Версия от 08:45, 31 марта 2023; Filskiy (обсуждение | вклад) (Новая страница: «В связи с требованиями информационной безопасности, иногда возникает вопрос, связанный с ограничением подключения внешних носителей по USB порту.<br> <u>Методика:</u> создать в udev правило, которое будет блокировать все флешки, серийник которых не внесён в п...»)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)

Вопросы:Ограничение на подключение USB носителей

Материал из Юпитер-8

В связи с требованиями информационной безопасности, иногда возникает вопрос, связанный с ограничением подключения внешних носителей по USB порту.
Методика: создать в udev правило, которое будет блокировать все флешки, серийник которых не внесён в правило. 1. Запустить терминал. Перейти в каталог /etc/udev/rules.d: cd /etc/udev/rules.d
2. Запустить любой доступный редактор с правами root, например, sudo nano 3. Внести в файл следующие записи: 

ACTION!="add", GOTO="dont_remove_usb"
ENV{ID_BUS}!="usb", GOTO="dont_remove_usb"
ENV{ID_TYPE}!="disk", GOTO="dont_remove_usb"
ENV{ID_SERIAL_SHORT}=="008D7DC64", GOTO="dont_remove_usb"
ENV{ID_BUS}=="usb", RUN+="/bin/sh -c 'echo 1 > /sys$DEVPATH/device/delete'"
LABEL="dont_remove_usb"

Пояснение:
1. Если действие не add, то выходим (выходим путем отсылки интерпретатора командой GOTO к метке, расположенной в самом конце файла). 2. Если подключается устройство не usb, то выходим. 3. Если подключенное usb устройство не типа disk, то выходим. Это важный нюанс, т.к. без этой опции отключается вся usb переферия - клавиатуры, мышки и т.д. Во всяком случае, на тестовой реальной машине было так. А вот в VirtualBox этот эффект не проявлялся. 4. Собственно проверка на серийник. Как его узнать, напишу ниже. Если параметр ID_SERIAL_SHORT у usb устройства равен указанному, то выходим - эту флешку вставлять в машину можно 5. Что же делать, если правило всё еще выполняется? Учитывая все проверки выше, это означает, что к машине подключили usb накопитель, серийник которого не прошел проверку. А это значит, что его нужно отключить. Делается это путем записывания 1 в файл sys/путь к usb устройству/device/delete. После этого флешка отключается. На тестах это выглядело как отключение питания от флешки - на ней гас светодиодный индикатор работы. 6. Отметка, куда будет перемещен интерпретатор, если ему передать это командой GOTO


2. Любым доступным редактором создать файл 99-rem-unauth-usb.rules (имя файла можете и сами придумать, но соблюдайте правила udev) 3. Пишем в файл:

Источник — https://srv2.jupiter8.ru/kros/index.php?title=Вопросы:Ограничение_на_подключение_USB_носителей&oldid=3767