我在安全团队工作,我们正在尝试锁定我们的系统。我们正在寻找一种技术解决方案来锁定媒体刻录、USB 阻止等。我发现了 USBdeview,但它只允许我在使用拇指驱动器后阻止它。有什么开源或 COTS 可以尝试在我们的环境中使用吗?我们深受 Debian 的影响。谢谢!
答案1
这完全取决于你想阻止什么。没有现成的工具来配置这一点,大多数限制这一点的方法都是系统范围的限制。我将分享一些关于如何阻止某些事情的信息
USB 存储介质:阻止所有 USB 存储设备
我在全职工作中遇到的一个混乱问题是,我们想禁用除系统上的少数设备之外的 USB 存储设备。采用该解决方案,我们可以使 USB 存储设备无法运行,无法挂载或可见。它还将解除与 sysfs 的绑定,但理论上也将允许使用非存储设备(键盘、鼠标)。 我目前没有额外的系统来测试这些规则,而且它们是在 12.04 时代左右编写的,所以它们可能不再按预期发挥作用。
创造
/etc/udev/rules.d/100-unbind-usb-storage.rules在新文件中添加以下规则:
KERNELS=="[1-9]*-[0-9]*", SUBSYSTEM=="block", ENV{ID_BUS}=="usb", ENV{IF_STORAGE_REMOVE_ME}="1" ENV{IF_STORAGE_REMOVE_ME}=="1", RUN+="/bin/sh -c 'echo -n %k >/sys%p/driver/unbind'"重新启动系统以使这些规则生效。只要您的计算机连接了 USB 设备(即“阻止”设备(存储),它就会触发解除绑定规则,基本上会断开 USB 设备的连接。没有超级用户权限的任何人都无法“重新绑定”该设备,即使他们拔下并重新插入该设备。
USB 存储介质阻止规则基于我六年前提出的关于 UDEV 阻止 USB 设备的方法的答案 -udev 规则仅允许一个供应商和型号的 USB 驱动器,而不允许其他驱动器
CD/光学媒体:不允许使用驱动器(即删除/禁用驱动程序)
sr除非您的用户被授予系统的超级用户权限,否则您可以简单地删除光学媒体列出的设备的 SCSI 连接(如果您想要更现代化,则是 SATA)的内核模块。
echo "blacklist sr_mod" >> /etc/modprobe.d/blacklist-sr_mod.conf
这将把sr_mod内核模块列入黑名单,导致 CD/DVD/Bluray 光驱无法使用。
我没有测试该解决方案的真实性,因为我没有连接光学介质的设备,甚至没有外部光学介质读取器/写入器设备。
内核黑名单答案的来源:https://serverfault.com/a/448725/74939