Wie deaktiviere ich CD-ROM und USB für normale Benutzer unter Linux?

7

Wie kann der Zugriff auf CD-ROM und USB für normale Benutzer unter Linux deaktiviert werden?

Als Teil der Sicherheitsrichtlinie müssen wir den CD-ROM- und USB-Zugriff für normale Benutzer deaktivieren. Nur Root-Benutzer sollten Zugriff haben. Wir verwenden hauptsächlich Ubuntu Linux.

linux ubuntu security desktop optical-media Peter Mortensen
quelle
Warum ist das ein CW?
Chris S

Antworten:

12

Einfacher ist es, Benutzer aus den Gruppen 'cdrom' und 'plugdev' in / etc / group zu entfernen.

Askvictor
quelle
3

Ich habe eine Lösung für mein Problem gefunden.

USB deaktivieren

# mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /root

CD-ROM deaktivieren

# mv  /lib/modules/$(uname -r)/kernel/drivers/cdrom/cdrom.ko /root

http://www.cyberciti.biz/faq/linux-disable-modprobe-loading-of-usb-storage-driver/

http://blog.ask4itsolutions.com/2010/05/07/disable-block-cddvd-rom-linux-rhel/

Nitine
quelle
1
Aber dies wird den Zugriff auch für root deaktivieren, nicht wahr?
mkudlacek
Ja, root auch, aber root kann es leicht aktivieren, indem es sich zurückbewegt. Dies ist möglicherweise keine ideale Lösung, aber in meinem Fall ist es in Ordnung.
Nitins
2
Dies ist eine schlechteste Lösung (obige Lösung). Ich denke, die Leute müssen in ihre / etc / fstab-Datei schauen, um diese Art von Manipulation zu erhalten. Wenn sie die Option "nouser" aus der Zeile "cdrom / dvd" in der Datei / etc / fstab entfernen dann kann das gewünschte Ergebnis erzielt werden. Ausziehen und in solchen Modulen ist eine schlechte, sehr schlechte Option.
Unixbhaskar
1
Ja zustimmen. Die Antwort des Askvictor ist besser.
Nitins
2

Das einfachste, was ich gefunden habe, ist einfach:

sudo chmod 700 /media

Ubuntu stellt Wechselmedien in / media bereit, daher ist das Ändern der Berechtigungen für / media der einfachste Weg, um den Zugriff zu verhindern. Dies ist eine sichere und leicht umkehrbare Lösung.

dmm92
quelle
2

Wie wäre es zu versuchen

chkconfig haldaemon off

Dadurch wird verhindert, dass ein normaler Benutzer Wechselmediengeräte sieht. Nur root kann dann auf Wechselmedien zugreifen.

Alan
quelle
1

Für einen einfachen Schutz vor nicht fortgeschrittenen Benutzern sollte es ausreichen, das USB-Speichermodul auf die schwarze Liste zu setzen:

modprobe -r usb-storage
echo blacklist usb-storage >> /etc/modprobe.d/blacklist

Verifizieren:

modprobe usb-storage
if ! lsmod | grep -q usb-storage; then echo Module is blacklisted; fi

Für CD-ROM entfernen Sie einfach den Benutzer aus der Gruppe 'cdrom'. Dann sollte der Benutzer nicht darauf zugreifen können (in der Benutzerverwaltung gibt es eine erweiterte Registerkarte, auf der Sie diese Option deaktivieren können).

amsys
quelle
1

Mein Kollege und ich haben dies auf Ubuntu 10.04 64-Bit-Desktop versucht.

Wir hatten einen Administrator und einen Desktop-Benutzer. Wir haben versucht, den Desktop-Benutzer von cdrom und plugdev in / etc / group zu entfernen, aber das hat nicht funktioniert.

Wir haben dann admin own / media gemacht. Wir haben dann chmodded / media zu mögen:

chmod 700 / media

Das scheint zu funktionieren. Ich mache mir auch keine Sorgen über das manuelle Mounten von Desktop-Benutzern, da er keine Berechtigungen hat.

Macht das Sinn? Seht ihr irgendwelche Schwächen?

Ingenieurchuan
quelle
0

Früher war es so, dass Sie dies auf * nix-Systemen tun, indem Sie die Lese- / Schreibberechtigungen auf den Geräteknoten ändern. Ich vermute, Sie müssen nach etwas suchen, das mehr mit Ubuntu zu tun hat - vielleicht nach Benutzergruppen, die Zugriff auf Geräteklassen gewähren, Hardwaredienste wie hal deaktivieren oder das Automount-System ändern, damit die Dinge nur für privilegierte Benutzer bereitgestellt werden. USB wird komplizierter als CD-ROM, da ich davon ausgehe, dass Sie nicht den gesamten Bus blockieren möchten. Sie möchten, dass USB-Mäuse funktionieren, aber Flash-Festplatten blockiert werden, oder?

Caleb
quelle