Re: Bloquear acesso a USB

2009/8/21 Rodrigo Escobar <rescobarrj@gmail.com>

Luix Frederico III,

Eu topo fazer uma pesquisa em relacao a isso.. pode contar comigo.. se quiser entrar em contato. So mandar um e-mail para o meu e-mail pessoal.

O que me intriga eh o seguinte.. Que tipo de usuarios que voces estao falando?!

Voces estao falando de sniffer/analise de trafego de rede, utlizacao de exploits (se bem que qq imbecil consegue compilar e rodar um codigo), e tecnicas que nao sao la tao faceis de ser executadas por um usuario comum.

A firma de voces deve ser totalmente especializada para que os mesmos possam saber como fazer tudo isso nao?! Acho que ta rolando muita paranoia ai..

Tudo depende da politica de seguranca cara.. Se voce tem uma politica de seguranca bem estruturada e firme, voce tem um metodo firme e eficaz de tomar medidas possiveis caso alguem a burle.

Desabilitando o modulo no kernel ja estaria de bom tamanho.

E a protecao para que o usuario nao faca nada indevido deve vir antes do problema acontecer. Ex: utilizacao de exploits (Os daemons, kernel, etc devem estar de acordo para que essas falhas nao possam ser exploradas) e coisas do tipo.

Lembre-se bem.. quanto mais voce trava o sistema, mais voce emperra a agilidade do business. Tem que sempre haver um meio termo ai

2009/8/21 Luix Frederico III <luizgaertner@gmail.com>

Pessoal,

Desculpa aí me meter... creio que seja possível alterar o módulo para ele possibilitar o uso apenas de determinadas portas (0, 1 (teclado e mouse), uma vez que ele têm o mapeamento das portas existentes.

Isso daria um certo trabalho, para estudar o módulo e implementar a alteração, mas seria muito legal ter esse controle hein!? Se alguém estiver disposto em rachar esse desafio, eu topo! :0)

Abraço,

Frederico

2009/8/21 André Nunes <andrenbatista@gmail.com>

Ou ele pode aproveitar um bug recém descoberto no kernel
(http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html),
que muito provavelmente ainda não foi corrigido no kernel antigo usado
nas máquinas e escalando privilégios virar root, desfazer a mudança, e
usar a USB normalmente.

Existem n possibilidades para um usuário mal intencionado e com bons
conhecimentos, mas acho que a idéia é apenas evitar a ação casual de
alguém não tão obstinado...

E ok Jackson, depois comente se funcionou...

André Nunes Batista

http://tagesuhu.wordpress.com/

2009/8/21 henry <jmhenrique@yahoo.com.br>:

>
>> Putz Andre... foi mal mesmo.. .nao li a linha toda. achei que era o
>> modulo do suporte a usb inteiro, e nao o de storage.
>> Desculpa ai. Fazer as coisas correndo é uma merda.
>> Vou testar e posto o resultado.
>>
>> Abraços
>>
>> 2009/8/21 André Nunes <andrenbatista@gmail.com>:
>> > .... foi exatamente o que eu disse no email...
>> >
>> >
>> >
>> >
>> > André Nunes Batista
>> >
>> > http://tagesuhu.wordpress.com/
>> >
>> > 2009/8/21 Jackson Rodrigo Braga <jacksonrb@gmail.com>:
>> >> Pessoal, olhem o que achei:
>> >> ++++++++++++++++++++++++++++++
>> >> The USB storage drive automatically detects USB flash or hard drives.
>> >> You can easily force and disable USB storage devices under any Linux
>> >> distribution. The modprobe program used for automatic kernel module
>> >> loading and can be configured to not load the USB storage driver upon
>> >> demand. This will prevent the modprobe program from loading the
>> >> usb-storage module, but will not prevent root (or another program)
>> >> from using the insmod program to load the module manually.
>> >>
>> >> Type the following command:
>> >> # echo 'install usb-storage : ' >> /etc/modprobe.conf
>> >> You can also remove USB Storage driver, enter:
>> >> # ls /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko
>> >> # mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko
>> >> /root ++++++++++++++++++++++++++++++
>> >> O que acham?
>> >>
>> >> 2009/8/21 RicardoFunke <ricardo.debian@gmail.com>:
>> >>> Sim, pode funcionar.
>> >>>
>> >>> Outra opção é caçar as regras relativas aos mounts usb em /etc/udev.d
>> >>> e comentá-las
>> >>>
>> >>> Ou desinstalar o pacote do gnome relativo a essa montagem automática,
>> >>> creio também que na última versão do gnome é possível configurar
>> >>> diversos níveis de restrição de acesso do usuário.
>> >>>
>> >>> 2009/8/21 Jackson Rodrigo Braga <jacksonrb@gmail.com>:
>> >>>> Andre, muito obrigado pelas opções, mas como o Ricardo disse, vamos
>> >>>> perder o teclado e o mouse.
>> >>>>
>> >>>> Vinicius, o fstab monta o que tiver lá.. complicado prever
>> >>>> dispositivos usb... Acho que se tirarmos o automount e restringir
>> >>>> acesso ao "mount" teremos sucesso.
>> >>>>
>> >>>> O que acham?
>> >>>>
>> >>>> 2009/8/21 André Nunes <andrenbatista@gmail.com>:
>> >>>>> Não tenho acesso a uma máquina Linux no momento para testar, mas acho
>> >>>>> que existem quatro saídas possíveis para o seu problema:
>> >>>>>
>> >>>>> A primeira é remover o driver de USB:
>> >>>>>
>> >>>>> # ls /lib/modules/$(uname
>> >>>>> -r)/kernel/drivers/usb/storage/usb-storage.ko # mv
>> >>>>> /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko
>> >>>>> /root
>> >>>>>
>> >>>>> A segunda seria usar a BIOS e desabilitar o acesso às portas (o
>> >>>>> problema é que você precisaria reiniciar para mudar essa
>> >>>>> configuração).
>> >>>>>
>> >>>>> A terceira seria usar o grub, adicionar "nousb" ao final da linha do
>> >>>>> kernel do arquivo grub.conf/menu.lst (depois da alteração seria
>> >>>>> necessário reiniciar o sistema).
>> >>>>>
>> >>>>> A quarta seria através dos grupos a que cada usuário pertence. Essa
>> >>>>> solução seria a ideal, mas não me lembro de cabeça se existe um grupo
>> >>>>> específico para USB (creio que não).
>> >>>>>
>> >>>>> André Nunes Batista
>> >>>>>
>> >>>>> http://tagesuhu.wordpress.com/
>> >>>>>
>> >>>>> 2009/8/21 Jackson Rodrigo Braga <jacksonrb@gmail.com>:
>> >>>>>> Ricardo, vou verificar, mas provavelmente são.
>> >>>>>> Podia ter um jeito entao de impedir a montagem de filesystems, pq o
>> >>>>>> que precisamos é que não possa ser colocado nenhum dispositivo que
>> >>>>>> permita entrada e principalmente saida de dados via USB.
>> >>>>>>
>> >>>>>> 2009/8/21 RicardoFunke <ricardo.debian@gmail.com>:
>> >>>>>>> Quem sabe colocando o módulo usb na blacklist pra ele não ser
>> >>>>>>> carregado
>> >>>>>>>
>> >>>>>>> Descubra qual o módulo relativo ao USB:
>> >>>>>>> # lsmod | grep -i usb
>> >>>>>>>
>> >>>>>>> Depois coloque-o na blacklist:
>> >>>>>>> # echo 'blacklist <nome_do_modulo>' >
>> >>>>>>> /etc/modprobe.d/blacklist-usb.conf
>> >>>>>>>
>> >>>>>>> Reinicia o computador e testa
>> >>>>>>>
>> >>>>>>> []'s
>> >>>>>>>
>> >>>>>>> 2009/8/21 Jackson Rodrigo Braga <jacksonrb@gmail.com>:
>> >>>>>>>> Lista,
>> >>>>>>>>
>> >>>>>>>> Alguem sabe me dizer como consigo bloquear (logicamente) o acesso
>> >>>>>>>> as portas USB. No caso é um thinclient, mas creio que a regra seja
>> >>>>>>>> geral. O TC é baseado em debian msm.
>> >>>>>>>>
>> >>>>>>>> Valeu
>> >>>>>>>>
>
> já considerou que algum usuário espete um dispositivo bluetooth usb e envie o
> que ele quiser para onde quiser ??? ou uma placa de rede usb? ou uma placa usb
> wireless?
> Se a idéia é saída de dados......em um ato desesperado e mto criativo depois
> de algumas tequilas, o usuário poderia colocar um hub entre o pc e a rede, e
> espetar um notebook com placa de rede em modo promiscuo.... ou um switch "de
> bolso", e um netbook... passar via scp ou via ftp ou via formulario http no
> navegador da estação mesmo...
>
>
> 2 centavos.
> [ ]s, Henry.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>

--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org