USB-laitteiden käytön rajoittaminen Debianissa

Käyttäjän ei ole syytä tökätä tikkua koneeseen jos ei halua sitä käyttää.

Debianin mainos tämä on. Parin viime viikon aikana on joku trolli urakoinut Debianin paskaa jalustalle, ja tämäkin ketju palvelee samoja tarkoitusperiä.

Voi. Tee whitelist udeville.

Kyllä voi. Se onnistuu Debianissa helposti. Debianin omassa virallisessa repositoryssä, eli ohjelmalähteessä, on turvaohjelmisto nimeltä USBGuard, joka on tarkoitettu juuri nimenomaan USB-laitteiden käytön rajoittamiseen. USBGuard on turvaohjelmisto, jonka avulla voidaan sallia ja estää USB-laitteiden käyttö käyttäjän määrittelemien sääntöjen perusteella. USBGuard mahdollistaa esimerkiksi sen, että vain omat tunnetut USB-laitteet sallitaan ja kaikkien muiden USB-laitteiden käyttö estetään. USBGuard mahdollistaa myös esimerkiksisen, että tietyn tyyppiset USB-laitteet estetään tai sallitaan, eli esimerkiksi voidaan sallia muut USB-laitteet paitsi USB-massamuistit kuten USB-tikut. USBGuardin avulla on myös mahdollista estää ns. Bad USB -tyyppiset hyökkäykset, joissa esimerkiksi USB-tikku alkaakin yhtäkkiä toimia näppäimistön ja verkkokortin tavoin.

USBGuard löytyy suoraan Debianin virallisesta ohjelmalähteestä ja sen voi asentaa näin:

apt install usbguard


Lisäksi Debianin repositorystä löytyy graafinen käyttöliittymä USBGuardille. Kun se on asennettuna ja otettuna käyttöön käyttäjältä kysytään lupa, jos tietokoneeseen kytketään tuntematon USB-laite. Eli tuo käyttöliittymä on työpöydällä ajossa taustalla. Jos tietokoneeseen sitten kytketään tuntematon USB-laite käyttäjälle näytetään ikkuna, jossa käyttäjä voi joko sallia tai estää kUSB-laitteen käyttämisen. Käyttäjä voi tehdä joko pysyvän tai tilapäisen valinnan, eli laite voidaansallia tai estää joko pysyvästi tai tilapäisesti. Jos laite sallitaan tilapäisesti, niin lupaa kysytään taas seuraavalla kerralla kun laite kytketään tietokoneeseen. USBGuardin graafisen käyttöliittymän voi asentaa komennolla:

apt install usbguard-applet-qt

USBGuardin asentamisen jälkeen heti ehdottomasti ensimmäinen asia mikä PITÄÄ tehdä on USB-laitteiden sallivien ja estävien sääntöjen sisältävän asetustiedoston alustava generoiminen. Säännöt sisältävän asetustiedoston generoiminen on syytä tehdä ennenkuin tietokonetta esimerkiksi käynnistetään uudelleen, tämä siitäkin huolimatta että Debianissa USBGuardin pääasetustiedostossa USBGuardin asetukset on määritelty oletuksena niin, että vahinkoa ei synny vaikka säännöt määrittelevä asetustiedosto jäisikin heti tekemättä. Varmuuden vuoksi on kuitenkin syytä generaoida säännöt sisältävä asetustiedosto heti asennuksen jälkeen, koska muuten voi pahimmillaan käydä niin että USB-liitäntäisen hiiren ja näppiksen käyttö estetään. Lisäksi pitää muistaa, että esim läppäreissä on sisäisiä osia, jotka on USB-väylässä nekin. Eli alustva sääntöjen generointi on syytä tehdä heti asennuksen jälkeen ennekuin tehdään mitään muuta. Säännöt voi generoida root-käyttäjänä komennolla:

usbguard generate-policy > /etc/usbguard/rules.conf


Tuo komento luo säännöt sisältävän asetustiedoston ja lisää tunnetuiksi laitteiksi kaikki ne USB-laitteet, jotka oli komentoa ajettaessa kytkettynä tietokoneeseen, mukaanlukien tietokoneen sisäiset USB-väylässä olevat komponentit.

Määritellyt säännöt voi listata komennolla:

usbguardd list-rules


USBGuardin tietokoneesta löytämät laitteet voi listata komennolla:

usbguard list-devices



Laitteiden sallimiseen ja estämiseen liittyvä komennot ovat:

1) Sallitaan laite

usbguard allow-device laitten_id


2) Estetään laitteen käyttö:

usbguard block-device laitteen_id


3) Estetään laitteen käyttö ja poistetaan laite systeemistä

usbguard reject-device laitteen_id




Block ja Rreject eroavat siten, että Block estää laitteen käytön, mutta laite näkyy edelleen tietokoneeseen kytkettynä. Reject estää laitteen käytön ja estää laitetta näkymästä käyttikselle.


Määriteltynä olevan säännön voi poistaa komennolla:

usbguard remove-rule säännön_id


Uuden säännön voi luoda myös komennolla:

usbguard add-rule säännön_sisältävä_teksti

Muista USBGuardin komennoista saa lisätietoa komennolla:

usbguard -h



USBGuardin säännöt sisältävä asetustiedosto on siis:

/etc/usbguard/rules.conf



USBGuardin pääasetustiedosto on:

/etc/usbguard/usbguard-daemon.conf



Kun USBGuar on asennettu ja alustavat säännöt on generoitu on aika tutustua USBGuarddin pääasetustiedostoon. Sitä asetustiedostoa muokkaamalla on mahdollista vaikuttaa esimerkiksi siihen kuka voi käyttää USBGuardin graafista käyttöliittymää, siihen kuinka USBGuard käsittelee niitä USB -laitteita, jotka on kytkettynä tietokoneeseen tietokonetta käynnistettäessä ja niin edelleen. Asetustiedoston lukeminen ja sen mieleisekseen muokkaaminen on erittäin suositeltavaa, jotta USBGuardista saa kaiken hyödyn irti haluamallan tavalla.

USBGuardille voi tosiaan tehdä myös esim sääntöjä, joilla kaikki tietyn tyyppiset laitteet voi sallia tai estää ja paljon muuta. Kannattaa lukea asiasta lisää netistä.

Kannattaa muuten huomata, että riippuen tehdystä säännöstä silläkin voi olla merkitystä mihin USB-porttiin laite kytketään tietokoneessa.

USBGuard ei tietenkään pysty estämään tietokoneen käynnistämistä esim USB-tikulta, mutta se voidaan tehdä tietokoneen BIOS asetuksista.

T. miksuh

Lisään vielä sen, että kannattaa miettiä hyvin tarkkaan onko järkevää asentaa tuota USBGuardin graafista käyttöliittymää vai onko parempi olla sentamatta sitä, ainakaan nykyisellään sen käyttöä ei kannata sallia kenelle tahansa ja mieluummin vain käyttäjälle jolla muutenkin on tietokoneelle ylläpito-oikeudet. Syy on se, että nykyisellään tuo graafinen käyttöliittymä ei kysy salasanaa, mikä tarkottaa että käyttäjä voi itse antaa USB-laitteen käyttämiselle luvan tarvitsematta syöttää salasanaa vahvistukseksi. Eli tuo graafinen käyttöliittymä vesittää nykyisellään USBGuardin antamaa suojaa. On siis parempi joko olla käyttämättä sitä, tai sitten kannattaa miettiä tarkkaan kenelle antaa pääsyn graafiseen käyttöliittymään vai olisiko parmpi, että vain erillinen ylläpitäjäkäyttäjä voi sitä graafista käyttöliittymää käyttää.

Tuo ei ole vain Debianin puute, vaan puute on tuossa USBGuardin käyttöliittymässä itsessään.
Paljon parempi on siis sallia USB -laitteet komentoriviltä root -käyttäjänä jollon tavallisella käyttäjänä ei voi kukaan USB-laitteita sallia. Tuolla tavalla ei vesitetäUSBGuardin antamaa suojaa.

Tuosta asiasta on USBGuardin kehittää tietoinen jatoivottavasti hän lisää salasanakyselyn tuleviin USBGuard versioihin.


Mutta jokatapauksessa ei tuo laitteiden salliminen komentoriviltä edes ole vaikeaa, ja kerranhan ne omat laitteet vain tarvitsee sallia, sen jälkeen asiaa ei tarvitse enää miettiä ja tuntemattomat laitteet estetään samalla kun omat oimii.
T. miksuh

Kiitoksia. Tuo usbguard kuulostaa juuri siltä mitä hain. Lähtee asennukseen ja kokeiltavaksi.

Niin tuosta graafisesta käyttöliittymästä vielä se, että jos sen asentaa, niin onhan sekin tietenkin jo parannus, että tietokone kysyy lupaa USB-laitteen käyttöönotolle. Sekin on jo parannus siihen ettei lupaa kysyttäisi. Mutta tosiaan parempi olisi, jos tuo graafinen käyttöliittymä vaatisi salasanan syöttämisen. Lisäksi , graafisen käyttöliittymän käyttämiseen voi tosiaan antaa luvan esimerkiksi vain yhdelle käyttäjälle joka on tietokoneen pääasiallinen käyttäjä, lupaa ei tarvitse antaa tietokoneella oleville muille käyttäjille. Esimerkiksi jos koneella on erillinen käyttäjätunnus vieraita varten, niin vieraille ei tarvitse antaa pääsyä graafiseen käyttöliittymään joten vieraat ei myöskään pysty antamaan omien USB-laitteidensa käytölle lupaa. Eli vaikka tuo graafinen käyttöliittymä olisikin asennettuna, niin USBGuard suojaa koneen tuntemattomilta USB-laitteiltakunhan ei päästä ketä tahansa käsiksi siihen graafiseen käyttöliittymään.

T. miksuh