我是一名学校老师,我想在学生之间以及不同的操作系统之间共享 USB 中文件。
特别是我想设置一个写入/更改密码,而 USB 的内容任何人都可以读取。这是为了防止恶意软件的传播。
是否可以?
答案1
因为此驱动器将在您无法控制的系统上使用,或者不是 Linux 并且不支持 Linux 权限方案,所以您在这里有点不走运。
然而,如果没有专门的设备,就没有真正的方法可以在磁盘上实现您想要的密码保护,而且这通常不是一种具有成本效益的解决方案(如下所述)。
请注意,我是一名 IT 安全专家,因此如果我在这里的消息和回复中显得贬低或斥责,我并不是那个意思,我只是在安全方面吹毛求疵,因为我的工作就是这样。
(如果您不想听我抱怨您所引入的所有安全风险,请向下滚动到下面的“如果您真的想要一种安全的方法来共享闪存驱动器......”部分。)
系统安全规则 0:如果您想限制恶意软件的风险,切勿共享 USB 驱动器!
我说这是规则 0,但这真的规则 0B- 规则 0A 涉及系统的物理访问。
但简单地说,这是一个主要的安全风险。尝试使用 USB 分发数据时,您将面临无法控制是否将恶意软件放入 USB 的风险。带有只读锁定开关的 USB 可以部分规避此风险,例如袋鼠FlashTrust 3.0,但只需拨动开关就可以轻松地将其转换为读/写状态。
作为一名安全专家,我强烈建议您提供一种非 USB 替代方法来访问班级的物品,例如 Box 帐户或由您的教育机构网络空间内的站点提供的文件。
另一种选择是完全写入、完全锁定的 CD/DVD,效果同样好,而且由于当您完全锁定设备时,它会完全写入并且没有多余的开放空间,因此磁盘将被视为“只读”。除非您需要共享大型文件,否则 DVD 选项可能不太适用。 然而,越来越多的设备在市场上不带 CD/DVD 驱动器,这意味着这也不是最理想的解决方案。
我还敢打赌,通过分发这个闪存驱动器,你会违反学校计算机系统上有关“授权设备”的一些规则,但我不能对此发表评论。
如果您确实想要一种安全的方法来共享闪存驱动器......
...你开始进入非常昂贵的设备,例如Apricorn Aegis SecureKey 3这是一种硬件加密的拇指驱动器,它允许您为管理员模式设置密码,但也提供只读用户密码作为设备上的辅助代码。这样,磁盘被锁定为非管理员的只读模式,以及管理员代码用户的读/写模式。
问题是昂贵的- 仅 16GB 加密棒就需要 129 美元 - 这主要是由于硬件加密设备的成本(但此类设备是为非常特殊的潜在用例而设计的,因此由于缺乏行业需求,更便宜的产品的可用性为零)。所以这是通常这不是一个划算的选择特别是当你不信任你的学生时。
但归根结底,确实没有一种简单、免费或经济有效的方法可以让您只使用普通的 USB 驱动器实现想要的功能,同时还能保持操作系统的交叉兼容性,而且即使这样,您也无法保证安全性。
问题在于,许多不同的操作系统被使用并发挥作用。即使操作系统不是因素,任何有root
权限的用户都可以授予自己访问权限,只要它是 Linux 格式的记忆棒,甚至设置了 Linux 权限。没有办法通过免费或低成本的解决方案实现 USB 记忆棒的安全性。
然而,这是地球上为数不多的通过云共享(Dropbox、Google Docs、Box,甚至 OwnCloud 实例)是正确的解决方案,因为仅下载文件不会有感染恶意软件的风险(除非文件本身是恶意软件)。(而上述云服务之一被您试图防范的恶意软件感染的可能性极低)
答案2
共享 CD 或 DVD 光盘。
可写入磁盘真的很便宜。驱动器也很便宜。购买一台外置 USB DVD 刻录机只需不到 30 美元,它可在任何现代计算机上使用,而且您可以将其借给没有驱动器的学生。
除了昂贵的磁盘外,其他磁盘都是一次性写入的,因此写入磁盘的数据无法重写。不过,您必须确保将磁盘写入其全部容量,否则磁盘上的文件系统可能会被修改或替换,方法是在空白区域写入更多数据。即使您确实留有空白空间,在光盘上传播的恶意软件也比在闪存驱动器上少。
这样做的缺点是,如果你想要共享的数据比几张磁盘所能容纳的数据要大(一张可写入的 DVD 大约有 4 GB 的容量),那么大容量的闪存驱动器比很多磁盘要方便得多。不过,我不认为这适用于你的情况。
答案3
从安全角度来看,共享物理媒体是一个糟糕的想法。即使您共享只读 CD,您的学生也可以简单地购买同一品牌的空白 CD,并在其上写入原始内容 + 恶意软件。您必须签名、盖章或以其他方式使您的媒体独一无二,以防止这种情况发生,理想情况下,您的学生应该只从您手中接受它,而不是彼此接受。否则,原始媒体可能会在一组学生(和您)之间传播,而假媒体将被交给另一组。
类似的伎俩也可以用在带有只读密码的加密驱动器上:一名学生可以保存驱动器映像,用相同的只读密码写入受感染的映像,然后将驱动器传给其他人。然后可以在将驱动器归还给您之前恢复原始映像。
为了防止此类威胁,您的学生必须从其他地方(如学校服务器)获取原始数据的数字签名,并知道如何验证它。事实上,将您想要共享的文件存储在您存储签名的服务器上会简单得多,使共享过程变得像给您的学生一个下载链接一样简单。
答案4
为什么你不直接将材料上传到某个网站,然后使用密码来分享呢?
如果你在同一个网络中,那就把它设为本地站点,否则免费上传站点就很多了