問題:
有時您需要檢查家人或朋友的 USB 設備的內容,但您不知道它是否真的是安全設備,儘管它很可能是安全的。
您希望以最少的努力做到這一點,同時保護自己免受常見攻擊媒介的侵害。
方法:
擁有一個更安全的來賓用戶,其主目錄根據請求返回其原始狀態。
執行:
透過 GUI 創建新用戶。
它是標準(非管理員)使用者。
我們稱這個用戶為guest。預設情況下,禁用用戶:
usermod --expiredate 1 guest將 的內容複製
~/guest到持久性儲存中的目錄。
我們稱這個目錄為/path/to/perst/guesthome。清空目錄中的所有內容
~/guest。init_guest.sh建立執行以下操作的腳本檔案:
清空該目錄的所有內容
~/guest。將 tmpfs 檔案系統掛載到
~/guest.將目錄:的內容複製(rsync,維護權限)
/path/to/perst/guesthome
到目錄:
~/guest僅在今天啟用用戶:
usermod --expiredate $( date "+%Y-%m-%d" )
優點:
- 在一定程度上可以防禦 badUSB(模擬鍵盤)或有風險的可執行檔等流行攻擊。 (訪客環境會刷新,因此不會對使用者的初始化檔案進行持久更改。)因此,檢查外部和不受信任的 USB 裝置的內容相對更安全。
- 個人使用者的檔案由於基本的 Linux 權限而受到保護。
- 對持久性存儲的影響最小(減少磨損)。
- 能夠輕鬆更改客人的初始環境。
它被認為是相對安全的方法還是我忽略了一個問題?