.png)
O problema:
Às vezes você precisa inspecionar o conteúdo de dispositivos USB de familiares ou amigos, mas não sabe se é realmente um dispositivo seguro, embora provavelmente seja seguro.
Você deseja fazer isso com o mínimo de esforço e, ao mesmo tempo, proteger-se de vetores de ataque comuns.
Método:
Tenha um usuário convidado mais seguro para que seu diretório inicial retorne ao estado original por solicitação.
Implementação:
Crie um novo usuário via GUI.
É um usuário padrão (não administrador).
Vamos chamar esse usuárioguest.Por padrão, desabilite o usuário com:
usermod --expiredate 1 guestCopie o conteúdo
~/guestpara um diretório em um armazenamento persistente.
Vamos chamar esse diretório de/path/to/perst/guesthome.Esvazie todo o conteúdo do diretório
~/guest.Crie um arquivo de script
init_guest.shque execute o seguinte:
Esvazie todo o conteúdo do diretório
~/guest.Monta um sistema de arquivos tmpfs em
~/guest.Copia (rsync, mantém permissões) o conteúdo do diretório:
/path/to/perst/guesthome
para o diretório:
~/guestHabilite o usuário somente hoje com:
usermod --expiredate $( date "+%Y-%m-%d" )
Vantagens:
- Alguma proteção contra ataques populares como badUSB (teclado simulado) ou executáveis arriscados. (O ambiente convidado é atualizado para que não haja alterações persistentes nos arquivos init do usuário.) Portanto, é relativamente mais seguro inspecionar o conteúdo de dispositivos USB externos e não confiáveis.
- Os arquivos dos usuários pessoais são protegidos devido às permissões básicas do Linux.
- Impacto mínimo no armazenamento persistente (desgaste reduzido).
- Capacidade de alterar facilmente o ambiente inicial do hóspede.
É considerada uma abordagem relativamente segura ou esqueci um problema?