.png)
Das Thema:
Manchmal müssen Sie den Inhalt von USB-Geräten von Familie oder Freunden überprüfen, wissen aber nicht, ob es sich wirklich um ein sicheres Gerät handelt, obwohl es höchstwahrscheinlich sicher ist.
Sie möchten dies mit minimalem Aufwand tun und sich gleichzeitig vor gängigen Angriffsmethoden schützen.
Methode:
Sorgen Sie für einen sichereren Gastbenutzer, dessen Home-Verzeichnis auf Anfrage in seinen ursprünglichen Zustand zurückgesetzt wird.
Implementierung:
Erstellen Sie über die GUI einen neuen Benutzer.
Es ist ein Standardbenutzer (kein Administrator).
Nennen wir diesen Benutzerguest.Deaktivieren Sie den Benutzer standardmäßig mit:
usermod --expiredate 1 guestKopieren Sie den Inhalt von
~/guestin ein Verzeichnis in einem dauerhaften Speicher.
Nennen wir dieses Verzeichnis/path/to/perst/guesthome.Leeren Sie den gesamten Inhalt des Verzeichnisses
~/guest.Erstellen Sie eine Skriptdatei
init_guest.sh, die Folgendes ausführt:
Leeren Sie den gesamten Inhalt des Verzeichnisses
~/guest.Mountet ein tmpfs-Dateisystem in
~/guest.Kopiert (rsync, Berechtigungen beibehalten) den Inhalt des Verzeichnisses:
/path/to/perst/guesthome
in das Verzeichnis:
~/guestAktivieren Sie den Benutzer nur für heute mit:
usermod --expiredate $( date "+%Y-%m-%d" )
Vorteile:
- Ein gewisser Schutz vor gängigen Angriffen wie „badUSB“ (simulierte Tastatur) oder riskanten ausführbaren Dateien. (Die Gastumgebung wird aktualisiert, sodass keine dauerhaften Änderungen an den Init-Dateien des Benutzers vorgenommen werden.) Daher ist es relativ sicherer für die Überprüfung des Inhalts fremder und nicht vertrauenswürdiger USB-Geräte.
- Persönliche Benutzerdateien sind durch grundlegende Linux-Berechtigungen geschützt.
- Minimale Auswirkung auf den dauerhaften Speicher (geringerer Verschleiß).
- Möglichkeit, die Ausgangsumgebung für den Gast einfach zu ändern.
Gilt dies als relativ sicherer Ansatz oder habe ich etwas übersehen?