Rodrigo, Concordo plenamente contigo quanto as políticas de segurança, mas a questão do nosso companheiro é interessante até para em meio acadêmico ser aprofundado.
Só corrigindo um ponto, que alguns passaram por cima... Não podemos desabilitar o módulo do kernel, senão perdemos teclado e mouse (afinal eles utilizam portas USB)... temos que subí-lo para trabalhar apenas com portas específicas (mapeadas, podemos ter dez e módulo trabalhar somente com duas, e ainda, com apenas dois padrões seriais, mouse e teclado)... eu achei a idéia legal... por isso propus o estudo em cima do módulo... tipo uma brincadeira... Então bora Go! :0) Abraço, Frederico 2009/8/21 Rodrigo Escobar <rescoba...@gmail.com> > Luix Frederico III, > > Eu topo fazer uma pesquisa em relacao a isso.. pode contar comigo.. se > quiser entrar em contato. So mandar um e-mail para o meu e-mail pessoal. > > O que me intriga eh o seguinte.. Que tipo de usuarios que voces estao > falando?! > Voces estao falando de sniffer/analise de trafego de rede, utlizacao de > exploits (se bem que qq imbecil consegue compilar e rodar um codigo), e > tecnicas que nao sao la tao faceis de ser executadas por um usuario comum. > > A firma de voces deve ser totalmente especializada para que os mesmos > possam saber como fazer tudo isso nao?! Acho que ta rolando muita paranoia > ai.. > > Tudo depende da politica de seguranca cara.. Se voce tem uma politica de > seguranca bem estruturada e firme, voce tem um metodo firme e eficaz de > tomar medidas possiveis caso alguem a burle. > Desabilitando o modulo no kernel ja estaria de bom tamanho. > > E a protecao para que o usuario nao faca nada indevido deve vir antes do > problema acontecer. Ex: utilizacao de exploits (Os daemons, kernel, etc > devem estar de acordo para que essas falhas nao possam ser exploradas) e > coisas do tipo. > > Lembre-se bem.. quanto mais voce trava o sistema, mais voce emperra a > agilidade do business. Tem que sempre haver um meio termo ai > > 2009/8/21 Luix Frederico III <luizgaert...@gmail.com> > > Pessoal, >> >> Desculpa aí me meter... creio que seja possível alterar o módulo para ele >> possibilitar o uso apenas de determinadas portas (0, 1 (teclado e mouse), >> uma vez que ele têm o mapeamento das portas existentes. >> >> Isso daria um certo trabalho, para estudar o módulo e implementar a >> alteração, mas seria muito legal ter esse controle hein!? Se alguém estiver >> disposto em rachar esse desafio, eu topo! :0) >> >> Abraço, >> >> Frederico >> >> >> >> >> 2009/8/21 André Nunes <andrenbati...@gmail.com> >> >>> Ou ele pode aproveitar um bug recém descoberto no kernel >>> (http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html >>> ), >>> que muito provavelmente ainda não foi corrigido no kernel antigo usado >>> nas máquinas e escalando privilégios virar root, desfazer a mudança, e >>> usar a USB normalmente. >>> >>> Existem n possibilidades para um usuário mal intencionado e com bons >>> conhecimentos, mas acho que a idéia é apenas evitar a ação casual de >>> alguém não tão obstinado... >>> >>> E ok Jackson, depois comente se funcionou... >>> >>> André Nunes Batista >>> >>> http://tagesuhu.wordpress.com/ >>> >>> >>> >>> 2009/8/21 henry <jmhenri...@yahoo.com.br>: >>> > >>> >> Putz Andre... foi mal mesmo.. .nao li a linha toda. achei que era o >>> >> modulo do suporte a usb inteiro, e nao o de storage. >>> >> Desculpa ai. Fazer as coisas correndo é uma merda. >>> >> Vou testar e posto o resultado. >>> >> >>> >> Abraços >>> >> >>> >> 2009/8/21 André Nunes <andrenbati...@gmail.com>: >>> >> > .... foi exatamente o que eu disse no email... >>> >> > >>> >> > >>> >> > >>> >> > >>> >> > André Nunes Batista >>> >> > >>> >> > http://tagesuhu.wordpress.com/ >>> >> > >>> >> > 2009/8/21 Jackson Rodrigo Braga <jackso...@gmail.com>: >>> >> >> Pessoal, olhem o que achei: >>> >> >> ++++++++++++++++++++++++++++++ >>> >> >> The USB storage drive automatically detects USB flash or hard >>> drives. >>> >> >> You can easily force and disable USB storage devices under any >>> Linux >>> >> >> distribution. The modprobe program used for automatic kernel module >>> >> >> loading and can be configured to not load the USB storage driver >>> upon >>> >> >> demand. This will prevent the modprobe program from loading the >>> >> >> usb-storage module, but will not prevent root (or another program) >>> >> >> from using the insmod program to load the module manually. >>> >> >> >>> >> >> Type the following command: >>> >> >> # echo 'install usb-storage : ' >> /etc/modprobe.conf >>> >> >> You can also remove USB Storage driver, enter: >>> >> >> # ls /lib/modules/$(uname >>> -r)/kernel/drivers/usb/storage/usb-storage.ko >>> >> >> # mv /lib/modules/$(uname >>> -r)/kernel/drivers/usb/storage/usb-storage.ko >>> >> >> /root ++++++++++++++++++++++++++++++ >>> >> >> O que acham? >>> >> >> >>> >> >> 2009/8/21 RicardoFunke <ricardo.deb...@gmail.com>: >>> >> >>> Sim, pode funcionar. >>> >> >>> >>> >> >>> Outra opção é caçar as regras relativas aos mounts usb em >>> /etc/udev.d >>> >> >>> e comentá-las >>> >> >>> >>> >> >>> Ou desinstalar o pacote do gnome relativo a essa montagem >>> automática, >>> >> >>> creio também que na última versão do gnome é possível configurar >>> >> >>> diversos níveis de restrição de acesso do usuário. >>> >> >>> >>> >> >>> 2009/8/21 Jackson Rodrigo Braga <jackso...@gmail.com>: >>> >> >>>> Andre, muito obrigado pelas opções, mas como o Ricardo disse, >>> vamos >>> >> >>>> perder o teclado e o mouse. >>> >> >>>> >>> >> >>>> Vinicius, o fstab monta o que tiver lá.. complicado prever >>> >> >>>> dispositivos usb... Acho que se tirarmos o automount e restringir >>> >> >>>> acesso ao "mount" teremos sucesso. >>> >> >>>> >>> >> >>>> O que acham? >>> >> >>>> >>> >> >>>> 2009/8/21 André Nunes <andrenbati...@gmail.com>: >>> >> >>>>> Não tenho acesso a uma máquina Linux no momento para testar, mas >>> acho >>> >> >>>>> que existem quatro saídas possíveis para o seu problema: >>> >> >>>>> >>> >> >>>>> A primeira é remover o driver de USB: >>> >> >>>>> >>> >> >>>>> # ls /lib/modules/$(uname >>> >> >>>>> -r)/kernel/drivers/usb/storage/usb-storage.ko # mv >>> >> >>>>> /lib/modules/$(uname >>> -r)/kernel/drivers/usb/storage/usb-storage.ko >>> >> >>>>> /root >>> >> >>>>> >>> >> >>>>> A segunda seria usar a BIOS e desabilitar o acesso às portas (o >>> >> >>>>> problema é que você precisaria reiniciar para mudar essa >>> >> >>>>> configuração). >>> >> >>>>> >>> >> >>>>> A terceira seria usar o grub, adicionar "nousb" ao final da >>> linha do >>> >> >>>>> kernel do arquivo grub.conf/menu.lst (depois da alteração seria >>> >> >>>>> necessário reiniciar o sistema). >>> >> >>>>> >>> >> >>>>> A quarta seria através dos grupos a que cada usuário pertence. >>> Essa >>> >> >>>>> solução seria a ideal, mas não me lembro de cabeça se existe um >>> grupo >>> >> >>>>> específico para USB (creio que não). >>> >> >>>>> >>> >> >>>>> André Nunes Batista >>> >> >>>>> >>> >> >>>>> http://tagesuhu.wordpress.com/ >>> >> >>>>> >>> >> >>>>> 2009/8/21 Jackson Rodrigo Braga <jackso...@gmail.com>: >>> >> >>>>>> Ricardo, vou verificar, mas provavelmente são. >>> >> >>>>>> Podia ter um jeito entao de impedir a montagem de filesystems, >>> pq o >>> >> >>>>>> que precisamos é que não possa ser colocado nenhum dispositivo >>> que >>> >> >>>>>> permita entrada e principalmente saida de dados via USB. >>> >> >>>>>> >>> >> >>>>>> 2009/8/21 RicardoFunke <ricardo.deb...@gmail.com>: >>> >> >>>>>>> Quem sabe colocando o módulo usb na blacklist pra ele não ser >>> >> >>>>>>> carregado >>> >> >>>>>>> >>> >> >>>>>>> Descubra qual o módulo relativo ao USB: >>> >> >>>>>>> # lsmod | grep -i usb >>> >> >>>>>>> >>> >> >>>>>>> Depois coloque-o na blacklist: >>> >> >>>>>>> # echo 'blacklist <nome_do_modulo>' > >>> >> >>>>>>> /etc/modprobe.d/blacklist-usb.conf >>> >> >>>>>>> >>> >> >>>>>>> Reinicia o computador e testa >>> >> >>>>>>> >>> >> >>>>>>> []'s >>> >> >>>>>>> >>> >> >>>>>>> 2009/8/21 Jackson Rodrigo Braga <jackso...@gmail.com>: >>> >> >>>>>>>> Lista, >>> >> >>>>>>>> >>> >> >>>>>>>> Alguem sabe me dizer como consigo bloquear (logicamente) o >>> acesso >>> >> >>>>>>>> as portas USB. No caso é um thinclient, mas creio que a regra >>> seja >>> >> >>>>>>>> geral. O TC é baseado em debian msm. >>> >> >>>>>>>> >>> >> >>>>>>>> Valeu >>> >> >>>>>>>> >>> > >>> > já considerou que algum usuário espete um dispositivo bluetooth usb e >>> envie o >>> > que ele quiser para onde quiser ??? ou uma placa de rede usb? ou uma >>> placa usb >>> > wireless? >>> > Se a idéia é saída de dados......em um ato desesperado e mto criativo >>> depois >>> > de algumas tequilas, o usuário poderia colocar um hub entre o pc e a >>> rede, e >>> > espetar um notebook com placa de rede em modo promiscuo.... ou um >>> switch "de >>> > bolso", e um netbook... passar via scp ou via ftp ou via formulario >>> http no >>> > navegador da estação mesmo... >>> > >>> > >>> > 2 centavos. >>> > [ ]s, Henry. >>> > >>> > >>> > -- >>> > To UNSUBSCRIBE, email to >>> debian-user-portuguese-requ...@lists.debian.org >>> > with a subject of "unsubscribe". Trouble? Contact >>> listmas...@lists.debian.org >>> > >>> > >>> >>> >>> -- >>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org >>> with a subject of "unsubscribe". Trouble? Contact >>> listmas...@lists.debian.org >>> >>> >> >
