RAM 中的安全访客帐户(请检查)

RAM 中的安全访客帐户(请检查)

问题:

有时您需要检查家人或朋友的 USB 设备的内容,但您不知道它是否真的是安全的设备,即使它很可能是安全的。
您希望以最小的努力做到这一点,同时保护自己免受常见攻击媒介的侵害。

方法:

拥有更安全的访客用户,其主目录根据请求返回到其原始状态。

执行:

  1. 通过 GUI 创建新用户。
    这是一个标准(非管理员)用户。
    我们称此用户为guest

  2. 默认情况下,使用以下命令禁用用户:
    usermod --expiredate 1 guest

  3. 将 的内容复制~/guest到持久存储中的目录中。
    我们称此目录为/path/to/perst/guesthome

  4. 清空目录的所有内容~/guest

  5. init_guest.sh创建执行以下操作的脚本文件:

  • 清空目录的所有内容~/guest

  • 将 tmpfs 文件系统挂载到~/guest

  • 将目录:的内容复制(rsync,保持权限)
    /path/to/perst/guesthome
    到目录:
    ~/guest

  • 仅今天启用用户:
    usermod --expiredate $( date "+%Y-%m-%d" )

优点:

  • 对常见攻击(如 badUSB(模拟键盘)或危险可执行文件)提供一定程度的保护。(客户环境已刷新,因此不会对用户的初始化文件进行持久更改。)因此,检查外部和不受信任的 USB 设备的内容相对更安全。
  • 由于基本的 Linux 权限,个人用户的文件受到保护。
  • 对持久存储的影响最小(减少磨损)。
  • 能够轻松改变客人的初始环境。

这是否被认为是一种相对安全的方法,或者我忽略了一个问题?

相关内容