Заблокировать модули uas и usb storage

Обновлено: 05.07.2024

Оригинал: How to Block access of USB and CD/DVD in Debian and Derivatives
Автор: Naga Ramesh
Дата публикации: 31 марта 2016 года
Перевод: А. Кривошей
Дата перевода: февраль 2017 г.

Сегодня в вопросах безопасности нельзя допускать компромиссов. Неважно, касается ли это офиса, дома, или любого другого места работы, настройки безопасности должны предотвращать несанкционированный доступ к вашей системе и заражение ее вирусами. Наиболее распространенный путь доступа к содержимому компьютера - порты USB. Они используются для передачи данных и различных сетевых соединений. Любой может попытаться украсть ваши данные с помощью флешки, или заразить вашу систему вирусами или шпионскими программами. Для обеспечения повышенного уровня безопасности вы можете заблокировать доступ к портам USB в вашей системе.
Для администратора Linux основным рабочим инструментом является командная строка. Мы также будем выполнять необходимые операции в терминале.

Для блокировки доступа к USB и CD-ROM можно использовать права доступа файловой системы. Обычно все съемные диски монтируются в /media.

разрешает только пользователю root монтировать съемные диски.

Для разблокировки доступа используется следующая команда:

Второй способ - использование списка блокировки. Настроить его можно в файле blacklist.conf.
В Ubuntu или других дистрибутивах на базе Debian необходимо редактировать файл blacklist.conf в директории /etc/modprobe.d/.

Для редактирования файла blacklist.conf введите команду:

Содержимое файла выглядит следующим образом:

Добавьте следующие две строки в конец файла.

Сохраните и закройте файл, затем перезагрузите систему. Теперь порты USB отключены.

Для активации портов USB снова откройте файл, удалите эти строки (или закомментируйте их).

Еще один, более простой метод для добавления USB-дисков в список блокировки:

Для блокировки CD-ROM просто удалите пользователя из группы "cdrom". После этого пользователь не сможет с ним работать.

Мне нужно заблокировать все USB-накопители (флешки и мобильные устройства), но мне нужен доступ к USB-клавиатуре и USB-мыши.

Я уже пробовал редактировать /etc/modprobe.d/blacklist.conf , добавляя черный список usb_storage , но все же система может получить доступ к USB-устройствам.

4 ответа

Я нашел в Ubuntu 16.04, некоторой триггерной погрузке pendrives драйвер ядра uas.ko (USB Приложенный драйвер SCSI). И зависимость от драйвера ядра uas.ko usb_storage.ko.

Следовательно, eventhough я имел blacklist usb_storage в /etc/modprobe.d/blacklist.conf , , usb_storage.ko все еще был загружен на основании зависимости в uas.ko

После размещения в:

в /etc/modprobe.d/blacklist.conf , доступ к тем pendrives больше не работает ( uas.ko & usb_storage.ko больше не загружается) в рабочей системе.

Принимают во внимание для осуществления этого во время начальной загрузки ядра, нужно было бы также сделать приблизительно модификациями строки личинки/ядра из некоторого подобного вида в ссылке.

usb-storage.ko является драйвером Массового хранения USB для операционной системы Linux. Вы видите, что файл вводит следующую команду:

Все, что необходимо сделать, отключают или удаляют драйвер usb-storage.ko для ограничения USB-устройствами использования на Linux, такими как:

  1. клавиатуры USB
  2. мыши USB
  3. перьевой диск USB
  4. жесткий диск
  5. USB Другая блочная система хранения USB

опция

BIOS можно также отключить USB от системы параметр конфигурации BIOS. Удостоверьтесь, что BIOS защищен паролем. Этому рекомендуют опцию так, чтобы никто не мог загрузить ее от USB.

опция

Grub можно избавиться от всех USB-устройств путем отключения поддержки ядра USB через GRUB. Откройте grub.conf или menu.lst и добавьте "nousb" к строке ядра следующим образом (взятый от RHEL 5.x):

Удостоверяются, что Вы удаляете любую другую ссылку на устройство хранения данных usb в личинке или grub2 файлах конфигурации. Сохраните и закройте файл. После того, как сделанный просто перезагружают систему:

Anonim

Мне нужно заблокировать все USB-накопители (флешки и мобильные устройства), но мне нужен доступ к USB-клавиатуре и USB-мыши.

Я уже пробовал редактировать /etc/modprobe.d/blacklist.conf добавлением blacklist usb_storage но все же система может получить доступ к USB-устройствам.

  • Какая у вас версия Ubuntu?
  • Ubuntu 13.10 и пробовал в Ubuntu 16.04LTS

Я обнаружил в Ubuntu 16.04, что некоторые pendrives запускают срабатывание uas.ko драйвер ядра (USB-драйвер SCSI). И зависимость драйвера ядра от uas.ko является usb_storage.ko.

Следовательно, хотя у меня было blacklist usb_storage в /etc/modprobe.d/blacklist.conf , usb_storage.ko все еще был загружен в силу зависимости от uas.ko

После размещения в:

в /etc/modprobe.d/blacklist.conf , доступ к этим накопителям больше не работает (uas.ko & usb_storage.ko больше не загружается) в работающей системе.

Имейте в виду, что для принудительного выполнения этого во время загрузки ядра также потребуется внести некоторые изменения в строку grub / ядра аналогичного типа в ссылке.

Другой: чтобы отключить USB-накопитель, создайте следующий файл и отредактируйте его в своем любимом текстовом редакторе.

Внутри этого файла добавьте следующую строку.

После сохранения этой строки в /etc/modprobe.d/usb-storage.conf файл, вам нужно будет выполнить перезагрузку, чтобы завершить процесс. После перезагрузки, если вы подключите запоминающее устройство USB, вы не сможете получить к нему доступ.

  • У меня это не работает в Ubuntu 18.04
  • Это сработало для меня.

Usb-storage.ko - это драйвер USB Mass Storage для операционной системы Linux. Вы можете увидеть, как файл набирает следующую команду:

Все, что вам нужно сделать, это отключить или удалить драйвер usb-storage.ko, чтобы ограничить использование USB-устройств в Linux, таких как:

  1. USB-клавиатуры
  2. USB-мыши
  3. USB-накопитель
  4. Жесткий диск USB
  5. Другое блочное хранилище USB

Вариант BIOS

Вы также можете отключить USB в параметре конфигурации системы BIOS. Убедитесь, что BIOS защищен паролем. Это рекомендуемый вариант, чтобы никто не мог загрузить его с USB.

Вариант Grub

Убедитесь, что вы удалили любые другие ссылки на usb-хранилище в файлах конфигурации grub или grub2. Сохраните и закройте файл. После этого просто перезагрузите систему:

Надеюсь это поможет.

  • grub.conf или же menu.lst ? Это похоже на решение GRUB 1. Ubuntu использует GRUB 2 с 9.10 и имеет разные файлы конфигурации (как расположение, так и синтаксис).
  • 4 но мне нужен доступ к USB-клавиатуре и USB-мыши
  • я спросил все USB-накопители

на /etc/modprobe.d/blacklist.conf Добавить

отключите также мод uas, я не знаю, почему необходимо занести модуль в черный список протокола uas, но он сработал для меня

Как запретить использование флешки в Windows

Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.

В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.

Запрет подключения USB флешек с помощью редактора локальной групповой политики

Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).

Шаги по блокировке использования USB накопителей будут следующими:

  1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
  2. Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
  3. Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
  4. Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.

На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.

Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра

Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:

Запретить доступ к USB накопителю в реестре

  1. Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
  2. В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
  3. Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем
  4. В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
  5. Установите значение 1 для созданных параметров.

Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).

Дополнительная информация

Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:

Запрет доступа к устройствам MTP и PTP

  • Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы , и в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
  • Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
  • Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестраизмените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.

Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.

Читайте также: