Как можно отключить доступ к CD-ROM и USB для обычных пользователей Linux?
В рамках политики безопасности нам необходимо отключить доступ к CD-ROM и USB для обычных пользователей. Только root-пользователи должны иметь доступ. В основном мы используем Ubuntu Linux.
Проще удалить пользователей из групп «cdrom» и «plugdev» в / etc / group.
Нашел решение моей проблемы.
Отключение USB
# mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /root
Отключение CDROM
# mv /lib/modules/$(uname -r)/kernel/drivers/cdrom/cdrom.ko /root
http://www.cyberciti.biz/faq/linux-disable-modprobe-loading-of-usb-storage-driver/
http://blog.ask4itsolutions.com/2010/05/07/disable-block-cddvd-rom-linux-rhel/
Как насчет попытки
chkconfig haldaemon off
Это не позволит обычному пользователю увидеть съемные носители. Только root сможет получить доступ к съемным носителям.
Самое простое, что я нашел, это просто:
sudo chmod 700 /media
Ubuntu монтирует съемные носители в / media, поэтому изменение разрешений для / media - самый простой способ предотвратить доступ. Это безопасное и легко обратимое решение.
Для простой защиты от неопытных пользователей должно хватить занесения в черный список модуля usb-storage:
modprobe -r usb-storage
echo blacklist usb-storage >> /etc/modprobe.d/blacklist
Проверять:
modprobe usb-storage
if ! lsmod | grep -q usb-storage; then echo Module is blacklisted; fi
Для CD-ROM просто удалите пользователя из группы cdrom. Тогда у пользователя не должно быть доступа к нему (в управлении пользователями есть расширенная вкладка, где вы можете снять этот флажок).
Мы с коллегой пробовали это на 64-битном настольном компьютере Ubuntu 10.04.
У нас был один администратор и один пользователь рабочего стола. Мы попытались удалить пользователя рабочего стола из cdrom и plugdev в / etc / group, но это не сработало.
Затем мы сделали admin / media. Затем мы chmodded / media, чтобы лайкнуть:
chmod 700 / медиа
Кажется, это работает. Кроме того, я не беспокоюсь о ручном монтировании пользователя рабочего стола, потому что у него нет прав.
Имеет ли это смысл? Вы, ребята, видите слабые места?
Раньше считалось, что в системах * nix это можно сделать, изменив разрешения на чтение и запись на узлах устройств. Я подозреваю, что вам нужно будет искать что-то более активное в Ubuntu - возможно, группы пользователей, которые предоставляют доступ к классам устройств, отключение аппаратных служб, таких как hal, или, возможно, изменение системы автоматического монтирования, чтобы все монтировалось только для привилегированных пользователей. USB будет сложнее, чем CDROM, потому что я предполагаю, что вы не хотите блокировать всю шину. Вы хотите, чтобы usb-мыши работали, а флеш-диски блокировались?