Як безпечно вставити USB-накопичувач / пристрій на комп'ютер Linux?

Під час вставлення USB-накопичувача чи пристрою на комп'ютер завжди є ризик, що пристрій зловмисне, діятиме як HID і потенційно може завдати шкоди комп'ютеру. Як я можу запобігти цій проблемі? Чи достатньо відключення HID на конкретному порту USB? Як це зробити?

— Мартін Гералецький
джерело

Напишіть власні правила udev.

— Іпор Сірсер

(сторонне позначення: він також може бути представлений як мережевий пристрій з DHCP на іншому кінці; він також може спробувати створити сплеск для смаження материнської плати)

— Ульріх Шварц

Я, певно, запитав би це на сайті security.stackexchange.com ...

— thecarpy

Будь-який підтримуваний пристрій увімкнено за замовчуванням. Це по суті не є проблемою, оскільки як штрихи, так і мережеві пристрої можуть бути саме тим, що ви хочете використовувати. Визначити шкідливість з ядра набагато складніше.

— Zip

Як я безпечно досліджую USB-накопичувач, знайдений на стоянці на роботі?

— Каміль Маціоровський

Відповіді:

Встановіть USBGuard - він забезпечує основу для авторизації USB-пристроїв перед їх активацією. Він може спливати сповіщення, коли ви підключаєте новий пристрій, запитуючи, що вам робити; і він може зберігати постійні правила для відомих пристроїв, тому вам не доведеться підтверджувати знову і знову. Правила визначаються за допомогою вичерпної мови з підтримкою будь-якого атрибута USB (включаючи серійний номер, порт вставки ...), тому ви можете писати правила, настільки ж конкретні, як вам потрібно - білий список цієї клавіатури, якщо у неї є цей ідентифікатор, цей серійний номер , підключений до цього порту тощо

— Стівен Кітт
джерело

Що робить відомі пристрої "відомими"? Він зберігає їх ідентифікатор чи щось таке? Хіба це теж не можна підробити?

— Мартін Гералецький

Відомі пристрої підбираються за допомогою багатою мовою умов , ви можете бути настільки ж конкретними, як вам хочеться (включаючи серійний номер USB, порт вставки ...). Будь-що може бути підробленим, але якщо ви протистоять противнику, який з'ясовує те, що ви внесли в білий список, ви, ймовірно, все одно втратили. (Звичайно, ви ніколи не можете додавати в білий список окрім своєї клавіатури, якщо ви дійсно хочете відтворити її безпечно.)

— Стівен Кітт

Акцент на вашій клавіатурі, а не "будь-який USB клавіатури».

— grawity

Щоб завершити іншу відповідь, слід знати, що ви ніколи не можете повністю захистити комп’ютер від шкідливих USB-пристроїв. Існувало декілька перевірених концепцій і доступних у продажу пристроїв, таких як USB Killer, який може буквально обсмажити порт або материнську плату.

Програмне забезпечення ніколи не зможе захистити від цього, і завжди є шанс, що він може бути вразливим. Якщо вам справді потрібен сильний захист, зробіть порти фізично недоступними (наприклад, подумайте банкомати).

— Баптистський канделябр
джерело

Я думаю, що ОП мав на увазі пристрої, які не намагаються фізично знищити комп’ютер чи його власника. В іншому випадку трохи сибірської виразки буде достатньо, щоб зробити склоочисник проблемою безпеки.

— 9ilsdx 9rvj 0lo

Я думаю, що це все ще актуально, хоча --- впевнено, це не буде проблемою у всіх (більшості) ситуацій, але все-таки добре пам’ятати, якщо ви не довіряєте своєму користувачеві, що має на увазі питання.

— Баптистський канделябр

Так, я питав переважно про безпеку програмного забезпечення. Захист від обсмажування моєї материнської плати USB, звичайно, різна річ. Але дякую, що все-таки згадали про це.

— Мартін Гералецький

ОП спеціально згадує пристрої HID, на які ваша відповідь повністю не вдається вирішити.

— Дмитро Григор’єв

Список відомих Vid: ProductId може бути доданий як "авторизований" Авторизований USB. Але ви повинні знати про USB- запірники

— vikram_u_k
джерело