Een van de hardwarecomponenten die essentieel zijn bij het uitvoeren van meerdere taken in elk besturingssysteem, zijn de USB-poorten, omdat we er honderden apparaten op kunnen aansluiten die dit type verbinding hebben, zoals USB-geheugens, digitale camera's, mobiele apparaten en nog veel meer.
Het belangrijkste gebruik dat we aan USB-poorten geven, of het nu 2.0 of 3.0 is, is om USB-geheugensticks aan te sluiten om het transport van informatie te vergemakkelijken, maar we weten heel goed dat deze apparaten een ernstige bedreiging vormen voor de beveiliging van het systeem, aangezien in veel Soms zijn ze met virussen of malware, die op het moment van verbinding met de computer de dreiging verspreiden die de veiligheid en privacy aantast.
In het geval van Linux-omgevingen nemen we vaak niet de nodige maatregelen om dit te vermijden met het excuus dat Linux een veilig systeem is, en hoewel dit waar is, worden we geconfronteerd met latente bedreigingen die bestanden en elementen in elk besturingssysteem aantasten .
Het is om deze reden dat Solvetic vandaag analyseert hoe we USB-poorten in Linux-omgevingen kunnen beschermen. In dit geval zullen we Ubuntu 17.04 gebruiken, maar dit proces is van toepassing op de andere edities.
BasistipsVoordat u weet hoe u USB-poorten kunt beschermen, zijn er een aantal fundamentele aanbevelingen om te voorkomen dat u het slachtoffer wordt van elke vorm van bedreiging, namelijk:
- Scan het USB-apparaat altijd met een effectieve antivirus
- Gebruik geen USB-apparaten die we op straat of op een openbare plaats hebben gevonden
- In de meeste gevallen waar de informatie gevoelig is, is het beter om een cloudserviceplatform te gebruiken zoals OneDrive, Dropbox of Google Drive.
- Gebruik geen USB van onbekende merken
1. Hoe het BIOS in Linux te beschermen
Stap 1
De eerste stap die we als gebruikers of systeembeheerders kunnen nemen, is om het opstarten of opstarten van het systeem te beschermen met een wachtwoord, omdat we op deze manier, als de machine voor een bepaalde tijd vrij moet blijven, voorkomen dat onbevoegden toegang hebben tot de informatie.
Als we een wachtwoord willen instellen aan het begin van het besturingssysteem, moeten we het systeem opnieuw opstarten, of starten als de apparatuur is uitgeschakeld, en op de toetsen "Esc", "F2", "Del" of degene die wordt aangegeven door de fabrikant om toegang te krijgen tot het BIOS. Eenmaal daar gaan we naar het tabblad "Beveiliging" en gaan we naar de regel "Wachtwoord bij opstarten":
Stap 2
Om deze optie actief te laten zijn, moeten we een wachtwoord definiëren in de regel "Gebruikerswachtwoord instellen".
Stap 3
Wanneer u op deze regel op "Enter" drukt, wordt de volgende optie weergegeven waar we de optie "Ingeschakeld" zullen selecteren. Zodra het wachtwoord is ingeschakeld, drukt u op de toets "F10" om de wijzigingen op te slaan.
Stap 4
Op deze manier zullen we, wanneer het systeem start, het volgende zien:
2. Hoe USBGuard op Linux te gebruiken en te installeren
Nu een van de beste toepassingen om Linux-omgevingen op USB-poortniveau te beschermen, aangezien USBGuard is ontworpen om de computer te helpen beschermen tegen gevaarlijke USB-apparaten door elementaire mogelijkheden voor whitelisting en blacklisting te implementeren op basis van de kenmerken van het apparaat.
Deze kwaadaardige USB-apparaten worden ook wel BadUSB genoemd.
USBGuard-functies
- Regeltaal voor het schrijven van autorisatiebeleid voor USB-apparaten
- Het heeft een GUI-interface en een opdrachtregel om tijdens de uitvoering met een USBGuard-instantie te communiceren
- Het heeft een C ++ API om te communiceren met de daemon-component die is geïmplementeerd in een gedeelde bibliotheek
Stap 1
Voor de installatie van USBGuard in Linux zoals we hebben vermeld, zullen we Ubuntu 17.04 gebruiken en hiervoor zullen we het volgende uitvoeren:
sudo apt installeer usbguard
Stap 2
Daar zullen we de letter "S" invoeren om de download en installatie te bevestigen, die er na voltooiing als volgt uitziet:
OpmerkingAls u Ubuntu 14 gebruikt, kunnen we naar de volgende GitHub-link gaan om het installatieproces te bekijken:
Stap 3
Om het autorisatieproces van een USB-apparaat via USBGuard te starten, voeren we de volgende regels uit:
sudo usbguard Genereer-beleid> rules.conf (We maken het beleid) sudo nano rules.conf (We openen het configuratiebestand)
Stap 4
Zodra we het bestand openen, zien we het volgende:
In deze regels worden alle apparaten die momenteel op de computer zijn aangesloten toegevoegd en geautoriseerd.
We kunnen de regels van de apparaten die we niet willen autoriseren, verwijderen of becommentariëren.
Stap 5
Om een apparaat te autoriseren voeren we de volgende regels uit:
sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.confsudo systemctl herstart usbguard
3. Hoe USBGuard op Linux te valideren
Stap 1
Op dit moment wordt elk USB-apparaat dat we aansluiten gedetecteerd, maar het werkt niet. Om de aangesloten USB-apparaten weer te geven, voeren we het volgende uit:
lsusb
Daar kunnen we het USB-apparaat zien dat we hebben aangesloten, Kingston Digital.
Stap 2
Om dit apparaat toe te voegen aan de lijst met toegestane apparaten gaan we naar het volgende bestand:
sudo nano /etc/usbguard/rules.confDaar moeten we de ID van het USB-apparaat toevoegen om te autoriseren in het laatste deel van het bestand:
Stap 3
We slaan de wijzigingen op met behulp van de volgende sleutels:
Ctrl + O
We verlaten de editor met de toetsen:
Ctrl + X
Stap 4
We moeten de USBGuard-service opnieuw starten door het volgende uit te voeren:
sudo systemctl herstart usbguard.Nu is het voldoende om de USB los te koppelen en opnieuw aan te sluiten en we hebben er op de normale manier toegang toe vanuit de verkenner:
Dus Linux staat de uitvoering toe van apparaten die voldoen aan de ID die we hebben toegevoegd, anders worden ze afgewezen.
Stap 5
Voor een specifieke toegang moeten we de volgende syntaxis in het pad toevoegen:
/etc/usbguard/rules.conf:allow 0781: 5151 naam "USB device name" serieel "USB device serial" via-poort "1-2" weiger via-poort "1-2"We hebben gezien hoe we praktische opties hebben om beveiligingsopties toe te voegen op USB-poortniveau in Linux-omgevingen.
