【问题标题】:How to secure a Coral Dev Board in a public place?如何在公共场所确保 Coral Dev Board 的安全?
【发布时间】:2020-10-30 12:39:38
【问题描述】:

我想在大厅部署一个小型物体检测应用程序,但我想防止未经授权的物理访问。该设备在启动时自动登录,因此任何人都可以使用键盘访问它。我怎么能防止呢?谢谢!

【问题讨论】:

    标签: deployment google-coral


    【解决方案1】:

    也许您可以尝试将usb-storage 驱动程序列入黑名单?

    创建这个文件:

    sudo vim /etc/modprobe.d/blacklist.conf
    

    将此行写入文件:

    usb-storage
    

    保存、关闭并重新启动。

    【讨论】:

    • 我想过类似的事情,但我使用的是 USB 摄像头,所以我需要 USB 访问权限。
    • 如果我错了请纠正我,但我认为这只会关闭存储设备,相机应该可以正常工作吗?
    • 对不起,我完全错过了你的评论。我现在试过了,但我的鼠标在连接后仍然可以工作。
    【解决方案2】:

    Nam 的建议很好。它锁定了 USB 存储,但仍然允许 USB 摄像头工作。您也可以通过这种方式锁定 USB 键盘。通过努力,您可以插入许多潜在的攻击点,包括 MDT 和串行访问的登录密码。也许您会将 USB 摄像头强力粘合到位,或者将整个组件固定在一个带锁的盒子中。

    Coral 开发主要关注边缘 TPU 上的嵌入式 ML 推理,而不是部署的安全权衡。以下是一些未经测试的建议,而不是记录在案的建议。

    在任何联网设备上解决电子篡改问题都很重要。我们不建议为终端应用程序部署 Mendel。它仅用于开发。使用 yocto 构建仅包含您的应用程序所需的内容,并确保包含所有最新的安全补丁。

    防止物理篡改可能是一项无限挑战。首先,确定预期的攻击级别,不要再进一步了。一些企业有武装保安。大多数企业都没有武装安全。我家没有保安。

    您需要带防拆开关的上锁盒子吗? ATM 机和销售点终端已发布标准以确保它们足够安全。也许一个带锁的盒子就足够了。攻击者可以切断电缆并拿走没有用螺栓固定的盒子,但不能迅速破坏设备。

    一旦您制定了安全计划,获得外部审查就很重要。他们可以帮助您做出决定:该计划是否可以防止预期的攻击媒介?是否有任何其他攻击媒介必须针对此级别的安全性加以解决?对于这种安全级别,计划中是否有太多内容?根据应用程序的不同,在准备就绪时聘请渗透测试人员进行实际评估可能是合理的。

    【讨论】:

    • 首先,让我为迟到的回复道歉。我尝试了他的建议,但我的目标实际上是阻止 USB 键盘。感谢您的建议,我们可能会按照您所说的尝试对设备进行物理保护。
    【解决方案3】:

    最后,我选择禁用 mendel 用户的登录并将其锁定。我没有使用/bin/false,而是选择将我自己的脚本放在/usr/bin/guard.sh 中,该脚本会在mendel 的主目录中创建一个.UNAUTHORISED_LOGIN 文件,以防有人试图打开设备上的终端。基本上我运行了以下命令:

    chmod +x guard.sh
    sudo cp guard.sh /usr/bin
    sudo chsh -s /usr/bin/guard.sh mendel
    sudo usermod -L mendel
    

    guard.sh 内容:

    #!/bin/bash
    
    touch /home/mendel/.UNAUTHORISED_LOGIN
    

    【讨论】:

      猜你喜欢
      • 2019-10-16
      • 1970-01-01
      • 1970-01-01
      • 2017-10-27
      • 2022-09-24
      • 2023-03-28
      • 1970-01-01
      • 2023-03-12
      • 1970-01-01
      相关资源
      最近更新 更多