#1 Le 12/02/2013, à 23:22
- tkof
Sécurité : Désactivation instal automatique périphérique USB, etc
À ce jour quand un périphérique USB, est branché celui-ci est reconnue automatiquement...
Je souhaiterai changer "un peu" la méthodologie, mais avoir une alertebox pour me demander si je souhaite ou non installer le "dit périphérique".
Cela peut concerner tout périphérique USB "nouveau" ou périphérique sur d'autre port (eSata, etc).
Les raisons et motifs, sont des raisons de "sécurité".
Si la plupart des problèmes concerne windows, je souhaite toutefois savoir comment procéder sous Linux pour contrer ce type de problème.
Pour ceux qui souhaitent comprendre la démarche :
http://ctogonewild.com/2009/09/14/firew … revisited/
http://www.cryptosmith.com/node/330
http://www.infosecisland.com/blogview/1 … rives.html
http://news.cnet.com/8301-27080_3-20028919-245.html
OS: Ubuntu + Gnome
Hors ligne
#2 Le 13/02/2013, à 00:41
- Maisondouf
Re : Sécurité : Désactivation instal automatique périphérique USB, etc
Linux machines offer no warning, so users will have no idea that something out of the ordinary is happening, particularly since the regular keyboard and mouse continue to function normally during an attack, Stavrou said.
Le mec qui a écrit ça ne connaît pas un gramme de Linux.....
Lorsqu'une clef USB est montée automatiquement, elle est montée dans la session de l'utilisateur courant avec les droits de l'utilisateur courant.
En aucun cas (à moins d'avoir bidouillé son Linux) un quelconque bout de code sur la clef pourra exécuter des actions avec les droits 'root' sans passer par une identification type 'sudo' avec mot de passe demandé en temps réel par une fenêtre à l'écran.
Le sécurité c'est une chose, la parano en est une autre.
Maintenant, il est tout à fait possible de désactiver le montage automatique des périphériques USB ainsi que l'exécution automatique des éventuels "autorun.sh" qui ma foi ne courent pas encore beaucoup les rues.
ASUS M5A88-v EVO avec AMD FX(tm)-8120 Eight-Core Processor, OS principal Precise 12.04.1 LTS 63bits½
Bricoleur, menteur, inculte, inadapté social et mythomane, enfin d'après certains....
"the secret of my form is summed up in two words, no sport" (Winston Churchill)
Hors ligne
#3 Le 13/02/2013, à 00:54
- tiramiseb
Re : Sécurité : Désactivation instal automatique périphérique USB, etc
Tu peux désactiver le montage automatique des volumes de stockage (clé USB, etc).
Par contre ça ne te protégera jamais de ce type d'attaque. Si tu veux être protégé contre ce genre de choses, il faut décharger le pilote prenant en charge les claviers USB... y compris le tien....
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#4 Le 13/02/2013, à 01:28
- Maisondouf
Re : Sécurité : Désactivation instal automatique périphérique USB, etc
Aller chez Castorama acheter un pistolet à colle et boucher tous les ports USB, puis mettre en œuvre un brouilleur WiFi et couper tous les câbles qui sortent du PC en prenant soin de monter sur une chaise en bois dont les quatre pieds sont posés dans des assiettes en arcopal pour éviter tout risque d'électrocution.
Je sais je délire...
ASUS M5A88-v EVO avec AMD FX(tm)-8120 Eight-Core Processor, OS principal Precise 12.04.1 LTS 63bits½
Bricoleur, menteur, inculte, inadapté social et mythomane, enfin d'après certains....
"the secret of my form is summed up in two words, no sport" (Winston Churchill)
Hors ligne
#5 Le 13/02/2013, à 05:33
- tkof
Re : Sécurité : Désactivation instal automatique périphérique USB, etc
* Je suis tombé sur une page web qui propose de faire une demande de mot de passe (mais j'ai pas encore testé).
Toutefois le "nom du device" et "un oui ou non" me suffit.
* Protéger l'accès physique "c'est une des bases", après faut pas tomber dans la parano, la personne qui veut vraiment ouvrir le pc, peut le faire.
* Montage avec l'utilisateur courant (c'est aussi un peu problématique, la plupart des fichiers perso, sont à l'utilisateur courant)
à part les affecter à un autre, ou virtualisé, pas de pistes de réflexion.
* Empêcher le driver (clavier, carte réseau, etc) de s'installer pour un device USB, c'est l'objectif aussi (je parle pas que des clefs USB de stockage)
Ce qui me gêne le plus c'est le Firewire (carte usb Firewire).
* autorun.sh (ça désactive quelque part) ?
OS: Ubuntu + Gnome
Hors ligne
#6 Le 13/02/2013, à 13:50
- Maisondouf
Re : Sécurité : Désactivation instal automatique périphérique USB, etc
Montage avec l'utilisateur courant (c'est aussi un peu problématique, la plupart des fichiers perso, sont à l'utilisateur courant)
Non, ce n'est pas problématique, c'est la garantie que leur exécution en mode 'root' est impossible sans contrôle.
Empêcher le driver (clavier, carte réseau, etc) de s'installer pour un device USB
Le seul driver qui peut s'installer automatiquement, c'est celui présent dans le noyau.
autorun.sh (ça désactive quelque part)
C'est sûrement possible, mais "autorun.sh" (encore un fois) sera exécuté avec les droits de l'utilisateur courant.
ASUS M5A88-v EVO avec AMD FX(tm)-8120 Eight-Core Processor, OS principal Precise 12.04.1 LTS 63bits½
Bricoleur, menteur, inculte, inadapté social et mythomane, enfin d'après certains....
"the secret of my form is summed up in two words, no sport" (Winston Churchill)
Hors ligne
#7 Le 13/02/2013, à 22:41
- amethyst
Re : Sécurité : Désactivation instal automatique périphérique USB, etc
Lorsqu'une clef USB est montée automatiquement, elle est montée dans la session de l'utilisateur courant avec les droits de l'utilisateur courant.
En aucun cas (à moins d'avoir bidouillé son Linux) un quelconque bout de code sur la clef pourra exécuter des actions avec les droits 'root' sans passer par une identification type 'sudo' avec mot de passe demandé en temps réel par une fenêtre à l'écran.
...
Maintenant, il est tout à fait possible de désactiver le montage automatique des périphériques USB ainsi que l'exécution automatique des éventuels "autorun.sh" qui ma foi ne courent pas encore beaucoup les rues.
Quid alors, Maisondouf, si j'utilise sur un ordinosaure une version de PuppyLinux ? Je dois constamment faire un aller retour entre ce pc et celui d'une académie dont le pc tourne sous win$daube_xp et monte journellement les clefs usb de tous les étudiants ? Ma clef est sans cesse exposée à du malware et mon poste linux n'offre pas d'antivirus. Comment neutraliser cette clef ? tu aurais une idée ?
Hors ligne
#8 Le 13/02/2013, à 22:49
- tiramiseb
Re : Sécurité : Désactivation instal automatique périphérique USB, etc
Ta clé est exposée à des malwares faits pour Windows, il n'y a pas de risque pour ton système.
Et tu peux utiliser un anti-virus sous Linux pour nettoyer ta clé...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#9 Le 13/02/2013, à 23:43
- amethyst
Re : Sécurité : Désactivation instal automatique périphérique USB, etc
Merci, tiramiseb, pour ton info
Hors ligne
#10 Le 22/02/2013, à 13:43
- tkof
Re : Sécurité : Désactivation instal automatique périphérique USB, etc
C'est sûrement possible, mais "autorun.sh" (encore un fois) sera exécuté avec les droits de l'utilisateur courant.
Un autorun.sh qui copie les fichiers de l'utilisateur c'est genant !
(fichier de l'utilisateur avec les droits de l'utilisateur).
Si la sécurité sous Linux est présente, il y a toutefois des limitations à prendre en compte.
Si des personnes ont des solutions je reste ouvert aux suggestions.
OS: Ubuntu + Gnome
Hors ligne
#11 Le 12/12/2016, à 11:01
- Bountou
Re : Sécurité : Désactivation instal automatique périphérique USB, etc
Bonjour,
Et si avant de verrouiller son poste, on change de session et qu'on passe en session "Invité" est-ce que cela permet d'avoir un peu plus de sécurité?
OS : Ubuntu 16.04 LTS
Hors ligne