RESTRINGIR
EL USO DE DISPOSITIVOS USB EN LINUX
Los
que trabajan con usuarios en instituciones que requieren determinadas
restricciones, bien sea para garantizar un nivel
de seguridad, o por
alguna idea u orden “de arriba” (como decimos acá), muchas veces
necesitan implementar algunas restricciones de acceso en los
ordenadores, aquí les hablaré específicamente sobre restringir o
controlar el acceso a dispositivos de almacenamiento USB.
Restringir
USB mediante modprobe (no me funcionó)
Esta
es una práctica no precisamente nueva, consiste en añadir el módulo
usb_storage a la lista negra (blacklist) de los módulos del kernel
que se cargan, sería:
echo
usb_storage > $HOME/blacklist
sudo
mv $HOME/blacklist /etc/modprobe.d/
Luego
reiniciamos el ordenador y listo.
Aclarar
que aunque todos comparten esta alternativa como la solución más
eficaz, en mi Arch no me funcionó
Deshabilitar
USB quitando el driver del kernel (no me funcionó)
Otra
opción sería quitarle el driver USB al kernel, para ello ejecutamos
el siguiente comando:
sudo
mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb* /root/
Reiniciamos
y listo.
Esto
lo que hará será que el archivo que contiene los drivers para USB
que usa el kernel lo moverá hacia otra carpeta (/root/).
Si
desean deshacer este cambio bastará con:
sudo
mv /root/usb* /lib/modules/$(uname -r)/kernel/drivers/usb/storage/
Esta
forma tampoco me funcionó, por algún motivo los USB me seguían
funcionando.
Restringir
el acceso a dispositivos USB cambiando permisos de /media/ (SI me
funcionó)
Esta
es hasta ahora el método que sí me funciona sin dudas. Como deben
saber, los dispositivos USB se montan en /media/ o … si tu distro
usa systemd, se montan en /run/media/
Lo
que haremos será cambiarle los permisos a /media/ (o /run/media/)
para que SOLO el usuario root pueda acceder a su contenido, para ello
bastará:
sudo
chmod 700 /media/
ó
… si usas Arch u alguna distro con systemd:
sudo
chmod 700 /run/media/
[infp]Claro,
deben tener en cuenta que solo el usuario root tenga permisos para
montar dispositivos USB, pues entonces el usuario podría montar el
USB en otra carpeta y burlar nuestra restricción.[/info]
Una
vez hecho esto, los dispositivos USB al ser conectados sí, se
montarán, pero no le aparecerá notificación alguna al usuario, ni
podrá acceder directamente a la carpeta ni nada.
Fin!
Hay
algunas otras formas explicadas en la red, por ejemplo mediante Grub
… pero, adivinen, no me funcionó tampoco :)
Publico
tantas opciones (aún cuando no todas me funcionaron a mí) porque un
conocido mío se compró una cámara digital en una tienda
online de productos de tecnología en Chile, recordó aquel
script spy-usb.sh que hace un tiempo aquí expliqué (que
recuerdo, sirve para espiar dispositivos USB y robar información de
estos) y me preguntó si había alguna forma de evitar que se
sustrajera información de su nueva cámara, o al menos alguna opción
para bloquear los dispositivos USB en su ordenador de casa.
En
fin, que esto si bien no es una protección para su cámara contra
todos los ordenadores en la que la pueda conectar, al menos sí podrá
proteger la PC de casa de que se saque información sensible mediante
dispositivos USB.
Espero
les haya sido (como siempre) de utilidad, si alguien conoce algún
otro método para denegar el acceso a los USB en Linux y claro, le
funciona sin problemas, que nos deje saber.
Entradas
0 comentarios:
Publicar un comentario