web-dev-qa-db-ja.com

Linuxで通常のユーザーに対してCD-ROMとUSBを無効にする方法は?

Linuxで通常のユーザーがCD-ROMとUSBにアクセスできないようにするにはどうすればよいですか?

セキュリティポリシーの一環として、通常のユーザーに対してCD-ROMおよびUSBアクセスを無効にする必要があります。 rootユーザーのみがアクセスできるようにする必要があります。主にUbuntu Linuxを使用しています。

7
nitins

私の問題の解決策を見つけました。

USBを無効にする

# mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /root

CDROMを無効にする

# mv  /lib/modules/$(uname -r)/kernel/drivers/cdrom/cdrom.ko /root

http://www.cyberciti.biz/faq/linux-disable-modprobe-loading-of-usb-storage-driver/

http://blog.ask4itsolutions.com/2010/05/07/disable-block-cddvd-rom-linux-rhel/

3
nitins

より簡単な方法は、/ etc/group内の「cdrom」および「plugdev」グループからユーザーを削除することです。

12
askvictor

私が見つけた最も簡単なのは簡単です:

Sudo chmod 700 /media

Ubuntuはリムーバブルメディアを/ mediaにマウントするため、アクセスを防止する最も簡単な方法は/ mediaの権限を変更することです。これは安全で簡単に元に戻せるソリューションです。

2
dmm92

やってみませんか

chkconfig haldaemon off

これにより、通常のユーザーがリムーバブルメディアデバイスを見ることができなくなります。ルートのみがリムーバブルメディアにアクセスできます。

2
Alan

私の同僚と私は、Ubuntu 10.04 64ビットデスクトップでこれを試していました。

1人の管理者ユーザーと1人のデスクトップユーザーがいました。/etc/groupのcdromとplugdevからデスクトップユーザーを削除しようとしましたが、うまくいきませんでした。

次に、adminを独自の/ mediaにしました。次に、/ mediaをchmoddedします。

chmod 700 /メディア

これは動作するようです。また、デスクトップユーザーが特権を持っていないため、手動でマウントすることについては心配していません。

これは理にかなっていますか?弱点はありますか?

1
engineerchuan

上級ユーザー以外からの単純な保護には、usb-storageモジュールをブラックリストに登録するだけで十分です。

modprobe -r usb-storage
echo blacklist usb-storage >> /etc/modprobe.d/blacklist

検証します:

modprobe usb-storage
if ! lsmod | grep -q usb-storage; then echo Module is blacklisted; fi

CD-ROMの場合は、「cdrom」グループからユーザーを削除するだけです。次に、ユーザーはそれにアクセスできないようにする必要があります(ユーザー管理では、このようなオプションのチェックを外すことができる詳細タブがあります)。

1
amsys

以前は、* nixシステムでは、デバイスノードの読み取り/書き込み権限を変更することでこれを実行していました。 Ubuntuにもっと関係のあるものを探す必要があると思います-おそらくデバイスクラスへのアクセスを許可するユーザーグループ、halなどのハードウェアサービスを無効にする、あるいはおそらく自動マウントシステムを変更して特権ユーザーのみがマウントできるようにします。バス全体をブロックしたくないので、USBはCDROMよりも複雑になります。あなたはUSBマウスが動作するようにしたいが、フラッシュディスクは正しくブロックされるべきですか?

0
Caleb