.png)
問題:
家族や友人から渡された USB デバイスの内容を検査する必要がある場合、そのデバイスが安全である可能性は高いものの、本当に安全かどうかはわかりません。
一般的な攻撃ベクトルから身を守りながら、最小限の労力で検査を行いたいものです。
方法:
リクエストに応じてホーム ディレクトリが元の状態に戻る、より安全なゲスト ユーザーを用意します。
実装:
GUI 経由で新しいユーザーを作成します。
これは標準 (管理者ではない) ユーザーです。
このユーザーを と呼びますguest。デフォルトでは、次の方法でユーザーを無効にします。
usermod --expiredate 1 guestの内容を
~/guest永続ストレージ内のディレクトリにコピーします。
このディレクトリを と呼びます/path/to/perst/guesthome。ディレクトリのすべての内容を空にします
~/guest。init_guest.sh以下を実行するスクリプト ファイルを作成します。
ディレクトリのコンテンツをすべて空にします
~/guest。tmpfs ファイルシステムを にマウントします
~/guest。ディレクトリの内容を
/path/to/perst/guesthome
ディレクトリにコピーします (rsync、権限を維持)。
~/guest今日のみユーザーを有効にするには、次の操作を実行します:
usermod --expiredate $( date "+%Y-%m-%d" )
利点:
- badUSB (シミュレートされたキーボード) や危険な実行ファイルなどの一般的な攻撃に対してある程度の保護を提供します。(ゲスト環境は更新されるため、ユーザーの init ファイルに永続的な変更は行われません。) そのため、外部の信頼できない USB デバイスの内容を検査する場合、比較的安全です。
- 個人ユーザーのファイルは、基本的な Linux 権限によって保護されています。
- 永続ストレージへの影響が最小限に抑えられます (消耗が軽減されます)。
- ゲストの初期環境を簡単に変更できる機能。
これは比較的安全なアプローチだと考えられるでしょうか、それとも私が問題を見落としたのでしょうか?