LINUX.ORG.RU
ФорумAdmin

Белый список флешек и принтеров

 


0

1

На работе использую Astra Linux Special Edition. Необходимо настроить белый список флешек и принтеров, чтобы система не видела «левые» устройства. Кто знает как это можно сделать. Система базируется на Debian.



Последнее исправление: ShamanRUS (всего исправлений: 2)

Вижу три проблемы:

1) Флешки часто не имеют серийного номера. То есть все флешки одной модели одного производителя будут выглядеть абсолютно идентично с точки зрения ОС.

2) Ну запретил ты левые флешки. Что мешает официальную флешку вставить в левый компьютер и залить/слить с неё данные?

3) Насчёт левого принтера вообще не понятно. Если у тебя люди могут пронести на работу принтер, то и фотоаппарат тем более. А между тем, если руки не из одного места растут и фотоаппарат нормальный (сейчас уже и телефоны подоспели и снимают тоже неплохо), то фотография экрана будет мало отличаться от отсканированной бумаги в плане пригодности для OCR и уж тем более читабельности.

Тут только полный запрет флешек (принтеры запрещать смысла нет из-за пункта 3), либо физически отключить USB-порты. И/или досмотр сотрудников с металлоискателями, чтобы они не могли пронести на работу левые флешки и принтеры.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 2)

Но при этом остальные usb устройства ты хочешь, чтобы работали?

И зачем их не видеть? Можно не давать не руту их монтировать.

Tanger ★★★★★
()

Это бредово, ничто не мешает сделать из любой «черной» флешки «белую», к тому же в чипах уязвимостей дохера. Проще уже selinux вменяемо настроить.

invokercd ★★★★
()

флэшку можно перепрошить на идетификаторы из белого списка, или вовсе изготовить левое usb устройство на копеечном микроконтроллере. обосрамс

anonymous
()

Такие требования руководства. Учтенные носители из «белого» списка вынести с территории предприятия невозможно. Серийный номер есть у каждой флешки и принтера. Даже устройства одной модели имеют разные номера. В Винде сторонними программами типа SecretNet и Zlock данный вопрос решался в 5 минут. Сейчас все компы переводят на Линукс и необходимо выполнить туже задачу.

ShamanRUS
() автор топика

Насчет возможности перепрошивки устройств под серийные номера «белого» списка мне известно. Сам так не раз делал. Но требования по настройке есть и от них никуда не деться. Если кто может дать реальный совет буду очень благодарен.

ShamanRUS
() автор топика
Ответ на: комментарий от invokercd

Что такое selinux примерно понимаю, но никогда его не использовал. Как его можно настроить?

ShamanRUS
() автор топика
Ответ на: комментарий от smilessss

Само собой он работать не будет. Он же использует реестр винды.

ShamanRUS
() автор топика
Ответ на: комментарий от ShamanRUS

токены + данные в своем облаке. вынести ничего нельзя, потерять нельзя или очень сложно.

хотя это же распилгосконтора, так что им положено падать лицом в грязь

invokercd ★★★★
()

Еще раз уточняю поставленную передо мной задачу. Необходимо, чтобы ПЭВМ видел только учтенные официальные usb-устройства. На все прочее он не должен никак реагировать.

ShamanRUS
() автор топика
Ответ на: комментарий от invokercd

Тут разговор не про распил госденег, а про выполнение указаний и закрытие возможных каналов утечки информации. Если можешь что-либо действенное посоветовать, буду премного благодарен.

ShamanRUS
() автор топика

Напишите правила для udev (man 7 udev), которые сверяют ENV{ID_SERIAL} с белым списком и делают echo 1 > /sys/bus/usb/devices/.../remove, если совпадений не нашлось.

AITap ★★★★★
()
Ответ на: комментарий от ShamanRUS

При помощи udevadm info -q all -p <путь относительно /sys> определяете все необходимые параметры устройств, затем создаёте файл вида /etc/udev/rules.d/99-remove-unauthorized-usb.rules:

ACTION!="add", GOTO="dont_remove_usb"
ENV{ID_BUS}!="usb", GOTO="dont_remove_usb"
ENV{ID_SERIAL}=="...", GOTO="dont_remove_usb"
ENV{ID_SERIAL}=="...", GOTO="dont_remove_usb"
ENV{ID_SERIAL}=="...", GOTO="dont_remove_usb"
...
ENV{ID_BUS}=="usb", RUN+="/usr/local/sbin/remove-usb.sh %E{DEVPATH}" # это правило выполнится, если не выполнится ни один из GOTO выше
LABEL="dont_remove_usb" # здесь окажутся доверенные и не-usb устройства
Где remove-usb.sh - это скрипт, который по DEVPATH (путь относительно /sys) находит в дереве директорий файл remove (например, для одного из моих жёстких дисков из DEVPATH=/devices/pci0000:00/0000:00:1d.7/usb7/7-3/7-3:1.0/host10/target10:0:0/10:0:0:0/block/sdc получилось /sys/devices/pci0000:00/0000:00:1d.7/usb7/7-3/remove) и записывает туда 1.

Вроде бы, должно работать.

AITap ★★★★★
()
Последнее исправление: AITap (всего исправлений: 2)
Ответ на: комментарий от anonymous

Персональная электронно-вычислительная машина

ShamanRUS
() автор топика
Ответ на: комментарий от anonymous

Это условное наименование. А компы российского производства. Фирмы Kraftway.

ShamanRUS
() автор топика
Ответ на: комментарий от AITap

Завтра попробую так сделать. Огромное спасибо.

ShamanRUS
() автор топика

Есть глупая идея - накатай скрипт и поставь в правила udev. Суть скрипта - на флешке создается рандомный байт-ряд в пару килобайт в определенном месте (не на партиции). Далее делаешь таблицу доверенных флешек где-нибудь и заставляешь скрипт ее проверять.

Если прав читать/писать девайс напрямую ни у кого нет и своими ноутами с такими праваи никто не пользует - норм.

upcFrost ★★★★★
()
Ответ на: комментарий от ShamanRUS

Можно просто исключить флешки вообще, хранить данные в своем 'облаке', аутентификация по токенам.

invokercd ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.