Как защитить USB-порты через BIOS, и мы также покажем вам, как использовать, устанавить USBguard в Linux.

Одним из компонентов аппаратного обеспечения, которые необходимы при выполнении нескольких задач в любой операционной системе, являются порты USB, поскольку в них мы можем подключить сотни устройств таки,х как USB-накопители, цифровые камеры, мобильные устройства и многие другие.

Как защитить BIOS в Linux

Первым шагом, который мы можем предпринять в качестве пользователей или системных администраторов, является защита запуска системы или загрузка с помощью пароля, таким образом, если машина может оставаться в бездействии  в течение определенного периода времени, мы предотвратим несанкционированное использование доступ к информации.

Если мы хотим установить пароль в начале операционной системы, мы должны перезапустить или запустить, если компьютер выключен, и нажмите клавиши «Esc», «F2», «Delete» или тот, который указан производителя для доступа к BIOS. Как только мы перейдем на вкладку «Security» и перейдем к строке «Password on Boot»:

Чтобы эта опция была активной, мы должны определить пароль в строке «Set user password».

Нажатие «Enter» в этой строке и система отобразит следующий параметр, в котором мы выберем опцию «Enabled».

После того, как пароль включен, нажмите клавишу «F10», чтобы сохранить изменения.

Таким образом, когда система запускается, мы увидим следующее:

Как использовать и устанавить USBGuard на Linux

На данный момент -это одно из лучших приложений для защиты среды Linux на уровне USB-портов, поскольку USBGuard был разработан для защиты компьютера от опасных USB-устройств, реализуя политику белых списков и функции черного списка на основе атрибутов USB-порта.

Эти вредоносные USB-устройства также известны как BadUSB.

Для установки USBGuard в Linux, как мы упоминали, мы будем использовать Ubuntu 17.04, и для этого мы выполним следующее:

sudo apt install usbguard

Чтобы запустить процесс авторизации USB-устройства через USBGuard, мы выполним следующие команды:

sudo usbguard generate-policy > rules.conf

sudo nano rules.conf

После открытия файла мы увидим следующее:

В этих строках будут добавлены и разрешены все устройства, которые в настоящее время подключены.

Мы можем исключить или закомментировать строки устройств, которые мы не хотим разрешать.

Чтобы авторизовать устройство, мы выполним следующие команды:

sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf

sudo systemctl restart usbguard

Как проверить USBGuard на Linux

В то время, как в системе будет обнаружено любое USB-устройство, которое мы подключаем к компьютеры, оно не будет работать.

Чтобы перечислить подключенные USB-устройства, мы выполним следующее:

lsusb

Там мы увидим USB-устройство, которое мы только что подключили – Kingston Digital.

Чтобы добавить это устройство в список разрешенных устройств, мы перейдем к редактированию следующего файла:

sudo nano /etc/usbguard/rules.conf

Там мы должны добавить идентификатор USB-устройства для авторизации в последней части файла:

Сохраните изменения, используя клавиши Ctrl + O и выйдите из редактора, используя клавиши Ctrl + X.

Мы должны перезапустить службу USBGuard, запустив:

sudo systemctl restart usbguard

Теперь просто отключите и снова подключите USB, и мы можем получить доступ к нему из проводника, как обычно.

Таким образом, Linux позволяет выполнять устройства, которые соответствуют добавленному идентификатору, иначе они будут отклонены.

linux_kernel_cves

Это простой проект для отслеживания CVE в исходном ядре Linux.

Индивидуальные дистрибутивы (RHEL, Debian, Ubuntu и т. д) не часто выполняют хорошую работу по отслеживанию CVE для своих собственных ядер.

Этот проект призван помочь в устранении этой пустоты.

В настоящее время все выходные данные хранятся в файле CVEs.txt.

Результат был сгенерирован автоматически с помощью набора инструментов, которые еще не были полностью протестированы или обнародованы.

Как просмотреть данные

Существует два способа просмотра / использования данных.

Самый простой – это веб-интерфейс на www.linuxkernelcves.com.

Здесь вы можете просматривать CVE по потоку или по идентификатору CVE.

Второй способ находится здесь на странице GitHub.

На GitHub данные выводятся как в формате JSON, так и в текстовом формате.

Обе страницы предлагают одни и те же данные.

Замечание по безопасности Linux

Отслеживание, смягчение и исправление CVE – это лишь небольшая часть поддержки безопасного ядра.

Позвольте мне пояснить, вы можете исправить все известные CVE и по-прежнему быть уязвимыми.

Некоторые риски могут быть смягчены путем правильной настройки вашего ядра / системы.

Я предлагаю вам посетить проект самозащиты ядра и другие страницы безопасности ядра для получения дополнительной информации.

Чтение отчетов

Ниже приведен список определений для определенных строк, которые вы можете увидеть в отчете потока.

Единственными CVE, которые должны появиться в потоковом документе, являются те, которые потенциально влияют на этот поток. (то есть те, которые не были установлены до первой версии выпуска и не были введены после версии выпуска).

Если фиксация не известна для CVE, то по умолчанию предполагается, что она присутствует во всех потоках после ее введения.

• Fix unknown’: нет исправления
• ‘Fixed with X’:исправление было замечено в потоке и впервые появилась в версии X
• ‘Fix not seen in stream’: фиксации известна и действительна, но не отображается в этом потоке (т. е. Поток по-прежнему уязвим)

Обзор процесса

Процесс создания этих документов сосредоточен на том, чтобы быть максимально автоматическим. Ниже приведен общий план.

1. Возьмите список всех CVE ядра (в настоящее время ограничено после 2004 года, см. № 3).
2. Если проблема отмечена как конкретная для поставщика, проигнорируйте ее.
3. Получите удаляющие / исправляющие действия. Сначала он извлекается из внутреннего кеша, если не решение присутствует, он извлекает из Ubuntu, Debian и т. д., чтобы попытаться заполнить эту информацию.
4. Используя эти идентификаторы commit, получите первые теги в основной строке, которые они отображают.
5. Используя эту временную шкалу, для каждого потока, который будет уязвим, выполните шаги с 6 по 8.
6. Найдите коммит, у которого есть сообщение фиксации, которое соответствует сообщению фиксации из основной линии.
7. Запишите идентификатор фиксации и получите самый ранний тег в потоке, который имеет эту фиксацию.
8. Вывести информацию для потока документа.
9. Обновите JSON.

Скачать