Cum să vă protejați computerul Linux de unități USB necinstite
Publicat: 2023-01-23Stick-urile de memorie USB pot fi folosite pentru a fura date de pe computerul dvs. Linux. USBGuard vă permite să stabiliți reguli care guvernează utilizarea stick-urilor de memorie USB, cum ar fi un firewall pentru dispozitivele de stocare USB. Iată cum funcționează și cum îl puteți configura.
Stick-ul de memorie USB și pericolele sale
Ce este USBGuard?
Comportament normal cu stick-uri USB pe Linux
Instalarea USBGuard
Configurarea unei politici de bază
Adăugarea unui alt dispozitiv USB
Eliminarea accesului unui dispozitiv USB
Stick-ul de memorie USB și pericolele sale
Probabil că toți avem cel puțin un stick de memorie USB sau un dispozitiv de stocare USB, cum ar fi o unitate externă USB. Sunt ieftine, eficiente, portabile și ușor de utilizat.
În zilele noastre, puteți conecta unul la computerul dvs. Linux pentru a-l identifica ca dispozitiv de stocare și montat automat. S-au dus zilele în care trebuia să le montezi manual pe linia de comandă. Această comoditate înseamnă că oricine poate pune unul într-un computer Linux și poate copia datele de pe unitatea USB pe computer sau de pe computer pe stick-ul de memorie.
Dacă alte persoane vă folosesc computerul, este posibil să doriți să limitați ceea ce pot face cu stick-urile de memorie USB. Dacă computerul este în casa ta, este puțin probabil ca un oportunist cu intenții rău intenționate să treacă pe lângă computerul tău pornit și nesupravegheat, dar asta se poate întâmpla la locul de muncă.
Dar chiar și cu un computer în casa familiei dvs., este posibil să doriți să limitați accesul USB. Poate că copiii tăi au în mod regulat prieteni la joacă. Blocarea accesului USB este o precauție sensibilă pentru a le împiedica să cauzeze probleme din neatenție.
Când cineva găsește o unitate USB, există o dorință imediată de a o conecta la ceva pentru a vedea ce este pe ea. Amenințările cibernetice care vizează computerele Linux sunt mult mai rare decât cele concepute pentru computerele Windows, dar încă există.
Ce este USBGuard?
USBGuard vă poate proteja împotriva amenințărilor bazate pe software care sunt distribuite pe stick-uri de memorie USB compromise, cum ar fi BadUSB, unde atacul începe atunci când sunteți manipulat să deschideți ceea ce arată ca un document, dar este un executabil deghizat. USBGuard nu vă poate proteja împotriva amenințărilor bazate pe hardware, cum ar fi dispozitivele USB Killer, care provoacă daune fizice computerului dvs. prin eliberarea unei descărcări de înaltă tensiune în aparat.
De fapt, USBGuard vă permite să configurați reguli pentru tot felul de dispozitive USB diferite, inclusiv șoareci, camere web și tastaturi. Nu este doar pentru stick-uri de memorie USB. Computerul cunoaște ID-ul fiecărui dispozitiv USB, așa că puteți alege ce dispozitive USB funcționează pe computer și care nu. Este ceva ca un firewall pentru conectivitate USB.
Avertisment: demonul USBGuard rulează imediat ce este instalat. Asigurați-vă că configurați USBGuard imediat după instalare. Dacă nu, toate dispozitivele USB vor fi blocate atunci când reporniți computerul.
Comportament normal cu stick-uri USB pe Linux
Înainte de a face ceva, vom verifica comportamentul implicit pe computerul nostru Ubuntu 22.10. Este un proces simplu. Introducem un stick de memorie USB și vedem ce se întâmplă.
Auzim un sunet de alertă sonor și o pictogramă stick de memorie apare în dock.
Deschiderea browserului de fișiere arată că o intrare a fost adăugată la lista de locații din bara laterală. Numele afișat este cel dat dispozitivului când a fost formatat.
Deschiderea unui terminal și utilizarea comenzii lsusb
listează dispozitivele USB conectate. Intrarea de sus este stick-ul de memorie în cauză, care se întâmplă să fie un dispozitiv marca TDK.
lsusb
LEGATE: Cum să enumerați dispozitivele computerului dvs. de la terminalul Linux
Instalarea USBGuard
USBGuard are dependențe de usbutils
și udisks2
. Pe cele mai recente versiuni Manjaro, Fedora și Ubuntu pe care le-am testat, acestea erau deja instalate.
Pentru a instala USBGuard pe Ubuntu, utilizați această comandă:
sudo apt install usbguard
Pe Fedora trebuie să tastați:
sudo dnf instalează usbguard
Pe Manjaro, comanda este:
sudo pacman -S usbguard
Configurarea unei politici de bază
USBGuard are un truc frumos. Are o comandă care creează o regulă care permite tuturor dispozitivelor USB conectate în prezent să continue să lucreze nestingherite. Aceasta înseamnă că puteți crea o configurație de bază pentru toate dispozitivele întotdeauna solicitate. Acest set de reguli se numește o politică de bază.
USBGuard folosește trei tipuri de reguli.
- Permite : regulile de permitere permit unui dispozitiv specificat să funcționeze nestingherit, în mod normal. Acesta este utilizat pentru dispozitivele care sunt întotdeauna conectate, cum ar fi tastaturi cu fir, mouse-uri, trackball-uri, camere web și așa mai departe. Este, de asemenea, utilizat pentru dispozitivele care sunt conectate intermitent și care sunt cunoscute și de încredere.
- Blocare : regulile de blocare împiedică funcționarea dispozitivelor USB. Dispozitivul USB nu este deloc vizibil pentru utilizator.
- Respingere : regulile de respingere împiedică și dispozitivele USB să funcționeze, dar dispozitivul USB este vizibil pentru utilizator care utilizează
lsusb
.
USBGuard are un truc frumos. Are o comandă care va crea o politică de bază cu o regulă de permis pentru fiecare dintre dispozitivele USB conectate în prezent . Aceasta este o modalitate excelentă de a configura rapid dispozitivele care sunt întotdeauna conectate la computer, cum ar fi tastaturile și camerele web. Este, de asemenea, o modalitate convenabilă de a captura dispozitive de încredere, intermitente. Doar asigurați-vă că toate dispozitivele dvs. de încredere sunt conectate la computer atunci când lansați comanda.
O ciudată ciudată vă cere să faceți acest lucru ca root. Folosirea sudo
cu comanda nu funcționează. Trebuie să folosim comanda sudo -i
(login) pentru a deschide un shell ca root, apoi lansăm comanda. Asigurați-vă că utilizați comanda exit
pentru a părăsi sesiunea de conectare la rădăcină după ce ați terminat.
sudo -i
usbguard generate-policy -X -t reject > /etc/usbguard/rules.conf
Ieșire
Opțiunea -X
(–no-hash) împiedică USBGuard să genereze atribute hash pentru fiecare dispozitiv. Opțiunea -t
(țintă) setează o țintă implicită pentru toate dispozitivele USB nerecunoscute. În cazul nostru, am ales „respingeți”. De asemenea, am fi putut alege „bloch”.
Pentru a vedea noile noastre reguli, putem folosi cat
.
sudo cat /etc/usbguard/rules.conf
Pe computerul nostru de testare, acesta a detectat trei dispozitive USB și a creat reguli de „permitere” pentru ele. A adăugat „respingere” ca țintă pentru toate celelalte dispozitive USB.
Adăugarea unui alt dispozitiv USB
Acum, dacă conectăm același stick de memorie USB pe care l-am folosit mai devreme, nu este permis să funcționeze. Nu este adăugat în dock, nu este adăugat în browserul de fișiere și nu primim o alertă sonoră.
Dar pentru că am folosit o țintă de „respingere” pentru dispozitive nerecunoscute, lsusb
poate lista detaliile acesteia.
lsusb
Dacă am fi folosit o țintă „blocare” în politica noastră de bază, ar trebui să folosim comanda list-devices
cu opțiunea -b
(dispozitive blocate).
sudo usbguard list-devices -b
Aceasta arată dispozitivele USB conectate în prezent, dar blocate.
Vom folosi unele dintre informațiile din această comandă pentru a permite dispozitivului nostru USB respins să aibă acces temporar sau acces permanent. Pentru a oferi dispozitivului nostru acces temporar, vom folosi numărul de identificare al dispozitivului. În exemplul nostru, acesta este „10”.
sudo usbguard allow-device 10
Dispozitivul nostru este conectat și apare în dock și în browserul de fișiere. Dacă cerem USBGuard să listeze dispozitivele blocate, niciunul nu este listat.
sudo usbguard list-devices -b
Putem face permisiunea permanentă utilizând opțiunea -p
(permanentă). Acest lucru creează o regulă pentru noi și o adaugă la politica noastră.
sudo usbguard allow-device 10 -p
Acum putem folosi acest dispozitiv USB ca de obicei.
Eliminarea accesului unui dispozitiv USB
Dacă vă răzgândiți cu privire la un dispozitiv USB - poate ați pierdut un stick de memorie USB și doriți să eliminați accesul acestuia - puteți face acest lucru cu comanda block-device
.
Trebuie să știm ID-ul dispozitivului. Putem găsi acest lucru listând dispozitivele permise. Rețineți că acest număr ar putea să nu fie același cu cel pe care l-ați folosit pentru a adăuga regula la listă, așa că verificați înainte de a lansa comanda block-device
.
sudo usbguard list-devices -a
În cazul nostru, ID-ul este „13”. Vom folosi acest lucru cu comanda bloc-dispozitiv și cu opțiunea -p
(permanentă), pentru a-i elimina pentru totdeauna accesul.
sudo usbguard block-device 13 -p
Rețineți că acest lucru deconectează imediat dispozitivul. Utilizați această comandă numai când ați terminat de utilizat orice date de pe dispozitiv.
USBGuard vă oferă o modalitate eficientă și robustă de a prelua controlul și de a gestiona dispozitivele USB care pot fi utilizate pe computer.
Este computerul tău, așa că este corect să alegi.
LEGATE: Cum să montați și să demontați dispozitivele de stocare de pe terminalul Linux