Re: Bloquear acesso a USB
Ou ele pode aproveitar um bug recém descoberto no kernel
(http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html),
que muito provavelmente ainda não foi corrigido no kernel antigo usado
nas máquinas e escalando privilégios virar root, desfazer a mudança, e
usar a USB normalmente.
Existem n possibilidades para um usuário mal intencionado e com bons
conhecimentos, mas acho que a idéia é apenas evitar a ação casual de
alguém não tão obstinado...
E ok Jackson, depois comente se funcionou...
André Nunes Batista
http://tagesuhu.wordpress.com/
2009/8/21 henry <jmhenrique@yahoo.com.br>:
>
>> Putz Andre... foi mal mesmo.. .nao li a linha toda. achei que era o
>> modulo do suporte a usb inteiro, e nao o de storage.
>> Desculpa ai. Fazer as coisas correndo é uma merda.
>> Vou testar e posto o resultado.
>>
>> Abraços
>>
>> 2009/8/21 André Nunes <andrenbatista@gmail.com>:
>> > .... foi exatamente o que eu disse no email...
>> >
>> >
>> >
>> >
>> > André Nunes Batista
>> >
>> > http://tagesuhu.wordpress.com/
>> >
>> > 2009/8/21 Jackson Rodrigo Braga <jacksonrb@gmail.com>:
>> >> Pessoal, olhem o que achei:
>> >> ++++++++++++++++++++++++++++++
>> >> The USB storage drive automatically detects USB flash or hard drives.
>> >> You can easily force and disable USB storage devices under any Linux
>> >> distribution. The modprobe program used for automatic kernel module
>> >> loading and can be configured to not load the USB storage driver upon
>> >> demand. This will prevent the modprobe program from loading the
>> >> usb-storage module, but will not prevent root (or another program)
>> >> from using the insmod program to load the module manually.
>> >>
>> >> Type the following command:
>> >> # echo 'install usb-storage : ' >> /etc/modprobe.conf
>> >> You can also remove USB Storage driver, enter:
>> >> # ls /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko
>> >> # mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko
>> >> /root ++++++++++++++++++++++++++++++
>> >> O que acham?
>> >>
>> >> 2009/8/21 RicardoFunke <ricardo.debian@gmail.com>:
>> >>> Sim, pode funcionar.
>> >>>
>> >>> Outra opção é caçar as regras relativas aos mounts usb em /etc/udev.d
>> >>> e comentá-las
>> >>>
>> >>> Ou desinstalar o pacote do gnome relativo a essa montagem automática,
>> >>> creio também que na última versão do gnome é possível configurar
>> >>> diversos níveis de restrição de acesso do usuário.
>> >>>
>> >>> 2009/8/21 Jackson Rodrigo Braga <jacksonrb@gmail.com>:
>> >>>> Andre, muito obrigado pelas opções, mas como o Ricardo disse, vamos
>> >>>> perder o teclado e o mouse.
>> >>>>
>> >>>> Vinicius, o fstab monta o que tiver lá.. complicado prever
>> >>>> dispositivos usb... Acho que se tirarmos o automount e restringir
>> >>>> acesso ao "mount" teremos sucesso.
>> >>>>
>> >>>> O que acham?
>> >>>>
>> >>>> 2009/8/21 André Nunes <andrenbatista@gmail.com>:
>> >>>>> Não tenho acesso a uma máquina Linux no momento para testar, mas acho
>> >>>>> que existem quatro saídas possíveis para o seu problema:
>> >>>>>
>> >>>>> A primeira é remover o driver de USB:
>> >>>>>
>> >>>>> # ls /lib/modules/$(uname
>> >>>>> -r)/kernel/drivers/usb/storage/usb-storage.ko # mv
>> >>>>> /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko
>> >>>>> /root
>> >>>>>
>> >>>>> A segunda seria usar a BIOS e desabilitar o acesso às portas (o
>> >>>>> problema é que você precisaria reiniciar para mudar essa
>> >>>>> configuração).
>> >>>>>
>> >>>>> A terceira seria usar o grub, adicionar "nousb" ao final da linha do
>> >>>>> kernel do arquivo grub.conf/menu.lst (depois da alteração seria
>> >>>>> necessário reiniciar o sistema).
>> >>>>>
>> >>>>> A quarta seria através dos grupos a que cada usuário pertence. Essa
>> >>>>> solução seria a ideal, mas não me lembro de cabeça se existe um grupo
>> >>>>> específico para USB (creio que não).
>> >>>>>
>> >>>>> André Nunes Batista
>> >>>>>
>> >>>>> http://tagesuhu.wordpress.com/
>> >>>>>
>> >>>>> 2009/8/21 Jackson Rodrigo Braga <jacksonrb@gmail.com>:
>> >>>>>> Ricardo, vou verificar, mas provavelmente são.
>> >>>>>> Podia ter um jeito entao de impedir a montagem de filesystems, pq o
>> >>>>>> que precisamos é que não possa ser colocado nenhum dispositivo que
>> >>>>>> permita entrada e principalmente saida de dados via USB.
>> >>>>>>
>> >>>>>> 2009/8/21 RicardoFunke <ricardo.debian@gmail.com>:
>> >>>>>>> Quem sabe colocando o módulo usb na blacklist pra ele não ser
>> >>>>>>> carregado
>> >>>>>>>
>> >>>>>>> Descubra qual o módulo relativo ao USB:
>> >>>>>>> # lsmod | grep -i usb
>> >>>>>>>
>> >>>>>>> Depois coloque-o na blacklist:
>> >>>>>>> # echo 'blacklist <nome_do_modulo>' >
>> >>>>>>> /etc/modprobe.d/blacklist-usb.conf
>> >>>>>>>
>> >>>>>>> Reinicia o computador e testa
>> >>>>>>>
>> >>>>>>> []'s
>> >>>>>>>
>> >>>>>>> 2009/8/21 Jackson Rodrigo Braga <jacksonrb@gmail.com>:
>> >>>>>>>> Lista,
>> >>>>>>>>
>> >>>>>>>> Alguem sabe me dizer como consigo bloquear (logicamente) o acesso
>> >>>>>>>> as portas USB. No caso é um thinclient, mas creio que a regra seja
>> >>>>>>>> geral. O TC é baseado em debian msm.
>> >>>>>>>>
>> >>>>>>>> Valeu
>> >>>>>>>>
>
> já considerou que algum usuário espete um dispositivo bluetooth usb e envie o
> que ele quiser para onde quiser ??? ou uma placa de rede usb? ou uma placa usb
> wireless?
> Se a idéia é saída de dados......em um ato desesperado e mto criativo depois
> de algumas tequilas, o usuário poderia colocar um hub entre o pc e a rede, e
> espetar um notebook com placa de rede em modo promiscuo.... ou um switch "de
> bolso", e um netbook... passar via scp ou via ftp ou via formulario http no
> navegador da estação mesmo...
>
>
> 2 centavos.
> [ ]s, Henry.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
Reply to: