Sécurité : Désactivation instal automatique périphérique USB, etc

tkof · Le 12/02/2013, à 23:22

À ce jour quand un périphérique USB, est branché celui-ci est reconnue automatiquement...
Je souhaiterai changer "un peu" la méthodologie, mais avoir une alertebox pour me demander si je souhaite ou non installer le "dit périphérique".

Cela peut concerner tout périphérique USB "nouveau" ou périphérique sur d'autre port (eSata, etc).
Les raisons et motifs, sont des raisons de "sécurité".
Si la plupart des problèmes concerne windows, je souhaite toutefois savoir comment procéder sous Linux pour contrer ce type de problème.

Pour ceux qui souhaitent comprendre la démarche :
http://ctogonewild.com/2009/09/14/firew … revisited/
http://www.cryptosmith.com/node/330
http://www.infosecisland.com/blogview/1 … rives.html
http://news.cnet.com/8301-27080_3-20028919-245.html

Maisondouf · Le 13/02/2013, à 00:41

new.cnet.com a écrit :

Linux machines offer no warning, so users will have no idea that something out of the ordinary is happening, particularly since the regular keyboard and mouse continue to function normally during an attack, Stavrou said.

Le mec qui a écrit ça ne connaît pas un gramme de Linux.....
Lorsqu'une clef USB est montée automatiquement, elle est montée dans la session de l'utilisateur courant avec les droits de l'utilisateur courant.
En aucun cas (à moins d'avoir bidouillé son Linux) un quelconque bout de code sur la clef pourra exécuter des actions avec les droits 'root' sans passer par une identification type 'sudo' avec mot de passe demandé en temps réel par une fenêtre à l'écran.

Le sécurité c'est une chose, la parano en est une autre.

Maintenant, il est tout à fait possible de désactiver le montage automatique des périphériques USB ainsi que l'exécution automatique des éventuels "autorun.sh" qui ma foi ne courent pas encore beaucoup les rues.

tiramiseb · Le 13/02/2013, à 00:54

Tu peux désactiver le montage automatique des volumes de stockage (clé USB, etc).

Par contre ça ne te protégera jamais de ce type d'attaque. Si tu veux être protégé contre ce genre de choses, il faut décharger le pilote prenant en charge les claviers USB... y compris le tien....

Maisondouf · Le 13/02/2013, à 01:28

Aller chez Castorama acheter un pistolet à colle et boucher tous les ports USB, puis mettre en œuvre un brouilleur WiFi et couper tous les câbles qui sortent du PC en prenant soin de monter sur une chaise en bois dont les quatre pieds sont posés dans des assiettes en arcopal pour éviter tout risque d'électrocution.
Je sais je délire...

tkof · Le 13/02/2013, à 05:33

* Je suis tombé sur une page web qui propose de faire une demande de mot de passe (mais j'ai pas encore testé).
Toutefois le "nom du device" et "un oui ou non" me suffit.

* Protéger l'accès physique "c'est une des bases", après faut pas tomber dans la parano, la personne qui veut vraiment ouvrir le pc, peut le faire.

* Montage avec l'utilisateur courant (c'est aussi un peu problématique, la plupart des fichiers perso, sont à l'utilisateur courant)
à part les affecter à un autre, ou virtualisé, pas de pistes de réflexion.

* Empêcher le driver (clavier, carte réseau, etc) de s'installer pour un device USB, c'est l'objectif aussi (je parle pas que des clefs USB de stockage)
Ce qui me gêne le plus c'est le Firewire (carte usb Firewire).

* autorun.sh (ça désactive quelque part) ?

Maisondouf · Le 13/02/2013, à 13:50

tkof a écrit :

Montage avec l'utilisateur courant (c'est aussi un peu problématique, la plupart des fichiers perso, sont à l'utilisateur courant)

Non, ce n'est pas problématique, c'est la garantie que leur exécution en mode 'root' est impossible sans contrôle.

tkof a écrit :

Empêcher le driver (clavier, carte réseau, etc) de s'installer pour un device USB

Le seul driver qui peut s'installer automatiquement, c'est celui présent dans le noyau.

tkof a écrit :

autorun.sh (ça désactive quelque part)

C'est sûrement possible, mais "autorun.sh" (encore un fois) sera exécuté avec les droits de l'utilisateur courant.

amethyst · Le 13/02/2013, à 22:41

Maisondouf a écrit :

Lorsqu'une clef USB est montée automatiquement, elle est montée dans la session de l'utilisateur courant avec les droits de l'utilisateur courant.
En aucun cas (à moins d'avoir bidouillé son Linux) un quelconque bout de code sur la clef pourra exécuter des actions avec les droits 'root' sans passer par une identification type 'sudo' avec mot de passe demandé en temps réel par une fenêtre à l'écran.
...
Maintenant, il est tout à fait possible de désactiver le montage automatique des périphériques USB ainsi que l'exécution automatique des éventuels "autorun.sh" qui ma foi ne courent pas encore beaucoup les rues.

Quid alors, Maisondouf, si j'utilise sur un ordinosaure une version de PuppyLinux ? Je dois constamment faire un aller retour entre ce pc et celui d'une académie dont le pc tourne sous win$daube_xp et monte journellement les clefs usb de tous les étudiants ? Ma clef est sans cesse exposée à du malware et mon poste linux n'offre pas d'antivirus. Comment neutraliser cette clef ? tu aurais une idée ?

tiramiseb · Le 13/02/2013, à 22:49

Ta clé est exposée à des malwares faits pour Windows, il n'y a pas de risque pour ton système.
Et tu peux utiliser un anti-virus sous Linux pour nettoyer ta clé...

amethyst · Le 13/02/2013, à 23:43

Merci, tiramiseb, pour ton info

tkof · Le 22/02/2013, à 13:43

Maisondouf a écrit :

C'est sûrement possible, mais "autorun.sh" (encore un fois) sera exécuté avec les droits de l'utilisateur courant.

Un autorun.sh qui copie les fichiers de l'utilisateur c'est genant !
(fichier de l'utilisateur avec les droits de l'utilisateur).

Si la sécurité sous Linux est présente, il y a toutefois des limitations à prendre en compte.

Si des personnes ont des solutions je reste ouvert aux suggestions.

Bountou · Le 12/12/2016, à 11:01

Bonjour,
Et si avant de verrouiller son poste, on change de session et qu'on passe en session "Invité" est-ce que cela permet d'avoir un peu plus de sécurité?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 12/02/2013, à 23:22

Sécurité : Désactivation instal automatique périphérique USB, etc

#2 Le 13/02/2013, à 00:41

Re : Sécurité : Désactivation instal automatique périphérique USB, etc

#3 Le 13/02/2013, à 00:54

Re : Sécurité : Désactivation instal automatique périphérique USB, etc

#4 Le 13/02/2013, à 01:28

Re : Sécurité : Désactivation instal automatique périphérique USB, etc

#5 Le 13/02/2013, à 05:33

Re : Sécurité : Désactivation instal automatique périphérique USB, etc

#6 Le 13/02/2013, à 13:50

Re : Sécurité : Désactivation instal automatique périphérique USB, etc

#7 Le 13/02/2013, à 22:41

Re : Sécurité : Désactivation instal automatique périphérique USB, etc

#8 Le 13/02/2013, à 22:49

Re : Sécurité : Désactivation instal automatique périphérique USB, etc

#9 Le 13/02/2013, à 23:43

Re : Sécurité : Désactivation instal automatique périphérique USB, etc

#10 Le 22/02/2013, à 13:43

Re : Sécurité : Désactivation instal automatique périphérique USB, etc

#11 Le 12/12/2016, à 11:01

Re : Sécurité : Désactivation instal automatique périphérique USB, etc

Pied de page des forums