Запрещение usb

[Peter_I]

Здравствуйте!

Возможно ли как-нибудь запретить подключение любых устройств к usb?
С помощью udev-правила, какой-нибудь ioctl() или ещё как.
Я попоробовал скопировать 85-usbdisks.rules в /etc/udev/rules.d/ и в нём для SUBSYSTEM=="usb"
сделать GOTO в конец файла, но это не сработало.

[AnrDaemon]

Можно попробовать отключить сам драйвер, но тогда и USB мышь/клавиатуру не подключишь.

[snowin]

Peter_I, а подключение только рутом тебе не прокатит?

[EvangelionDeath]

Peter_I, ну запрет не знаю... но питание USB можно отключить

Код: (bash) [Выделить]

echo "suspend" | sudo tee /sys/bus/usb/devices/*/power/level


[Peter_I]

Благодарю за ответы.

Обычной клавиатуры и мыши там нет, а подключение как root неприемлемо в принципе.
Об отключении питания я слышал, но не знал, какя команда для этого требуется, возможно, воспользуемся.
Но это должно происходить автоматически при загрузке. Выгрузка драйвера тоже подойдёт.
Так что, нельзя как-то запретить монтирование usb-flash? Т.е. автомонтирование можно отключить и без ухищрений,
но надо, чтобы в принципе не работала шина usb, чтобы и клавиатуру нельзя было подключить, и по PS/2 тоже.
 

[AnrDaemon]

но надо, чтобы в принципе не работала шина usb, чтобы и клавиатуру нельзя было подключить, и по PS/2 тоже.

Отключите в BIOS.
И помните, что если потенциальный злоумышленник может коснуться машины рукой, никакие программные ухищрения не помогут. Что помешает злоумышленнику просто взять в руки отвёртку и раскрутить систему, вытащив всё его интересующее?

[funk2256]

Что помешает злоумышленнику просто взять в руки отвёртку и раскрутить систему, вытащив всё его интересующее?

(Нажмите, чтобы показать/скрыть)

Когда то встречал физические ловушки на уничтожение HDD
Хабр: Убийцы HDD

[EvangelionDeath]

Но это должно происходить автоматически при загрузке

А для єтого пишем сервис systemd (для систем с оным) или init.d (у меня так параметры питания USB переключаются для коректного выключения). И да, можно еще в BIOS/UEFI залезть и отключить там (Legacy USB Support)

Так что, нельзя как-то запретить монтирование usb-flash? Т.е. автомонтирование можно отключить и без ухищрений,
но надо, чтобы в принципе не работала шина usb, чтобы и клавиатуру нельзя было подключить, и по PS/2 тоже.

Если у кого-то уже есть физический доступ к цели, то ни что не помешает изъять носитель и подключить к другой машинке... Борьба с ветряными мельницами.

И да, можно поизвращаться и добавить атрибут i на /media ... За последствия правда не отвечаю)

[Peter_I]

AnrDaemon, Это первое, что мы подумали.
Пользователь добавил сообщение 23 Апреля 2018, 22:54:52:EvangelionDeath, Я минуту назад тоже подумал о том, чтобы для этого применить скрипт в /etc/init.d.
Там можно выбрать режимы, в каких отключать usb,а в каком нет.
Пользователь добавил сообщение 24 Апреля 2018, 13:37:16:Отключать usb полностью нельзя, т.к. программа использует usb-порт.
Это в процессорном модуле с шиной compact pci, а система - Astra Linux.
Их поддержка посоветовала исключить пользователя из групп fuse и floppy,
я это сделал, но потребовалось ещё закомментировать строки в /etc/fstab
для /dev/sd*, после этого пользователь утретил возможность монтировать
usb-flash, хотя панелька с приглашением по-прежнему выводится при
вставке флешки.