é esta regra do udev em /etc/udev/rules.d/10-usb-deny.rules:
ACTION=="add", ATTR{bInterfaceClass}=="*" \
RUN+="/bin/sh -c 'echo 0 >/sys$DEVPATH/../authorized'"
ACTION=="add", ATTR{bDeviceClass}=="*" \
RUN+="/bin/sh -c 'echo 0 >/sys$DEVPATH/../authorized'"
suficiente para prevenir ataques BadUsb?
Cavando um pouco mais fundo na toca do coelho: Qualquer coisa manipulada pelo driver de armazenamento usb passa por essa regra. Então pen drives para usb-SSDs ainda são uma ameaça.
Adicionando:
install usb-storage /bin/true
para /etc/modprobe.d/usb-storage.conf
é a próxima coisa óbvia a fazer, se eu quiser estar no lado seguro.
O buraco do coelho é ainda mais profundo: qualquer coisa com um sistema de arquivos passa por essa regra e pode ser ativada por dispositivos USB. Portanto, CD / DVD e SDcards são provavelmente o hardware mais comum a ser bloqueado.
Adicionando:
install cdrom /bin/true
para /etc/modprobe.d/cdrom.conf
e
install mmc-core /bin/true
para /etc/modprobe.d/mmc-core.conf
irá bloquear CD / DVD e SDcards. Estes três fakeinstalls devem ser suficientes no hardware padrão.
Em um laptop ou em um sistema com acesso SSH, você pode, alternativamente, instalar fake
usbcore e mmc-core
instalado, já que você não precisa de teclado ou mouse.
Tags usb security debian linux linux-kernel