Slik beskytter du USB-portene på Linux

Den Universal Serial Bus (USB) Hva er USB Type-C? Hva er USB Type-C? Ah, USB-kontakten. Det er så allestedsnærværende nå som det er beryktet for aldri å kunne bli plugget inn riktig første gang. Les mer er det dobbeltkledde sverdet som revolusjonerte måten vi kobler til med våre enheter. Dens plug and play natur har gjort overføring av data mellom enheter enkle. USB-pinner er imidlertid ikke uten sine feil. De ble raskt mediet for å infisere hele nettverk med virus og malware.

Skriv inn USB Kill-enheten, som helt kan steke USB-porten eller ødelegge hovedkortet ditt. Det oppnår dette ved å lade kondensatorene fra USB-porten og brenne den brutale spenningen tilbake til porten. Dette skjer flere ganger til unplugged, eller verten dør.

La oss ta en titt på hvordan du kan forsøke å redusere risikoen fra slike enheter.

Det grunnleggende

Før vi går inn i de finere detaljene, er det noen enkle tommelfingerregler du kan følge:

• Ikke sett inn USB-stasjoner du fant på forlatt på gulvet.
• Ikke sett inn USB-stasjoner som er gitt til deg av en tilfeldig person.
• Be betroede personer til å sende deg filer via skyen.
• Ikke sett inn USB-stasjoner Hvordan passordbeskyttes og krypterer en flash-stasjon: 5 enkle metoder Hvordan passordbeskyttes og krypterer en flash-enhet: 5 enkle metoder Trenger du å opprette en kryptert USB-minnepinne? Her er de beste gratis verktøyene for å passordbeskytte og kryptere USB-flash-stasjonen. Les mer som ikke er fra kjente leverandører som Samsung, SanDisk, etc.
• Ikke la datamaskinen være uovervåket.

Denne listen skal dekke de fleste tilfeller. Men sikkerheten til USB-enheten kan fortsatt forbedres.

Beskytt BIOS

I tilfelle du har en maskin som må stå uovervåket, er å få tilgang til nevnte maskin relativt enkel. Alt du trenger å gjøre er å lage en oppstartbar USB-stasjon og starte opp fra stasjonen til et levende miljø. Dette vil gi dem tilgang til alle ukrypterte filer. I tilfelle av Windows kan du til og med tømme ut brukerens passord. Passordbeskytte ditt grunnleggende inngangsutgangssystem (BIOS) Slik skriver du inn BIOS på datamaskinen Slik skriver du inn BIOS på datamaskinen Innenfor BIOS kan du endre grunnleggende datamaskininnstillinger, som oppstartsrekkefølgen. Den nøyaktige nøkkelen du må streik avhenger av maskinvaren din. Vi har samlet en liste over strategier og nøkler for å skrive inn ... Les mer betyr at et passord må angis selv før oppstartsalternativene vises.

Rådfør deg med maskinvareprodusentens dokumentasjon om hvordan du går inn i BIOS. Vanligvis gjøres det ved å trykke flere ganger på Slett nøkkel når datamaskinen starter opp, men dette varierer mellom produsenter. Passordinnstillingen bør være under Sikkerhet delen i BIOS.

USBGuard har din bakside

Trenger du å forlate en PC eller server uten tilsyn? I så fall kan du forhindre angrep med et passende navn, USBGuard. Dette er designet for å beskytte mot ondsinnede USB-enheter også kjent som BadUSB. Din USB-enheter er ikke trygge igjen, takket være BadUSB. Din USB-enheter er ikke trygge igjen, takket være BadUSB Les mer. Eksempler er USB-enheter som kan emulere et tastatur og utstede kommandoer til en logget bruker. Disse enhetene kan også spoof nettverkskort og endre datamaskinens DNS-innstillinger for å omdirigere trafikk.

USBGuard stopper i hovedsak uautoriserte USB-enheter ved å implementere grunnleggende blacklisting og whitelisting evner. Ideelt sett ville du ikke tillate noen USB-enheter bortsett fra et fåtall som du stoler på. Når du kobler til en USB-enhet eller hub, vil USBGuard skanne enheten først. Det ser deretter sekvensielt ut på konfigurasjonsfilen for å sjekke om enheten er tillatt eller avvist. Den gode tingen om USBGuard er at den bruker en funksjon som implementeres direkte i Linux-kjernen.

Hvis du kjører Ubuntu 16.10 eller senere, kan du installere USBGuard ved å skrive:

sudo apt install usbguard

Hvis du er på en av de eldre * buntusene, kan du følge instruksjonene på GitHub [Ikke lenger tilgjengelig]. Vårt eksempel vil følge en enkel tillate som vil demonstrere hvordan du autoriserer en enhet med et bestemt ID. For å komme i gang, bruk:

usbguard genereringspolitikk> rules.conf nano rules.conf

Ta et øyeblikk for å se gjennom retningslinjene som skal legges til. Dette trinnet vil legge til og godkjenne alt som er koblet til maskinen din. Du kan fjerne eller kommentere linjene for enhetene du ikke vil autorisere.

sudo installere -m 0600 -o root-g root rules.conf /etc/usbguard/rules.conf sudo systemctl restart usbguard

Sett det på prøve

Nå vil alle enheter du kobler til maskinen, ikke fungere, selv om det ser ut til å ha blitt oppdaget. IPlug i en USB-stasjon for å bekrefte dette ved å kjøre lsusb å liste opp alle USB-enheter som er koblet til systemet. Vær oppmerksom på SanDisk-ID, vi trenger dette senere.

Selv om enheten har blitt oppdaget i Ubuntu, er det ingen tegn på at den blir montert. Slik monterer du en USB-flashenhet i Linux og din Raspberry Pi. Slik monterer du en USB-flashenhet i Linux og din Raspberry Pi. La oss ta en titt på problemene rundt USB-enheter og SD-kort med populære distros (vi bruker Ubuntu) og mindre utbredte distroer, for eksempel Raspberry Pi's Raspbian Jessie operativsystem. Les mer !

For å legge til denne enheten i listen over autoriserte enheter, kjør følgende:

sudo nano /etc/usbguard/rules.conf

Legg nå SanDisk-ID-en til rules.conf fil for å angi den som en av de autoriserte enhetene.

Alt som trengs nå er en rask omstart av USBGuard-tjenesten:

sudo systemctl restart usbguard

Koble fra nå, og koble deretter til USB-stasjonen igjen. USBGuard vil sjekke rules.conf, gjenkjenne ID som en tillatt enhet, og la den bli brukt.

Umiddelbart blir enheten tilgjengelig for vanlig bruk. Dette var en enkel metode for bare å tillate enheten ved sin id. For å bli veldig spesifikk kan du legge til en regel til rules.conf langs disse linjene:

tillat 0781: 5151 navn "SanDisk Corp. Cruzer Micro Flash Drive" seriell "0001234567" via-port "1-2" avvise via-port "1-2"

Ovennevnte regler tillater bare en enhet som samsvarer med ID, navn, serie kun på en bestemt port. Avvisningsregelen vil ikke tillate noen annen enhet koblet til den porten. Alternativene er ganske uendelige, men kan henvises til på nettet.

Fysisk profylakse

USBGuard sannsynligvis ikke kommer til å beskytte deg mot den beryktede USB Killer. Så hva kan du gjøre? Hvis du har kontroll over USB-porter og fortsatt trenger å koble til noen tvilsomme USB-stasjoner, er det noen tilgjengelige løsninger. Prisen på et USB-hub 3 Grunner til at du trenger et USB-hub (eller kanskje du ikke) 3 grunner til at du trenger et USB-hub (eller kanskje du ikke) Nesten alle enheter bruker disse USB-portene på en eller annen måte en annen. Som sådan kan en USB-hub vise seg utrolig nyttig for de fleste. Her er noen grunner til at du kanskje vil ha en. Les mer i forhold til en ny bærbar datamaskin er mikroskopisk. En av de store fordelene med å bruke en slik erfaren teknologi er at det er tilbehør som er allment tilgjengelig og billig. Du kan få tak i en god merkevare, og i stedet for å koble til sketchy enheter direkte inn i maskinen, koble den inn via USB-huben. Skulle USB-stasjonen være en USB-killer, vil den steke USB-huben og maskinen din vil være trygg.

En annen løsning på brukskassen din kan være USG. Enheten er en maskinvare brannmur som sitter mellom en mistenkelig USB-enhet og maskinen. Den er kompatibel med mus, tastatur og USB-minnepinner. Det beskytter deg mot BadUSB ved å filtrere den skadelige aktiviteten, og passere gjennom dataene du trenger.

Er ikke dette overkill?

Avhengig av miljøet du jobber med, kan dette være tilfelle. Hvis du har råd til å ikke plukke inn en enhet som du ikke har full kontroll over, og du er den eneste personen som har tilgang til maskinen din, så ville dette være best mulig. Sølvfôr er at i tillegg til at folk prøver å finne måter å gjøre skade på, er det også folk som tenker på måter å forhindre at skade på.

Har noen gang hatt noen dårlige erfaringer med dodgy USB-enheter? Hvordan sikrer du at du eller din bedrift har sikre USB-tiltak? Gi oss beskjed i kommentarene nedenfor!

Bildekreditter: Frantisek Keclik / Shutterstock

Utforsk mer om: Datasikkerhet, USB.