如何以编程方式阻止 Linux 操作系统用户空间中的 USB 存储设备

Question

我必须开发功能，当 USB 存储设备连接到 Linux 机器时，我的密码窗口会弹出。如果用户输入正确的密码，设备将继续安装。如果密码错误，用户应该无法访问设备。这就像 Linux 操作系统的端点保护。

我们如何仅在 Linux 用户空间中实现这一点？

这里我不想进行内核模式编程，因为它非常耗时并且涉及与分布范围兼容性相关的问题。

此外，该解决方案应该适用于所有内核版本和 Linux 发行版。

提前致谢。

Answer 1

要限制任何外部 USB 存储媒体，

将负责支持 USB 大容量存储的驱动程序列入黑名单。

例如在 Ubuntu 上，将以下行添加到文件 /etc/modprobe.d/blacklist.conf 的末尾。

# disable usb storage access
blacklist usb_storage

在随后重新启动时，将不支持 USB 存储设备，直到首先加载驱动程序（只有超级用户才能这样做）。

请注意，首先只有超级用户帐户才能修改此黑名单文件。

现在您可以简单地以超级用户身份移除用于 USB 大容量存储的内核模块

rmmod usb_storage

现在只有超级用户可以modprobe 或insmod USB 存储驱动程序来启用 USB 存储介质。

可以编写一个以超级用户身份运行的 GUI 应用程序，它可以提示用户输入密码并根据需要加载/删除 usb_storage.ko。

请注意，应用程序现在成为攻击的目标，并且根据它存储/验证密码的方式，它很容易被有合理动机的“攻击者”绕过。

另请注意，使用这种方法，它是一个全有或全无的功能，即一旦通过身份验证，所有 USB 端口上的任何 USB 存储介质都可以访问，直到通过卸载 usb_storage.ko 模块再次禁用它们。

---

为了保护外部 USB 媒体中的数据，

在dm-crypt 或ecryptfs 的帮助下开始使用加密存储设备。

基本上您需要先加密外部 USB 存储介质。随后当它连接到系统时，取决于配置：

• 用户必须在终端上运行几个命令（并提供密码）

  或

• 系统提示输入密码，一旦提供，尝试挂载加密盘。

请参阅以下wiki，了解有关创建加密外部磁盘和配置 Ubuntu Linux 机器以提示输入密码并在连接时自动挂载加密磁盘的分步指南。