Hi folks Welche Möglichkeiten gibt es eigentlich das mounten von z.B. USB-sticks zu unterbinden? Sicher gibt es doch auch noch andere Möglichkeiten wie USB im BIOS auszuschalten oder evtl. die Kernel-Module für USB-support auf die Blacklist zu setzen. Wie haben hier in der Firma geheime Daten und da soll es halt stark erschwert werden ranzukommen. Auf den Rechnern läuft SLES 10 SP1 Vielen Dank Bodo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Bodo, Schuss ins blaue, die entsprechenden files in /dev nur für root zugänglich machen? Den root kannst Du eh nie aussperren. Gruss Max
-----Ursprüngliche Nachricht----- Von: Bodo Wlaka [mailto:bodow@snafu.de] Gesendet: Donnerstag, 11. September 2008 20:19 An: opensuse-de@opensuse.org Betreff: usb-medien unterbinden
Hi folks
Welche Möglichkeiten gibt es eigentlich das mounten von z.B. USB-sticks zu unterbinden? Sicher gibt es doch auch noch andere Möglichkeiten wie USB im BIOS auszuschalten oder evtl. die Kernel-Module für USB-support auf die Blacklist zu setzen. Wie haben hier in der Firma geheime Daten und da soll es halt stark erschwert werden ranzukommen.
Auf den Rechnern läuft SLES 10 SP1
Vielen Dank Bodo
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag 11 September 2008 20:19:12 schrieb Bodo Wlaka:
Hi folks
Welche Möglichkeiten gibt es eigentlich das mounten von z.B. USB-sticks zu unterbinden? Sicher gibt es doch auch noch andere Möglichkeiten wie USB im BIOS auszuschalten oder evtl. die Kernel-Module für USB-support auf die Blacklist zu setzen. Wie haben hier in der Firma geheime Daten und da soll es halt stark erschwert werden ranzukommen.
Auf den Rechnern läuft SLES 10 SP1
Vielen Dank Bodo
Hmmm, ausser BIOS und Kernel fällt mir noch ein, das Kabel der USB-Anschlüße vom Mainboard abzuziehen. Gruß Thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Thomas, Und die festen USB's an der Rückseite des Motherboards abknipsen mit dem Seitenschneider.
-----Ursprüngliche Nachricht----- Von: Thomas Schirrmacher [mailto:t.schirrmacher@gmx.net] Gesendet: Donnerstag, 11. September 2008 21:09 An: opensuse-de@opensuse.org Betreff: Re: usb-medien unterbinden
Am Donnerstag 11 September 2008 20:19:12 schrieb Bodo Wlaka:
Hi folks
Welche Möglichkeiten gibt es eigentlich das mounten von z.B. USB-sticks zu unterbinden? Sicher gibt es doch auch noch andere Möglichkeiten wie USB im BIOS auszuschalten oder evtl. die Kernel-Module für USB-support auf die Blacklist zu setzen. Wie haben hier in der Firma geheime Daten und da soll es halt stark erschwert werden ranzukommen.
Auf den Rechnern läuft SLES 10 SP1
Vielen Dank Bodo
Hmmm, ausser BIOS und Kernel fällt mir noch ein, das Kabel der USB-Anschlüße vom Mainboard abzuziehen.
Gruß Thomas
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Thursday 11 September 2008 21:24:29 schrieb Maximilian Steinbauer:
Hallo Thomas,
Und die festen USB's an der Rückseite des Motherboards abknipsen mit dem Seitenschneider.
Nun gut, die USB-Maus/Tastatur könnte man mit einem ps2-Adapter lösen. Nur sollte es etwas weniger drastisch sein. root braucht die Anschlüsse. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Thomas und Max Erstmal danke für die Vorschläge bis hierher. Am Thursday 11 September 2008 21:08:42 schrieb Thomas Schirrmacher:
Hmmm, ausser BIOS und Kernel fällt mir noch ein, das Kabel der USB-Anschlüße vom Mainboard abzuziehen.
Kernel und BIOS ist nicht so richtig praktikabel, da wir USB-Eigabegräte haben Maus, Tastatur. Wir nutzen KDE und irgendwie kann KDE ja den mount-Befehl nutzen um die Sachen zu mounten. Weiß jemand zufällig welches Progrämmchen dafür zuständig ist? Das muß doch irgendsoein kioslave-Dingens sein. Da die user eigentlich alles Linux-DAUs sind und gerade mal so halbwegs mit KDE klar kommen sollte das reichen. Also den mount-Vorgang unter KDE für Nichtroot verbieten. Ich werde mich gleich mal mit Tante google in Verbindung setzen und noch intensiver suchen, ob es da etwas gibt. Gruß Bodo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Bodo!
Also den mount-Vorgang unter KDE für Nichtroot verbieten.
In der Regel änderst du den Eintrag der /etc/fstab einfach ab. usbfs /proc/bus/usb usbfs gid=0,mode=0600 0 0 Dann dürfte der User auf das USB-Stick oder die USB-Festplatte gar nicht mehr zugreifen können, außer eben root. Falls HAL auf dieser SUSE läuft, dann mal sicherheitshalber mal nach der Policy schauen, ob USB nicht overridet wird. Der Ort wäre im Prinzip /usr/share/hal/fdi/policy/10osvendor/* Gruß Sebastian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, den 11.09.2008, 20:19 +0200 schrieb Bodo Wlaka: Hallo Bodo
Welche Möglichkeiten gibt es eigentlich das mounten von z.B. USB-sticks zu unterbinden?
Bei mir wird überhaupt nichts automtisch gemountet. Und bist zur 10.2er Susi hatte ich das auch dort. Ich benutze nach wie vor feste fstab-Einträge. Die Vorgehensweise dazu gab es irgendwo im SuSE-Archiv. Ich finde den Link aber im Moment nicht. Wenn das eine Alternative wäre? Kein Mountpoint - keine USB-Nutzung. Oder Mountpoint mit entsprechend gesetzten Rechten. Wenn es Dich interessiert, muß ich mal in meinem Archiv kramen. Gruß Stefan -- Private Nachrichten bitte nur noch an die Adresse s.neumeyer@gmx.net senden. Zu Wahrung meiner Privatsphäre bitte ich die Möglichkeiten der GNUgpg-Verschlüsselung zu nutzen. Public-Key 8B7A04A0D5B8F4DA Unverschlüsselt zugesandte Nachrichten werde ich nicht mehr beachten. OS: Debian GNU/Linux 4.0.r4 Desktop: XFCE 4.3.99 (Meine Alternative zum anderen "4" :) ) Mail: Evolution 2.3.6
Hallo, Am Don, 11 Sep 2008, Bodo Wlaka schrieb:
Welche Möglichkeiten gibt es eigentlich das mounten von z.B. USB-sticks zu unterbinden? Sicher gibt es doch auch noch andere Möglichkeiten wie USB im BIOS auszuschalten oder evtl. die Kernel-Module für USB-support auf die Blacklist zu setzen. Wie haben hier in der Firma geheime Daten und da soll es halt stark erschwert
Such mal in /etc/udev/rules.d/ nach usb... -dnh --
... Bücher sind ein grässliches Medium ... Ich schätze daran die leichte Portierbarkeit vom Sofa ins Bett. [Bjoern Hoehrmann und Peter Bieling in dciwam]
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu, Sep 11, 2008 at 08:19:12PM +0200, Bodo Wlaka wrote:
Wie haben hier in der Firma geheime Daten und da soll es halt stark erschwert werden ranzukommen.
Ich wuerde vorschlagen, die Daten in einer mit dmcrypt/LUKS verschluesselten Partition/Container unterzubringen, anstelle des Aufwandes mit den USB-Ports. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (7)
-
Bodo Wlaka -
David Haller -
Heinz Diehl -
Heinz-Stefan Neumeyer -
Maximilian Steinbauer -
Sebastian Siebert -
Thomas Schirrmacher