Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
24.11.2017, 16:01:14

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 19134
  • Letzte: Drechsler
Statistiken
  • Beiträge insgesamt: 493696
  • Themen insgesamt: 39655
  • Heute online: 301
  • Am meisten online: 679
  • (03.04.2017, 15:20:01)
Benutzer Online

Autor Thema: [erledigt] konfigurierbare Firewall für USB und andere ansteckbare Medien gesucht  (Gelesen 408 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Bin mir jetzt nicht sicher, ob das hier das richtige Brett ist, vielleicht gibts auch schon ne fertige Software dafür:

Ich suche so etwas wie eine konfigurierbare Firewall für USB und andere ansteckbare Medien. Ein Medium, welches noch nie im Rechner war, soll erstmal eine Popupmeldung bringen, in welche Kategorie (erlaubt, verboten, nur erlaubt für gruppe oder user xyz, oder nur mit passwort des aktiven users oder auch eines sudoers) das eingeordnet werden soll und danach soll das System beim nächsten Anschliessen entscheiden. Dazu vielleicht noch ne schöne Übersicht aller bekannten Medien mit UI und sonstigen aufschlussreichen Eigenschaften, wo man dann auch einzelne wieder rausschmeissen bzw. "unbekannt/neu" setzen kann.

Weiss jemand, wie man das realisieren könnte, oder kennt dafür jemand fertige Programme mit GUI oder Auswahlmenues?
« Letzte Änderung: 16.07.2017, 00:05:28 von Mäck »

@Mäck

Zuständig dafür sind die udev-Rules.
Und hätte Mint (aber nicht nur Mint) dafür nicht zig Verhaltensregeln definiert würde genau das von Haus aus so funktionieren wie du dir das vorstellst.
Der Mainstream befördert aber genau das Gegenteil. Alles soll ohne weiteren Eingriff schnell, von allein und vollautomatisch funktionieren.
Niemand soll sich mehr mit Interna herumschlagen mǘssen.
Andernfalls wären aber auch die Foren voll von Fragen wie man Webcams, Handys, Speichmedien und und und ... in das System einbindet ohne dafür noch einen IT-Lehrgang belegen zu müssen.

Um das Abzukürzen, das Anpassen/Deaktivieren/Löschen einiger Rules könnte bereits das bewirken was du willst.
Allerdings ist das Angebot groß und wird dich Einiges an Zeit für die Recherche kosten. Viel Spaß dabei.  ;D


...
Zuständig dafür sind die udev-Rules.
...
Um das Abzukürzen, das Anpassen/Deaktivieren/Löschen einiger Rules könnte bereits das bewirken was du willst.
Allerdings ist das Angebot groß und wird dich Einiges an Zeit für die Recherche kosten. Viel Spaß dabei.  ;D

Sowas hatte ich schon geahnt. Leider bin ich im Programmieren keine Leuchte. Das selbst zu realisieren liegt hinter meinem derzeitigen Horizont.
Aber wenn das Angebot an fertigen tools groß ist, dann schaumermal.

USBGuard http://www.zdnet.com/article/how-to-use-linuxs-built-in-usb-attack-protection/

Das klingt vielversprechend. Werde ich wahrscheinlich mal probieren. Danke garfield121.

Zugegeben ich hab das jetzt nicht im Detail durchdacht aber prinzipiell sehe ich nicht wie das Sinn macht solange es nicht in den Kernel eingebacken ist. Zumindest wenn es einem wirklich ernst ist (Und wenn nicht: wozu?)
USB Stick einstecken geht meines Wissens nach nur wenn jemand direkt am PC steht im physischen Sinne.
Wenn das der Fall ist und man nicht noch dutzend andere Sicherheitsvorkehrungen trifft sollte man besser davon ausgehen dass ein böser Junge der etwas anstecken will sowieso die Befugnis von Root bekommen kann oder anderweitig auf das System zugreifen kann. Software die irgendwie als Dämon läuft kann dann einfach abgeschaltet werden. Und wenn es dir um das geht was du selbst ansteckst dann seh ich nicht wirklich den Vorteil gegenüber "Köpfchen einschalten".

lennartware


...
USB Stick einstecken geht meines Wissens nach nur wenn jemand direkt am PC steht im physischen Sinne.
Wenn das der Fall ist und man nicht noch dutzend andere Sicherheitsvorkehrungen trifft sollte man besser davon ausgehen dass ein böser Junge der etwas anstecken will sowieso die Befugnis von Root bekommen kann oder anderweitig auf das System zugreifen kann. ...

Ja, darum geht es. Denkbar z.B.

Szenario 1: Rechner steht irgendwo unbeaufsichtigt und läuft z.B. auf einer Schulung während der Pause.
Szenario 2: Person, die Zugriff auf einen bereitgestellten Rechner hat, hat gefährlichen Unsinn vor, egal ob böswillig oder nur leichtsinnig.

Was ist für den bösen Jungen naheliegender als ein Wechselmedium zu benutzen?
Sonst irgendwie an Rootrechte kommen oder einen Dämon abschalten, bitte erkläre mir wie, es interessiert mich.

thebookkeeper

  • aka AnanasDampf
  • ***
... Denkbar z.B.

Szenario 1: Rechner steht irgendwo unbeaufsichtigt und läuft z.B. auf einer Schulung während der Pause.
Szenario 2: Person, die Zugriff auf einen bereitgestellten Rechner hat, hat gefährlichen Unsinn vor, egal ob böswillig oder nur leichtsinnig.

Was ist für den bösen Jungen naheliegender als ein Wechselmedium zu benutzen?
Sonst irgendwie an Rootrechte kommen ...
Da sollte man zuerst die Root-Rechte vom Recoverymodus deaktivieren. Für automatischen Zugriff auf externe Speichergeräte muss man eigentlich Mitglied der Gruppe plugdev sein. Am besten auch cdrom-Gruppenzugehörigkeit entfernen, ändert man im Terminal per chgrp oder mit grafischen Gnome-Tool für Verwaltung von Benutzern und Gruppen. Für User ohne plugdev-Mitgliedschaft können USB-Speichergeräte dann einfach mit dem Terminal-Befehl mount eingehängt werden.
=> https://wiki.ubuntuusers.de/mount/#USB-Stick:
Zitat
... In diesem Beispiel wird ein FAT32-formatierter USB-Stick (Gerät /dev/sdb) nur-lesend in das Verzeichnis /media/usbstick eingehängt:

mount -t vfat -o ro /dev/sdb1 /media/usbstick
...

Um ein Dateisystem wieder auszuhängen, existiert der Befehl umount. Dabei sind genau die gleichen Rechte nötig, mit denen das Dateisystem auch eingebunden wurde. Das automatische Einhängen externer Geräte geschieht meist ohne, das Einhängen von Hand dagegen häufig mit Root-Rechten. Im letzteren Fall lautet die Befehlszeile:
# Allgemein:
sudo umount <Gerät>
# alternativ
sudo umount <Einhängepunkt>
# Beispiel:
sudo umount /dev/sda1
...
« Letzte Änderung: 16.07.2017, 02:18:55 von thebookkeeper »

Z-App

  • Gast
Zitat von: thebookkeeper
… Für automatischen Zugriff auf externe Speichergeräte muss man eigentlich Mitglied der Gruppe plugdev sein. Am besten auch cdrom-Gruppenzugehörigkeit entfernen, …
Ich meine, das ist veraltet. Zumindest ist meine Beobachtung in LM 17.x und 18.x, dass neu angelegte Benutzer - außer in ihrer eigenen Gruppe - Mitglied keiner anderen sind und sie haben trotzdem Zugriff auf die Medien.

Ja, darum geht es. Denkbar z.B.

Szenario 1: Rechner steht irgendwo unbeaufsichtigt und läuft z.B. auf einer Schulung während der Pause.
Szenario 2: Person, die Zugriff auf einen bereitgestellten Rechner hat, hat gefährlichen Unsinn vor, egal ob böswillig oder nur leichtsinnig.

Was ist für den bösen Jungen naheliegender als ein Wechselmedium zu benutzen?
Sonst irgendwie an Rootrechte kommen oder einen Dämon abschalten, bitte erkläre mir wie, es interessiert mich.

Mäck,
er kann ja einfach rebooten und in den recovery Modus booten oder init überschreiben. Oder von einem bootbaren USB Stick starten? Also zumindest Grub und dein Bios müssten dann noch passwortgesichert sein damit das Sinn macht.

lennartware

@lennartware

Ja, genau. BIOS sowieso, somit kann ausgeschlossen werden, dass von externem Medium oder aus dem Netz gebootet wird. Und ein Grub-Passwort zu setzen ist auch ne gute Idee ;-) . Dann sollte der Laptop beim Rebootversuch sicher sein. Oder haben wir da etwas übersehen?

Bei Rechnern an denen USB-boot erlaubt bzw. erwünscht ist, also im BIOS zugelassen werden muss, wird nur noch eine zusätzliche Festplattenverschlüsselung zum Ziel führen, den lokalen Zugriff auf die Plattendaten zu unterbinden.

Hauptsächlich ging es aber um die Kontrolle über die Hardwareanschlüsse bei laufendem System. Den USBguard kann man dann wohl gut einsetzen.