如何保護linux上的usb埠

USB Kill只是Linux裝置在USB埠可能面臨的幾種風險之一。如何保護您的電腦免受USB惡意軟體的攻擊？...

通用串行總線（USB）是一把雙刃劍，它徹底改變了我們與設備的接口方式。它的即插即用特性使得在設備之間傳輸數據變得簡單。不過，U盤並非沒有缺點。它們很快成為病毒和惡意軟件感染整個網絡的媒介。

進入USB Kill設備，它可以完全炸燬你的USB端口或摧毀你的主板。它通過從USB端口給電容器充電，然後將殘酷的電壓衝擊回端口來實現這一點。這種情況會發生幾次，直到拔掉插頭或主機死亡。

讓我們來看看您可以如何嘗試並減輕這些設備帶來的風險。

基礎知識

在我們深入瞭解更多細節之前，您可以遵循一些簡單的經驗法則：

不要**你在地板上發現的U盤。
不要**隨機提供給你的USB驅動器。
請信任的人通過雲向您發送文件。
不要**不是三星、SanDisk等知名供應商提供的USB驅動器。
不要讓你的電腦無人看管。

這個清單應該涵蓋大多數情況。然而，USB設備的安全性仍有待提高。

保護bios

如果您有一臺必須無人看管的機器，那麼訪問該機器就相對簡單。所有人要做的就是創建一個可引導的USB驅動器和引導從驅動器到一個活的環境。這將允許他們訪問所有未加密的文件。在Windows中，你甚至可以清空用戶的密碼。密碼保護您的基本輸入輸出系統（BIOS）意味著即使在啟動選項出現之前也必須輸入密碼。

有關如何進入BIOS，請參閱硬件**商的文檔。一般來說，這是通過反覆點擊刪除鍵，因為你的電腦正在啟動，但這是不同的**商。密碼設置應該在BIOS的Security部分下。

u**guard支持你

你需要讓電腦或服務器無人看管嗎？如果是這樣，您可以使用一個恰當命名的實用程序USBGuard來防止攻擊。這是為了防止惡意USB設備也被稱為BadUSB。例如，USB設備可以模擬鍵盤併發出登錄用戶的命令。這些設備還可以欺騙網卡並更改計算機的DNS設置以重定向流量。

USBGuard基本上通過實現基本的黑名單和白名單功能來阻止未經授權的USB設備。理想情況下，你不會允許任何USB設備除了選擇少數你信任。當您**USB設備或集線器時，USBGuard將首先掃描設備。然後它按順序查看其配置文件，以檢查該設備是否被允許或拒絕。USBGuard的優點在於它使用了一個直接在Linux內核中實現的特性。

如果您運行的是Ubuntu 16.10或更高版本，您可以通過鍵入以下命令來安裝USBGuard：

sudo apt install u**guard

如果您使用的是較舊的*buntus，那麼可以按照GitHub[不再可用]上的說明進行操作。我們的示例將遵循一個簡單的allow，它將演示如何授權具有特定id的設備。要啟動並運行，請使用：

u**guard generate-policy > rules.confnano rules.conf

花點時間回顧一下即將添加的策略。此步驟將添加並授權當前**計算機的所有內容。您可以刪除或註釋掉不想授權的設備的行。

sudo install -m 0600 -o root -g root rules.conf /etc/u**guard/rules.confsudo systemctl restart u**guard

接受考驗

到目前為止，您連接到機器的任何設備都將無法工作，即使它似乎已被檢測到。i**USB驅動器以通過運行lsu**列出連接到系統的所有USB設備來驗證這一點。注意SanDisk的id，我們稍後會用到這個。

雖然這個設備在Ubuntu中被檢測到了，但是沒有被掛載的跡象！

要將此設備添加到授權設備列表，請運行以下操作：

sudo nano /etc/u**guard/rules.conf

現在將SanDisk id添加到規則.conf文件將其設置為授權設備之一。

現在只需快速重啟USBGuard服務：

sudo systemctl restart u**guard

現在拔下插頭，然後重新連接USB驅動器。USBGuard會檢查的規則.conf，將id識別為允許的設備，並允許使用它。

您的設備立即可以正常使用。這是一個簡單的方法，只允許設備的id。要得到真正具體的你可以添加一個規則規則.conf沿著這些路線：

allow 0781:5151 name "SanDisk Corp. Cruzer Micro Flash Drive" serial "0001234567" via-port "1-2"reject via-port "1-2"

以上規則只允許在特定端口上使用與該id、名稱、序列號匹配的設備。拒絕規則將不允許任何其他設備**該端口。這些選項幾乎是無窮無盡的，但可以在網上查閱。

物理預防

USBGuard可能不會保護你免受臭名昭著的USB**的攻擊。那你能做什麼呢？如果你有控制你的USB端口，仍然需要**一些可疑的USB驅動器，一些解決方案是可用的。USB集線器相對於新筆記本電腦的價格是微乎其微的。使用這種老練技術的一個巨大優勢是，它的配件可以廣泛獲得，而且價格便宜。你可以拿一個好的品牌的，而不是直接**粗略的設備到你的機器，通過USB集線器**它。如果USB驅動器是一個USB**，它會炸USB集線器和你的機器將是安全的。

您的用例的另一個解決方案可能是USG。該設備是一個硬件防火牆，位於可疑USB設備和您的計算機之間。它與鼠標、鍵盤和USB閃存驅動器兼容。它將通過過濾惡意活動和傳遞您需要的數據來保護您免受badubs的攻擊。

這不是太過分了嗎？

根據你工作的環境，情況可能是這樣。如果你能負擔得起不**任何你不能完全控制的設備，並且你是唯一可以訪問你的機器的人，那麼這將是最好的情況。一線希望是，除了人們試圖找到傷害的方法外，還有人在思考如何防止這種傷害。

你有過使用不可靠的USB設備的不好經歷嗎？你如何確保你或你的公司有安全的USB措施？請在下面的評論中告訴我們！

圖片來源：Frantisek Keclik/Shutterstock

發表於 2021-03-13 04:54
閱讀 ( 60 )
分類：電腦

你可能感興趣的文章

小型hp流(hp stream mini)和英特爾計算棒(intel compute stick)的區別

...有2 GB的RAM，而Linux版只有1 GB的RAM。如有必要，HP Stream Mini上的RAM可以升級到16 GB，而Intel Compute Stick支援的最大記憶體為2 GB。 •HP Stream Mini有32 GB的SSD用於儲存，而Windows版的Intel Compute Stick有32 GB的嵌入式快閃記憶體作為儲存空間...

發佈於 2020-10-29 11:26
閲讀 ( 62 )