USB-Ports unter Linux SUSE 11 deaktivieren

E

Eddy&Micha

Newbie

• 18 Sep. 2008

• #1

Hallo erstmal,

wir haben folgendes Problem:

Wir sitzen momentan an einem wichtigen Projekt für unsere Firma und haben die Tage seit Montag damit verbracht das Internet zu durchforsten. Momentan sind wir allerdings ratlos, man findet im Internet leider nicht viel Produktives (wenn es mit SUSE gehen soll).
Dazu kommt noch das wir die meiste Zeit in der Firma mit Windows Betriebssystemen zu tun haben. :zensur:

Kurz zum Projekt:
Als Sicherheitsaspekt ist in unserer Firma wichtig, dass keine Daten von "außen" in unser Netz kommen. Daher ist es momentan unsere Aufgabe unter Linux SUSE 11 die USB-Ports zu deaktivieren.
Dies soll nach einer automatischen Installation selbstständig durchgeführt werden.

:???: HILFE :???:

Wir bedanken uns schonmal im vorraus für die hoffentlich schnelle Hilfe.


Mit freundlichen Grüßen

Eddy & Micha

 

S

spoensche

Moderator

Teammitglied

• 18 Sep. 2008

• #2

In das BIOS gehen und dort die USB Anschlüsse deaktivieren.

 

nbkr

Guru

• 18 Sep. 2008

• #3

Die USB Kernelmodule entladen könnte auch funktionieren. Habs aber bisher nie getest:

Code:

rmmod usbcore

 

OP

E

Eddy&Micha

Newbie

• 18 Sep. 2008
• Thread Starter

• #4

In das BIOS gehen und dort die USB Anschlüsse deaktivieren.

Zum Vergrößern anklicken....

Also diese Möglichkeit ist uns bereits bekannt, allerdings soll es möglich sein das der Administrator sein USB-Stick anschließen kann und dieser auch erkannt wird.
Wenn wir dies im BIOS einstellen werden ja für alle Benutzer die Ports gesperrt.

Sorry, da habe ich mich etwas ungenau ausgedrückt. ps:

Trotzdem danke für die schnelle Antwort, vielleicht haben Sie noch eine andere Idee für uns


[*Edit]
Beim entladen der Kernelmodule würde leider auch für alle User der Port gesperrt werden.


Mit freundlichen Grüßen

Micha

 

nbkr

Guru

• 18 Sep. 2008

• #5

Der Admin kann vor dem einstecken des USB Sticks die Module wieder laden. Dann klappt das auch. Wenn es nur um USB Sticks geht, kann man den Automounter auch abschalten - allerdings weiß ich nicht genau ob man verhindern kann dass der User das wieder einschaltet. Hängt von der verwendeten Desktopoberfläche ab.

 

OP

E

Eddy&Micha

Newbie

• 18 Sep. 2008
• Thread Starter

• #6

Automounter

Zum Vergrößern anklicken....

@ nbkr
Wie und Wo kann ich diesen einstellen?

Hab aber mal gelesen das man mit dem Automounter einige Hardware probleme bekommen kann?!
*Kann mich auch irren.

An die Variante das der Admin die Module beim Start immer wieder laden kann, haben wir auch schon gedacht, allerdings finden wir diese Möglichkeit sehr unsauber... :/
Wäre aber natürlich möglich, wollen wir aber unseren Administratoren auch nicht antun, außer es geht nicht anders 8)

Aber trotzdem danke für das Bemühen. :roll:


Mit freundlichen Grüßen

Micha

 

P

pft

Advanced Hacker

• 18 Sep. 2008

• #7

Beim entladen der Kernelmodule würde leider auch für alle User der Port gesperrt werden.

Zum Vergrößern anklicken....

Na und?
Entweder gehen die USB ports oder nicht. Das gilt dann immer für alle, aber nicht unbedingt für immer.

Du kannst jetzt entweder einen Kompromiß machen und die Ports aktiv lassen aber den anderen Usern nur das mounten verbieten
Oder
Du mutest deinen Administratoren zu die Kernelmodule bei Bedarf wieder zu laden - entladen nicht vergessen!

 

nbkr

Guru

• 18 Sep. 2008

• #8

Eddy&Micha schrieb:

@ nbkr
Wie und Wo kann ich diesen einstellen?

Zum Vergrößern anklicken....

Bei Gnome über gnome-volume-manager (ältere Version) oder über den Einstellungsdialog von Nautilus. Das ist aber wie gesagt nur die Userspezifische Einstellung. Das kann ein User wieder aktivieren.

 

misiu

Moderator

Teammitglied

• 18 Sep. 2008

• #9

Sollen die USB-Ports nur für Massenspeicher gesperrt werden und nur für User?
Sonstige USB-Geräte sollen normal erkannt werden und laufen?

Verstehe ich das richtig?

Wenn es so sein soll, dann müssen die *.fdi-Scripte so angepasst werden, dass die
Rechte für Massenstorage nur dem Admin mounten erlauben.

MfG
misiu

 

OP

E

Eddy&Micha

Newbie

• 18 Sep. 2008
• Thread Starter

• #10

nbkr schrieb:

Das kann ein User wieder aktivieren.

Zum Vergrößern anklicken....

@ nbkr
Ist leider ja nicht der Sinn der Sache. :???:
Aber trotzdem danke für die Idee. :roll:

misiu schrieb:

Sollen die USB-Ports nur für Massenspeicher gesperrt werden und nur für User?

Zum Vergrößern anklicken....

@ misiu
*Eigentlich* nur Massenspeichergeräte, ist für uns aber momentan nicht relevant. Wenn die Ports an sich gesperrt werden wäre das auch okay für uns.

misiu schrieb:

müssen die *.fdi-Scripte so angepasst werden

Zum Vergrößern anklicken....

@ misiu
Wir finden nun nicht wenige *.fdi Scripte. :/
Und wenn ich mir mal so eine Datei anschaue, sind diese auch nicht gerade klein, wissen Sie noch wo diese Änderungen genau vorgenommen werden müssen? Bzw. was für welche überhaupt?

Wie gesagt, wir sind normalerweise in der Windowswelt beheimatet :/


Mit freundlichen Grüßen

Micha

 

misiu

Moderator

Teammitglied

• 18 Sep. 2008

• #11

Müsste man praktisch für alle Dateisysteme entsprechende Regeln erstellen.
(/usr/share/hal/fdi/policy/10osvendor/ sehe 20-storage-methods.fdi)

Es gibt noch andere Wege:
In

Code:

/etc/modprobe.d/blacklist

Module Eintragen, die nicht geladen werden sollen (z.B. usb-storage).

oder USB komplett abschalten, mit Kernelbootparameter:

Code:

nousb

.

Möglicherweise würde es auch so funktionieren:
in

Code:

/etc/udev/rules.d/50-udev-default.rules

den Eintrag für USB verändern:

Code:

# libusb device access
SUBSYSTEM=="usb", ACTION=="add", ENV{DEVTYPE}=="usb_device", NAME="bus/usb/$env{BUSNUM}/$env{DEVNUM}", MODE="0644"

Mode="0644" beschreibt die Rechte, sehe auch:
http://www.easylinux.de/2003/09/071-guru-chmod/

Ich hoffe ihr könnt was damit anfangen

MfG
misiu

 

OP

E

Eddy&Micha

Newbie

• 18 Sep. 2008
• Thread Starter

• #12

Vielen dank für die viele Mühe.

Die Variante mit der Blacklist funktioniert größtenteils.
Leider wird dabei auch der Zugriff für den Admin unterbunden.

Wir werden es trotzdem mit dieser Möglichkeit erstmal ausprobieren.
Wenn nicht haben unsere Administrator etwas mehr Aufwand.

Haben Sie eine Idee wie wir nach der automatischen Installation diese Einstellungen via AutoYast implementieren können?


Mit freundlichen Grüßen

Eddy & Micha

 

misiu

Moderator

Teammitglied

• 19 Sep. 2008

• #13

Leider habe ich mich bis jetzt nur mit Netzwerk-Installationen beschäftigt, nicht aber mit AutoYast.
Möglicherweise reicht es zu Ende der Installation, die entsprechenden Module über Textkonsole zu entladen,
dann Blacklist bearbeiten und bei "Clone this system for AutoYaST" bestätigen um die Muster-Installation
zu erreichen.

MfG
misiu

 

OP

E

Eddy&Micha

Newbie

• 19 Sep. 2008
• Thread Starter

• #14

Hat keiner von Ihnen eine Idee?


Mit freundlichen Grüßen
euer Micha

 

nbkr

Guru

• 19 Sep. 2008

• #15

Autoyast kenne ich nicht. Ich würde puppet installieren, einen puppetd Server aufsetzen und die Konfigeinstellungen damit auf die Clients pusten.