我想限制 Debian 系统上通过 AppArmor 处理可移动存储所涉及的进程。
插入可移动存储设备 (USB) 时 Debian 使用哪些进程?我可以使用哪些工具和方法在本地发现这个(可能是新产生的进程)?
答案1
您可以使用以下内容乌德夫规则来检测何时USB已插入,然后 USB 已插入符号链接到USB设备将创建在/dev/tusb将/tmp/usb_plugged.sh执行脚本以获取进程列表:
1- 在以下位置创建 udev 规则/etc/udev/rules.d/99-usb.rules:
SUBSYSTEM=="usb", ACTION=="add", ENV{DEVTYPE}=="usb_device", SYMLINK+="tusb", RUN+="/tmp/usb_plugged.sh"
2-添加以下脚本/tmp/usb_plugged.sh:
#!/bin/bash
## Wait for certain time in case of autorun
sleep 10
## Get list of processes using the usb device block symlink and write the output to /tmp/processes.txt
lsof -Fp /dev/tusb | tr -d '^p' > /tmp/processes.txt
3-添加脚本执行权限:
chmod +x /tmp/usb_plugged.sh
4- 最后,插入 USB 进行测试。