LinuxБезопасность

Как защитить ваши USB-порты в Linux

Как защитить ваши USB-порты в Linux

Универсальная последовательная шина (USB) — это палка о двух концах, которая произвела революцию в том, как мы взаимодействуем с нашими устройствами. Благодаря принципу «подключи и работай» передача данных между устройствами становится простой. USB-флешки не без недостатков. Они быстро стали средством заражения целых сетей вирусами и вредоносным ПО.

странно выглядящий USB
Изображение предоставлено: Marek R. Swadzba через Shutterstock.com

Введите устройство USB Kill, которое может полностью поджарить ваш USB-порт или уничтожить вашу материнскую плату. Это достигается за счет зарядки конденсаторов от USB-порта и поднятия брутального напряжения обратно в порт. Это происходит несколько раз, пока не отключится или хост не умрет.

Давайте посмотрим, как вы можете попытаться снизить риски от таких устройств.

Основы

Прежде чем мы перейдем к более мелким деталям, есть несколько простых правил:

  • Не вставляйте USB-накопители, которые вы нашли на полу.
  • Не вставляйте USB-накопители, предоставленные вам случайным человеком.
  • Попросите доверенных людей отправлять вам файлы через облако.
  • Не вставляйте USB-накопители , которые не от известных поставщиков, таких как Samsung, SanDisk и т. Д.
  • Не оставляйте свой компьютер без присмотра.

Этот список должен охватывать большинство случаев. Однако безопасность устройства USB все еще может быть улучшена.

Защитите свой BIOS

Если у вас есть машина, которую необходимо оставить без присмотра, получить доступ к ней будет относительно просто. Все, что нужно сделать, это создать загрузочный USB-накопитель и загрузиться с него в живую среду. Это даст им доступ ко всем незашифрованным файлам. В случае с Windows вы можете даже исключить пароли пользователей. Защита паролем вашей базовой системы ввода-вывода (BIOS) означает, что пароль должен быть введен даже до появления параметров загрузки.

Обратитесь к документации производителя вашего оборудования о том, как войти в BIOS. Обычно это делается путем многократного нажатия клавиши « Удалить» во время загрузки компьютера, но это зависит от производителя. Настройка пароля должна быть в разделе « Безопасность » вашего BIOS.

USBGuard имеет вашу спину

Вам нужно оставить ПК или сервер без присмотра? Если это так, вы можете предотвратить атаки с помощью точно названной утилиты USBGuard. Это разработано для защиты от вредоносных USB-устройств, также известных как BadUSB. Примеры включают устройства USB, которые могут эмулировать клавиатуру и выдавать команды вошедшему в систему пользователю. Эти устройства также могут подделывать сетевые карты и изменять настройки DNS компьютера для перенаправления трафика.

USBGuard по существу останавливает неавторизованные USB-устройства, внедряя базовые возможности создания черного и белого списков. В идеале вы не должны допускать никаких USB-устройств, кроме избранных, которым вы доверяете. При подключении USB-устройства или концентратора USBGuard сначала сканирует устройство. Затем он последовательно просматривает свой файл конфигурации, чтобы проверить, разрешено или отклонено это устройство. Отличительной особенностью USBGuard является то, что он использует функцию, которая реализована непосредственно в ядре Linux.

Если вы используете Ubuntu 16.10 или более позднюю версию, вы можете установить USBGuard, набрав:

sudo apt install usbguard 

Если вы находитесь на одном из старых * бантов, вы можете следовать инструкциям на GitHub [Больше не доступно]. Наш пример будет следовать простому разрешению, которое продемонстрирует, как авторизовать устройство с определенным идентификатором. Чтобы приступить к работе, используйте:

 usbguard generate-policy > rules.conf nano rules.conf 

Найдите минутку, чтобы ознакомиться с политикой, которая вот-вот будет добавлена. Этот шаг добавит и авторизует все, что в данный момент подключено к вашей машине. Вы можете удалить или закомментировать строки для устройств, которые вы не хотите авторизовать.

 sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf sudo systemctl restart usbguard 

Проверь это

К настоящему времени любое устройство, подключенное к вашей машине, не будет работать, даже если кажется, что оно обнаружено. Подключите USB-накопитель, чтобы убедиться в этом, запустив lsusb, чтобы получить список всех USB-устройств, подключенных к системе. Обратите внимание на идентификатор SanDisk, он понадобится нам позже.

убунту lsusb

Хотя устройство было обнаружено в Ubuntu, никаких признаков его монтирования нет !

Ubuntu Finder

Чтобы добавить это устройство в список авторизованных устройств, выполните следующее:

 sudo nano /etc/usbguard/rules.conf 

Теперь добавьте идентификатор SanDisk в файл rules.conf, чтобы установить его в качестве одного из авторизованных устройств.

правила убунту

Все, что нужно сейчас, это быстрый перезапуск службы USBGuard:

 sudo systemctl restart usbguard 

Теперь отключите и снова подключите USB-накопитель. USBGuard проверит rules.conf, распознает идентификатор как разрешенное устройство и разрешит его использование.

Ubuntu USB GUI обнаружен

Сразу же ваше устройство становится доступным для регулярного использования. Это был простой способ просто разрешить устройству его идентификатор . Чтобы по-настоящему конкретизировать, вы можете добавить правило в rules.conf следующим образом:

 allow 0781:5151 name "SanDisk Corp. Cruzer Micro Flash Drive" serial "0001234567" via-port "1-2" reject via-port "1-2" 

Приведенные выше правила разрешают только устройство, соответствующее этому идентификатору, имени, последовательному порту только на определенном порту. Правило отклонения не допускает подключения других устройств к этому порту. Варианты в значительной степени бесконечны, но можно ссылаться на онлайн.

Физическая Профилактика

USBGuard, вероятно, не защитит вас от печально известного USB Killer. Так что ты можешь сделать? Если у вас есть контроль над USB-портами и вам все еще нужно подключить некоторые сомнительные USB-накопители, некоторые решения доступны. Цена USB-концентратора относительно нового ноутбука является микроскопическим. Одним из огромных преимуществ использования такой опытной технологии является то, что ее аксессуары широко доступны и дешевы. Вы можете взять хороший фирменный и вместо того, чтобы подключать схематичные устройства непосредственно к вашей машине, подключите его через USB-концентратор. Если USB-накопитель будет USB Killer, он поджарит USB-концентратор и ваша машина будет в безопасности.

Другое решение для вашего варианта использования может быть USG . Устройство представляет собой аппаратный брандмауэр, который находится между подозрительным устройством USB и вашей машиной. Он совместим с мышами, клавиатурами и USB-накопителями. Он защитит вас от BadUSB, отфильтровывая вредоносные действия и передавая нужные вам данные.

Usg Ubuntu
Изображение предоставлено: Роберт Фиск

Разве это не перебор?

В зависимости от среды, в которой вы работаете, это может иметь место. Если вы можете позволить себе не подключать какое-либо устройство, над которым у вас нет полного контроля, и вы являетесь единственным человеком, имеющим доступ к вашей машине, то это будет лучшим вариантом. Серебряная накладка заключается в том, что помимо людей, пытающихся найти способы причинить вред, есть люди, которые также думают о способах предотвращения этого вреда.

Были ли когда-нибудь неудачные опыты с хитрыми USB-устройствами? Как вы гарантируете, что у вас или вашей компании есть безопасные меры USB? Дайте нам знать в комментариях ниже!

Кредиты изображений: Франтишек Кеклик / Shutterstock

Похожие посты
Безопасность

Лучшие 36 сочетаний клавиш для Microsoft Edge и IE 11

Linux

8 лучших окружений рабочего стола Linux

AndroidIphone и ipadLinuxWindows

Окончательное руководство по включению темного режима везде

LinuxКак сделать

Что такое Swappiness в Linux? (и как это изменить)