Как безопасно вставить USB-накопитель / устройство в компьютер с Linux?

При подключении USB-накопителя или устройства к компьютеру всегда существует риск того, что устройство является вредоносным, будет действовать как HID и потенциально может повредить компьютер. Как я могу предотвратить эту проблему? Достаточно ли отключение HID для определенного USB-порта? Как я могу это сделать?

— Мартин Гералецкий
источник

Напишите пользовательские правила udev.

— Ипор Сирсер

(sidenote: он также может быть представлен как сетевое устройство с DHCP на другом конце; он также может попытаться сгенерировать всплеск, чтобы поджарить материнскую плату)

— Ульрих Шварц

Я бы, наверное, спросил об этом на сайте security.stackexchange.com ...

— thecarpy

Любое поддерживаемое устройство включено по умолчанию. По сути, это не проблема, поскольку вы можете использовать как скрытые, так и сетевые устройства. Определение вредоносности из ядра намного сложнее.

— Почтовый

Как безопасно проверить USB-флешку, найденную на парковке на работе?

— Камиль Мачоровский

Ответы:

Установите USBGuard - он предоставляет основу для авторизации USB-устройств перед их активацией. При подключении нового устройства может появиться уведомление о том, что делать; и он может хранить постоянные правила для известных устройств, поэтому вам не нужно подтверждать снова и снова. Правила определяются с использованием всеобъемлющего языка с поддержкой любого атрибута USB (включая серийный номер, порт вставки ...), поэтому вы можете написать правила, которые будут настолько специфичны, насколько вы хотите - внесите в белый список эту клавиатуру, если у нее есть этот идентификатор, этот серийный номер , подключен к этому порту и т. д.

— Стивен Китт
источник

Что делает известные устройства «известными»? Там хранится их идентификатор или что-то? Разве это не может быть подделано тоже?

— Мартин Гералецкий,

Известные устройства сопоставляются с использованием богатого языка условий , вы можете быть настолько конкретны, как вы хотите (в том числе серийный номер USB, порт ввода ...). Все может быть подделано, но если вы противостоите противнику, который выясняет, что вы в белом списке, вы, вероятно, все равно проиграли. (Вы, конечно, никогда не можете

— Стивен Китт

Акцент на вашей клавиатуре, а не "любая клавиатура USB".

— Гравитация

Чтобы завершить другой ответ, следует знать, что вы никогда не сможете полностью защитить компьютер от вредоносных USB-устройств. Было несколько проверенных концепцией и коммерчески доступных устройств, таких как USB Killer, которые могут буквально жарить порт или материнскую плату.

Программное обеспечение никогда не сможет защитить от этого, и всегда есть вероятность, что оно может быть уязвимым. Если вам действительно нужна надежная защита, сделайте порты физически недоступными (например, банкоматы).

— Баптист Канделе
источник

Я полагаю, что ОП имел в виду устройства, которые не пытаются физически уничтожить ваш компьютер или его владельца. Иначе немного сибирской язвы было бы достаточно, чтобы сделать стеклоочиститель проблемой безопасности.

— 9ilsdx 9rvj 0lo

Я думаю, что это все еще актуально, хотя - конечно, это не будет проблемой во всех (большинстве) ситуациях, но все же хорошо иметь в виду, если вы не доверяете своему пользователю, что подразумевает вопрос.

— Баптист Канделе

Да, я спрашивал в основном о безопасности программного обеспечения. Защита от флешки на моей материнской плате - это, конечно, другое дело. Но все равно спасибо за упоминание.

— Мартин Гералецкий,

В ОП конкретно упоминаются устройства HID, на которые ваш ответ совершенно не реагирует.

— Дмитрий Григорьев

Список известных Vid: ProductId может быть добавлен как «санкционированный» Авторизованный USB Но вы должны знать о USB zappers USB port zapper

— vikram_u_k
источник