Как блокировать доступ к USB и CD/DVD в Debian и его производных

Оригинал: How to Block access of USB and CD/DVD in Debian and Derivatives
Автор: Naga Ramesh
Дата публикации: 31 марта 2016 года
Перевод: А. Кривошей
Дата перевода: февраль 2017 г.

Сегодня в вопросах безопасности нельзя допускать компромиссов. Неважно, касается ли это офиса, дома, или любого другого места работы, настройки безопасности должны предотвращать несанкционированный доступ к вашей системе и заражение ее вирусами. Наиболее распространенный путь доступа к содержимому компьютера - порты USB. Они используются для передачи данных и различных сетевых соединений. Любой может попытаться украсть ваши данные с помощью флешки, или заразить вашу систему вирусами или шпионскими программами. Для обеспечения повышенного уровня безопасности вы можете заблокировать доступ к портам USB в вашей системе.
Для администратора Linux основным рабочим инструментом является командная строка. Мы также будем выполнять необходимые операции в терминале.

Для блокировки доступа к USB и CD-ROM можно использовать права доступа файловой системы. Обычно все съемные диски монтируются в /media.

Команда:

$ sudo chmod 700 /media

разрешает только пользователю root монтировать съемные диски.

Для разблокировки доступа используется следующая команда:

$ sudo chmod 755 /media

Второй способ - использование списка блокировки. Настроить его можно в файле blacklist.conf.
В Ubuntu или других дистрибутивах на базе Debian необходимо редактировать файл blacklist.conf в директории /etc/modprobe.d/.

Для редактирования файла blacklist.conf введите команду:

$ sudo gedit /etc/modprobe.d/blacklist.conf

Содержимое файла выглядит следующим образом:

# This file lists those modules which we don't want to be loaded by # alias expansion, usually so some other driver will be loaded for the # device instead. # evbug is a debug tool that should be loaded explicitly blacklist evbug # these drivers are very simple, the HID drivers are usually preferred blacklist usbmouse blacklist usbkbd # replaced by e100 blacklist eepro100 # replaced by tulip blacklist de4x5 # causes no end of confusion by creating unexpected network interfaces blacklist eth1394 # snd_intel8x0m can interfere with snd_intel8x0, doesn't seem to support much # hardware on its own (Ubuntu bug #2011, #6810) blacklist snd_intel8x0m # Conflicts with dvb driver (which is better for handling this device) blacklist snd_aw2 # causes failure to suspend on HP compaq nc6000 (Ubuntu: #10306) blacklist i2c_i801 # replaced by p54pci blacklist prism54 # replaced by b43 and ssb. blacklist bcm43xx # most apps now use garmin usb driver directly (Ubuntu: #114565) blacklist garmin_gps # replaced by asus-laptop (Ubuntu: #184721) blacklist asus_acpi # low-quality, just noise when being used for sound playback, causes # hangs at desktop session start (Ubuntu: #246969) blacklist snd_pcsp # ugly and loud noise, getting on everyone's nerves; this should be done by a # nice pulseaudio bing (Ubuntu: #77010) blacklist pcspkr # EDAC driver for amd76x clashes with the agp driver preventing the aperture # from being initialised (Ubuntu: #297750). Blacklist so that the driver # continues to build and is installable for the few cases where its # really needed. blacklist amd76x_edac

Добавьте следующие две строки в конец файла.

# Block access to USB
blacklist usb_storage

Сохраните и закройте файл, затем перезагрузите систему. Теперь порты USB отключены.

Для активации портов USB снова откройте файл, удалите эти строки (или закомментируйте их).

Еще один, более простой метод для добавления USB-дисков в список блокировки:

$ modprobe -r usb-storage
$ echo blacklist usb-storage >> /etc/modprobe.d/blacklist

Для блокировки CD-ROM просто удалите пользователя из группы "cdrom". После этого пользователь не сможет с ним работать.

---

---

---