Linux中的普通用户如何禁止访问CD-ROM和USB?
作为安全策略的一部分,我们需要为普通用户禁用CD-ROM和USB访问。 只有root用户才能访问。 我们主要使用Ubuntu Linux。
更容易的是从/ etc / group中的“cdrom”和“plugdev”组中删除用户。
find了解决我的问题。
禁用USB
# mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /root 禁用CDROM
# mv /lib/modules/$(uname -r)/kernel/drivers/cdrom/cdrom.ko /root
http://www.cyberciti.biz/faq/linux-disable-modprobe-loading-of-usb-storage-driver/
http://blog.ask4itsolutions.com/2010/05/07/disable-block-cddvd-rom-linux-rhel/
我发现的最简单的就是:
sudo chmod 700 /media
Ubuntu将可移动媒体安装在/ media中,因此更改/ media的权限是防止访问最简单的方法。这是一个安全且易于修复的解决scheme。
如何尝试
chkconfig haldaemon off
这将防止普通用户看到可移动媒体设备。 只有root才能访问可移动媒体。
对于非高级用户的简单保护,将USB存储模块列入黑名单应该足够了:
modprobe -r usb-storage echo blacklist usb-storage >> /etc/modprobe.d/blacklist
核实:
modprobe usb-storage if ! lsmod | grep -q usb-storage; then echo Module is blacklisted; fi
对于CD-ROM,只需从“cdrom”组中删除用户。 然后用户不应该能够访问它(在用户pipe理中有一个高级选项卡,您可以取消选中此选项)。
我的同事和我在Ubuntu 10.04 64位桌面上尝试这个。
我们有一个pipe理员用户和一个桌面用户。 我们尝试从/ etc / group中的cdrom和plugdev中删除桌面用户,但是这并不起作用。
然后我们做了pipe理员自己的/媒体。 然后,我们修改/媒体喜欢:
chmod 700 /媒体
这似乎工作。 另外,我并不担心桌面用户手动安装,因为他没有权限。
这有道理吗? 你们看到任何弱点吗?
它曾经是在* nix系统上,你可以通过改变设备节点上的读写权限来做到这一点。 我怀疑你将需要寻找一些更加涉及到Ubuntu的东西 – 可能是允许访问设备类的用户组,禁用诸如hal之类的硬件服务,或者可能改变自动挂载系统,使得事物仅被挂载给特权用户。 USB将比CDROM更复杂,因为我假设你不想阻塞整个总线。 你想USB鼠标工作,但闪存磁盘被阻止的权利?