akses sementara ke perangkat kami, kami akan menggunakan nomor ID perangkat. Dalam contoh kita ini adalah “10.”
sudo usbguard memungkinkan-perangkat 10
Perangkat kami terhubung dan muncul di dok dan browser file. Jika kami meminta USBGuard untuk mencantumkan perangkat yang diblokir, tidak ada yang terdaftar.
sudo usbguard daftar-perangkat -b
Kita dapat membuat izin permanen dengan menggunakan opsi -p
(permanen). Ini menciptakan aturan bagi kami dan menambahkannya ke kebijakan kami.
sudo usbguard memungkinkan-perangkat 10 -p
Kami sekarang dapat menggunakan perangkat USB ini seperti biasa.
Menghapus Akses Perangkat USB
Jika Anda berubah pikiran tentang perangkat USB—mungkin Anda kehilangan stik memori USB dan ingin menghapus aksesnya—Anda dapat melakukannya dengan perintah block-device
.
Kita perlu mengetahui ID perangkat. Kami dapat menemukannya dengan mencantumkan perangkat yang diizinkan. Perhatikan bahwa nomor ini mungkin tidak sama dengan nomor yang Anda gunakan untuk menambahkan aturan ke daftar, jadi periksa sebelum Anda mengeluarkan perintah block-device
.
sudo usbguard daftar-perangkat -a
Dalam kasus kami, ID-nya adalah "13". Kami akan menggunakan ini dengan perintah blokir perangkat, dan opsi -p
(permanen), untuk menghapus aksesnya selamanya.
sudo usbguard blok-perangkat 13 -p
Perhatikan bahwa ini segera memutus perangkat. Hanya gunakan perintah ini setelah Anda selesai menggunakan data apa pun di perangkat.
USBGuard memberi Anda cara yang efisien dan tangguh untuk mengendalikan, dan mengelola, perangkat USB mana yang dapat digunakan di komputer Anda.
Ini komputer Anda, jadi wajar jika Anda bisa memilih.
TERKAIT: Cara Memasang dan Melepas Perangkat Penyimpanan dari Terminal Linux