问题:
有时您需要检查家人或朋友的 USB 设备的内容,但您不知道它是否真的是安全的设备,即使它很可能是安全的。
您希望以最小的努力做到这一点,同时保护自己免受常见攻击媒介的侵害。
方法:
拥有更安全的访客用户,其主目录根据请求返回到其原始状态。
执行:
通过 GUI 创建新用户。
这是一个标准(非管理员)用户。
我们称此用户为guest
。默认情况下,使用以下命令禁用用户:
usermod --expiredate 1 guest
将 的内容复制
~/guest
到持久存储中的目录中。
我们称此目录为/path/to/perst/guesthome
。清空目录的所有内容
~/guest
。init_guest.sh
创建执行以下操作的脚本文件:
清空目录的所有内容
~/guest
。将 tmpfs 文件系统挂载到
~/guest
。将目录:的内容复制(rsync,保持权限)
/path/to/perst/guesthome
到目录:
~/guest
仅今天启用用户:
usermod --expiredate $( date "+%Y-%m-%d" )
优点:
- 对常见攻击(如 badUSB(模拟键盘)或危险可执行文件)提供一定程度的保护。(客户环境已刷新,因此不会对用户的初始化文件进行持久更改。)因此,检查外部和不受信任的 USB 设备的内容相对更安全。
- 由于基本的 Linux 权限,个人用户的文件受到保护。
- 对持久存储的影响最小(减少磨损)。
- 能够轻松改变客人的初始环境。
这是否被认为是一种相对安全的方法,或者我忽略了一个问题?