Uno de los componentes de hardware que son imprescindibles a la hora de realizar múltiples tareas en cualquier sistema operativo son los puertos USB ya que en ellos podemos conectar cientos de dispositivos que tienen este tipo de conexión tales como memorias USB, cámaras digitales, dispositivos móviles y beaucoup plus.
L'utilisation principale que l'on donne aux ports USB, qu'ils soient 2.0 ou 3.0, est de connecter des clés USB pour faciliter le transport d'informations, mais on sait bien que ces appareils deviennent une menace sérieuse pour la sécurité du système puisque dans de nombreux Parfois, ils contiennent des virus ou des logiciels malveillants qui, au moment de la connexion à l'ordinateur, propagent ladite menace affectant la sécurité et la confidentialité.
Dans le cas des environnements Linux, à de nombreuses reprises, nous ne prenons pas les mesures nécessaires pour éviter cela sous prétexte que Linux est un système sécurisé, et bien que cela soit vrai, nous sommes confrontés à des menaces latentes qui affectent les fichiers et les éléments de tout système d'exploitation. .
C'est pour cette raison qu'aujourd'hui Solvetic analysera comment protéger les ports USB dans les environnements Linux. Dans ce cas, nous utiliserons Ubuntu 17.04 mais ce processus s'applique aux autres éditions.
Conseils de baseAvant de savoir comment protéger les ports USB, il existe une série de recommandations fondamentales pour éviter d'être victime de tout type de menace, ce sont :
- Scannez toujours le périphérique USB avec un antivirus efficace
- N'utilisez pas de périphériques USB que nous avons trouvés dans la rue ou dans un lieu public
- Dans la plupart des cas où les informations sont sensibles, il est préférable d'utiliser une plateforme de service cloud telle que OneDrive, Dropbox ou Google Drive.
- N'utilisez pas d'USB de marques inconnues
1. Comment protéger le BIOS sous Linux
Étape 1
La première étape que nous pouvons faire en tant qu'utilisateurs ou administrateurs système est de protéger le démarrage ou le démarrage du système avec un mot de passe car, de cette manière, si la machine doit être laissée libre pendant un certain temps, nous empêcherons les personnes non autorisées de ayant L'accès à l'information.
Si nous voulons établir un mot de passe au démarrage du système d'exploitation, nous devons redémarrer, ou démarrer au cas où l'équipement est éteint, le système et appuyer sur les touches "Esc", "F2", "Suppr" ou celle indiquée par le fabricant pour accéder au BIOS. Une fois là-bas, nous allons dans l'onglet "Sécurité" et nous allons dans la ligne "Mot de passe au démarrage":
Étape 2
Pour que cette option soit active, nous devons définir un mot de passe dans la ligne "Set User Password".
Étape 3
Lorsque vous appuyez sur "Entrée" sur cette ligne, l'option suivante s'affichera où nous sélectionnerons l'option "Activé". Une fois le mot de passe activé, appuyez sur la touche "F10" pour enregistrer les modifications.
Étape 4
De cette façon, lorsque le système démarre, nous verrons ce qui suit :
2. Comment utiliser et installer USBGuard sur Linux
Désormais, l'une des meilleures applications pour protéger les environnements Linux au niveau du port USB, car USBGuard a été conçue pour aider à protéger l'ordinateur contre les périphériques USB dangereux en mettant en œuvre des capacités de base de liste blanche et de liste noire en fonction des attributs du périphérique USB.
Ces périphériques USB malveillants sont également connus sous le nom de BadUSB.
Fonctionnalités d'USBGuard
- Langage de règles pour l'écriture de stratégies d'autorisation de périphérique USB
- Il dispose d'une interface graphique et d'une ligne de commande pour interagir avec une instance USBGuard pendant l'exécution
- Il dispose d'une API C++ pour interagir avec le composant démon implémenté dans une bibliothèque partagée
Étape 1
Pour l'installation d'USBGuard sous Linux, comme nous l'avons mentionné, nous utiliserons Ubuntu 17.04 et pour cela, nous exécuterons ce qui suit :
sudo apt installer usbguard
Étape 2
Là, nous entrerons la lettre "S" pour confirmer le téléchargement et l'installation, qui une fois terminé aura l'apparence suivante:
NoterEn cas d'utilisation d'Ubuntu 14, nous pouvons accéder au lien GitHub suivant pour voir le processus d'installation :
Étape 3
Pour démarrer le processus d'autorisation d'un périphérique USB via USBGuard, nous exécuterons les lignes suivantes :
sudo usbguard generate-policy> rules.conf (Nous créons la politique) sudo nano rules.conf (Nous accédons au fichier de configuration)
Étape 4
Une fois que nous aurons accédé au fichier, nous verrons ce qui suit :
Dans ces lignes, tous les appareils actuellement connectés à l'ordinateur seront ajoutés et autorisés.
Nous pouvons supprimer ou commenter les lignes des appareils que nous ne voulons pas autoriser.
Étape 5
Pour autoriser un appareil, nous exécuterons les lignes suivantes :
sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.confsudo systemctl restart usbguard
3. Comment valider USBGuard sur Linux
Étape 1
À ce stade, tout périphérique USB que nous connectons sera détecté, mais il ne fonctionnera pas. Pour répertorier les périphériques USB connectés, nous exécuterons les opérations suivantes :
lsusb
Là, nous pouvons voir le périphérique USB que nous avons connecté, Kingston Digital.
Étape 2
Pour ajouter cet appareil à la liste des appareils autorisés, nous irons au fichier suivant :
sudo nano /etc/usbguard/rules.confLà, il faut ajouter l'ID du périphérique USB à autoriser dans la dernière partie du fichier :
Étape 3
Nous enregistrons les modifications à l'aide des clés suivantes :
Ctrl + O
On sort de l'éditeur à l'aide des touches :
Ctrl + X
Étape 4
Il faut redémarrer le service USBGuard en exécutant :
sudo systemctl redémarrer usbguard.Il suffit maintenant de déconnecter et reconnecter l'USB et nous pouvons y accéder depuis l'explorateur de la manière habituelle :
Ainsi, Linux permettra l'exécution d'appareils répondant à l'ID que nous avons ajouté, sinon ils seront rejetés.
Étape 5
Pour un accès spécifique nous devons ajouter la syntaxe suivante dans le chemin
/etc/usbguard/rules.conf:allow 0781: 5151 nom "nom du périphérique USB" série "périphérique USB série" via-port "1-2" rejeter via-port "1-2"Nous avons vu comment nous avons des options pratiques pour ajouter des options de sécurité au niveau du port USB dans les environnements Linux.
