Frage Wie kann ich die Ausführung von Shell-Skripten und ausführbaren Dateien auf einem USB-Gerät deaktivieren?


Wir haben ein industrielles System (unter Linux) mit einem USB-Port. Wir haben den USB-Anschluss nur zum Kopieren bestimmter Daten. Darüber hinaus möchten wir nicht, dass das USB-Laufwerk andere ausführbare Dateien oder Skripte enthält. Sie können einen Wurm / Virus auf ein USB-Gerät kopieren und das System anschließen. Was sind die Möglichkeiten, dies zu vermeiden?

Aktualisieren: Wenn es mit noexec-Option gemountet ist, kann der Benutzer nicht ausführen, wie Sie vorgeschlagen haben. Aber um remount und wechseln zu exec, Wie wird der Benutzer Root-Berechtigungen erhalten?


1
2018-04-01 16:48


Ursprung


Ich nehme an, Sie suchen mehr als die Noexec-Mount-Option? - Cry Havok
Wer sind "sie", in diesem Fall? Menschen, die für Sie arbeiten, Menschen, die für diejenigen arbeiten, die dieses System kaufen, oder andere? Sie könnten wahrscheinlich zwingen noexecAber dann werde ich dich schlagen lassen /bin/bash /mount/usb/maliciousscript.sh - Michael Kjörling
@Cry Danke, ja. @ Michael, Danke für die Idee. Diese Leute sind diejenigen, die dieses System kaufen. Wir wollen nicht, dass sie sehen, was im Inneren passiert. Damit sie nicht auf unsere Einstellungsdaten zugreifen oder unser System optimieren. - m4n07
@ m4n07 Dann musst du mehr tun als nur das Programm von einem USB-Stick zu starten ... - Cry Havok
Du willst wahrscheinlich gehen Sicherheit.stackexchange.com - Was Sie fragen, ist, wie man ein System vor physischen Angriffen schützt. Viele davon werden bereits dort behandelt worden sein - aber lies ihre FAQ (security.stackexchange.com/faq) zuerst. - Cry Havok


Antworten:


Wenn Ihr System keine Dateien vom USB-Speichergerät ausführen soll, müssen Sie sich keine Gedanken über Viren machen. Wenn du nur sein wirst Schreiben Daten auf die USB-Festplatte, vergessen Sie sie.

Wenn Sie auch lesen müssen und analysieren Daten, die von der Festplatte kommen, könnte jemand versuchen, eine Schwachstelle in Ihrer Software auszunutzen. Es muss darauf geachtet werden, die Möglichkeiten zur Einführung solcher Schwachstellen zu reduzieren (Pufferüberläufe usw.).

Achten Sie darauf, die "Autorun"Eigenschaft Ihrer Distribution, wenn sie solche anbietet. Unwahrscheinlich in einer minimalen, eingebetteten Distribution.


0
2018-04-02 15:50