【发布时间】:2020-10-30 12:39:38
【问题描述】:
我想在大厅部署一个小型物体检测应用程序,但我想防止未经授权的物理访问。该设备在启动时自动登录,因此任何人都可以使用键盘访问它。我怎么能防止呢?谢谢!
【问题讨论】:
我想在大厅部署一个小型物体检测应用程序,但我想防止未经授权的物理访问。该设备在启动时自动登录,因此任何人都可以使用键盘访问它。我怎么能防止呢?谢谢!
【问题讨论】:
也许您可以尝试将usb-storage 驱动程序列入黑名单?
创建这个文件:
sudo vim /etc/modprobe.d/blacklist.conf
将此行写入文件:
usb-storage
保存、关闭并重新启动。
【讨论】:
Nam 的建议很好。它锁定了 USB 存储,但仍然允许 USB 摄像头工作。您也可以通过这种方式锁定 USB 键盘。通过努力,您可以插入许多潜在的攻击点,包括 MDT 和串行访问的登录密码。也许您会将 USB 摄像头强力粘合到位,或者将整个组件固定在一个带锁的盒子中。
Coral 开发主要关注边缘 TPU 上的嵌入式 ML 推理,而不是部署的安全权衡。以下是一些未经测试的建议,而不是记录在案的建议。
在任何联网设备上解决电子篡改问题都很重要。我们不建议为终端应用程序部署 Mendel。它仅用于开发。使用 yocto 构建仅包含您的应用程序所需的内容,并确保包含所有最新的安全补丁。
防止物理篡改可能是一项无限挑战。首先,确定预期的攻击级别,不要再进一步了。一些企业有武装保安。大多数企业都没有武装安全。我家没有保安。
您需要带防拆开关的上锁盒子吗? ATM 机和销售点终端已发布标准以确保它们足够安全。也许一个带锁的盒子就足够了。攻击者可以切断电缆并拿走没有用螺栓固定的盒子,但不能迅速破坏设备。
一旦您制定了安全计划,获得外部审查就很重要。他们可以帮助您做出决定:该计划是否可以防止预期的攻击媒介?是否有任何其他攻击媒介必须针对此级别的安全性加以解决?对于这种安全级别,计划中是否有太多内容?根据应用程序的不同,在准备就绪时聘请渗透测试人员进行实际评估可能是合理的。
【讨论】:
最后,我选择禁用 mendel 用户的登录并将其锁定。我没有使用/bin/false,而是选择将我自己的脚本放在/usr/bin/guard.sh 中,该脚本会在mendel 的主目录中创建一个.UNAUTHORISED_LOGIN 文件,以防有人试图打开设备上的终端。基本上我运行了以下命令:
chmod +x guard.sh
sudo cp guard.sh /usr/bin
sudo chsh -s /usr/bin/guard.sh mendel
sudo usermod -L mendel
guard.sh 内容:
#!/bin/bash
touch /home/mendel/.UNAUTHORISED_LOGIN
【讨论】: