Mandriva Fórum

Systém a serverové služby => Bezpečnost => : tomba January 24, 2012, 09:51:01



: Zabezpečení USB a slotu na paměťové karty proti vynesení dat
: tomba January 24, 2012, 09:51:01
Dobrý den,

chci se zeptat, jak je možné zabezpečit počítač, aby kromě roota z něj nemohl nikdo jiný zkopírovat jakákoliv data na USB flash disk, externí HDD nebo paměťovou kartu. Ideálně, aby to fungovalo i opačným směrem - tedy kopírovat cokoliv do počítače.

Používáme Mandrivu 2010.2 One.

Děkuji.


: Re: Zabezpečení USB a slotu na paměťové karty proti vynesení dat
: Peťoš January 24, 2012, 11:31:59
Ano, melo by stacit zakazat automount. Mrkni na msecgui, nekde by to tam byt myslim melo.


: Re: Zabezpečení USB a slotu na paměťové karty proti vynesení dat
: tomba January 24, 2012, 16:58:08
Bohužel tam volbu, která by v názvu nebo v popisku měla automount, nemůžu najít. Pomůžeš mě nasměrovat? Ideálně screenshotem nebo podrobnějším popisem, kde to je.

(Hledal jsem to v Control centru --- Bezpečnost --- Nastavit zabezpečení systému, oprávnění a audit --- záložka Nastavení zabezpečení --- podzáložky jsem projel všechny, nejspíš to má být v Zabezpečení systému, ale volbu, která by se toho mohla týkat prostě nevidím)

A ještě dotaz k tomu - když vypnu automount, nebudou moci uživatelé stále média připojit ručně (tedy kliknutím např. v Dolphinu)?


: Re: Zabezpečení USB a slotu na paměťové karty proti vynesení dat
: tomba January 26, 2012, 12:03:25
Pomohl by prosím někdo??


: Re: Zabezpečení USB a slotu na paměťové karty proti vynesení dat
: Ivan Bibr January 26, 2012, 17:22:19
No není to tak jednoduché, protože automount se již delší dobu nepoužívá - Peťoš zase mlží :).

Automatické připojení mají ve skutečnosti na starosti tři komponenty - udev (udělá zařízení v /dev/), dbus (pošle zprávu na sběrnici) a pak nějaká automount-démon daného prostředí (zachytí zprávu a nabídne nějaké akce). Podívejte se sem, kde jsou nástiny dvou zajímavých řešení:

http://forums.fedoraforum.org/showthread.php?t=252453

- jednak dát na blasklist modul usb-storage a pak upravit nastavení PolicyKity, který je právě pro toto určen. To první je mnohem jednodušší a dá se s tím žít. Mrkněte tam, je to zřejmé na první pohled.


: Re: Zabezpečení USB a slotu na paměťové karty proti vynesení dat
: Paur January 26, 2012, 19:55:37
Možná je to blbost, ale což takhle použít nastavení uživatelských účtů? Představoval bych si to tak, že by běžný uživatel nebyl ve skupině usb. Ovšem jak by to potom vypadalo s používáním jiných USB zařízení než výměnná média?
Snad se k tomu vyjádří někdo kompetentnější... ;) (nebo někdo vyzkoušejte!)


: Re: Zabezpečení USB a slotu na paměťové karty proti vynesení dat
: tomba January 26, 2012, 22:29:18
No není to tak jednoduché, protože automount se již delší dobu nepoužívá - Peťoš zase mlží :).

Automatické připojení mají ve skutečnosti na starosti tři komponenty - udev (udělá zařízení v /dev/), dbus (pošle zprávu na sběrnici) a pak nějaká automount-démon daného prostředí (zachytí zprávu a nabídne nějaké akce). Podívejte se sem, kde jsou nástiny dvou zajímavých řešení:

http://forums.fedoraforum.org/showthread.php?t=252453

- jednak dát na blasklist modul usb-storage a pak upravit nastavení PolicyKity, který je právě pro toto určen. To první je mnohem jednodušší a dá se s tím žít. Mrkněte tam, je to zřejmé na první pohled.

Mám udělat obě věci? I dát na blacklist, i upravit nastavení PolicyKitu?
Snažil jsem se najít i nějaké grafické nastavení PolicyKitu a zjistil jsem, že to je v "Nastavit vaše pracovní prostředí", záložka "Pokročilé" ikonka "Autorizace PolicyKit". Je tam dokonce i volba pod "hal" "Mount file systems from removable drives", kde se dá nastavit "Implicitní autorizace". Bohužel ať to změním jakkoliv, nejde mi to pak uložit. Zkoušel jsem to spustit i jako root (systemsettings), ale tam není ani ikonka k uložení/změně aktivní.

PS: vyzkoušel jsem vytvořit ten soubor, který zmiňují na fedoraforum a nic, stále mi jde připojit flash disk jako normálnímu uživateli.


: Re: Zabezpečení USB a slotu na paměťové karty proti vynesení dat
: Ivan Bibr January 27, 2012, 14:44:24
Stačí jen jedno, ten blacklist je dost drakonický ale podle mne nejjednodušší. V MDV by mělo stačit toto:

echo "blacklist usb_storage" > /etc/modprobe.conf

a reboot. Nemám to vyzkoušeno, nutno zkusit a po rebootu ověřit, jestli tam ten modul je nebo není (lsmod |grep usb_storage).

Když to bude potřebovat root, musí si zavést modul (insmod usb_storage) a po skončení práce ho zase odstranit (rmmod usb_storage).