Bagaimana cara memasukkan stick / perangkat USB ke komputer Linux dengan aman?

25

Saat memasukkan stik atau perangkat USB ke komputer, selalu ada risiko bahwa perangkat tersebut berbahaya, akan bertindak sebagai HID dan berpotensi menyebabkan kerusakan pada komputer. Bagaimana saya bisa mencegah masalah ini? Apakah menonaktifkan HID pada port USB tertentu cukup? Bagaimana aku melakukan itu?

Martin Heralecký
sumber
2
Tulis aturan udev khusus.
Ipor Sircer
3
(sidenote: ia juga dapat hadir sebagai perangkat jaringan dengan DHCP di ujung lainnya; ia juga dapat mencoba menghasilkan lonjakan untuk menggoreng mainboard)
Ulrich Schwarz
2
Saya mungkin akan menanyakan ini di situs security.stackexchange.com ...
thecarpy
1
Segala jenis perangkat yang didukung diaktifkan secara default. Ini bukan masalah yang inheren, karena baik hids maupun perangkat jaringan dapat menjadi apa yang ingin Anda gunakan. Mendefinisikan maliciousness dari kernel jauh lebih rumit.
Zip

Jawaban:

34

Instal USBGuard - ini menyediakan kerangka kerja untuk mengotorisasi perangkat USB sebelum mengaktifkannya. Ini dapat memunculkan pemberitahuan saat Anda menghubungkan perangkat baru, menanyakan apa yang harus dilakukan; dan itu dapat menyimpan aturan permanen untuk perangkat yang dikenal sehingga Anda tidak perlu mengonfirmasi berulang kali. Aturan didefinisikan menggunakan bahasa yang komprehensif dengan dukungan untuk atribut USB apa pun (termasuk nomor seri, port penyisipan ...), sehingga Anda dapat menulis aturan yang spesifik seperti yang Anda inginkan - daftar putih keyboard ini jika memiliki pengidentifikasi ini, nomor seri ini , terhubung ke port ini, dll.

Stephen Kitt
sumber
Apa yang membuat perangkat yang dikenal "dikenal"? Itu menyimpan ID mereka atau apalah? Tidak bisakah itu dipalsukan juga?
Martin Heralecký
4
Perangkat yang dikenal cocok dengan menggunakan bahasa kondisi kaya , Anda dapat sespesifik yang Anda inginkan (termasuk nomor seri USB, port penyisipan ...). Apa pun bisa dipalsukan, tetapi jika Anda melawan musuh yang mencari tahu apa yang telah Anda daftar putih, Anda mungkin akan tetap kalah. (Tentu saja Anda tidak dapat memasukkan daftar putih apa pun selain keyboard Anda jika Anda benar-benar ingin memainkannya dengan aman.)
Stephen Kitt
Tekankan pada keyboard Anda , bukan "sembarang keyboard USB".
grawity
10

Untuk menyelesaikan jawaban lainnya, harus diketahui bahwa Anda tidak pernah dapat sepenuhnya melindungi komputer dari perangkat USB berbahaya. Ada beberapa bukti konsep dan perangkat yang tersedia secara komersial seperti USB Killer yang secara harfiah dapat menggoreng port atau motherboard.

Perangkat lunak tidak akan pernah bisa melindungi dari ini, dan selalu ada kemungkinan ia bisa rentan. Jika Anda benar-benar membutuhkan perlindungan yang kuat, buat port-port itu secara fisik tidak dapat diakses (pikirkan ATM, misalnya).

Baptiste Candellier
sumber
7
Saya kira OP ada dalam pikiran perangkat yang tidak berusaha menghancurkan komputer Anda atau pemiliknya secara fisik. Kalau tidak, sedikit antraks akan cukup untuk membuat penghapus kaca menjadi masalah keamanan.
9ilsdx 9rvj 0lo
1
Saya pikir itu masih relevan meskipun --- tentu saja, itu tidak akan menjadi masalah dalam semua (sebagian besar) situasi, tetapi masih bagus untuk diingat jika Anda tidak mempercayai pengguna Anda, yang tersirat dari pertanyaan itu.
Baptiste Candellier
1
Ya, saya bertanya terutama tentang keamanan perangkat lunak. Melindungi terhadap USB stick frying motherboard saya tentu saja merupakan hal yang berbeda. Tapi terima kasih sudah menyebutkannya.
Martin Heralecký
1
OP secara khusus menyebutkan perangkat HID, yang jawaban Anda sepenuhnya gagal diatasi.
Dmitry Grigoryev
0

Daftar Vid yang diketahui: ProductId dapat ditambahkan sebagai USB Resmi 'resmi' Tetapi Anda harus tahu tentang USB zappers USB port zapper

vikram_u_k
sumber