在给定的 USB 端口上,我只想接受 USB 大容量存储功能,仅此而已。没有 HID 设备,没有蓝牙适配器,没有 RS232 转换器,什么都没有。有没有办法做到这一点,例如使用 udev?我知道我可以编写自定义 udev 规则来包含给定设备或给定端口的驱动程序,但是我可以以某种方式排除所有其他驱动程序吗?我试图只允许一类设备,即 USB 大容量存储;这个类中有无数不同的设备型号,我不知道哪个会连接到端口(客户端会自带,我没有办法影响这个)。
在可预见的未来,来自重新编程的 USB 固件的威胁只会变得更糟。我正在尝试针对此用例减轻它们的影响:我有一台带有内部连接的 USB 外围设备(网卡、专用外围设备、键盘)和一个面向公众的 USB 端口的计算机,该端口应该仅用于文件传输。所以,我不能完全将其他 USB 模块列入黑名单;但我想“清理”那个特定的端口,这样插入不同的设备类型就无济于事。
外壳是物理上锁的,外部只能访问这个特定的USB端口,插手外壳或拼接键盘线应该足以触发物理安全响应;此外,我不认为大多数用户会积极恶意,但我预计不知情的 USB 驱动器携带者的数量会增加(就像过去软盘引导扇区感染一样)。就安全性而言,用户携带“武器化”USB 磁盘是否具有恶意,或者只是不知道它已被“感染”并不重要。
我知道完美的安全性在这里是不可行的,并且允许用户以任何方式与系统交互是有风险的 - 但唉,我需要平衡安全性和可用性:计算机需要是客户端可用的。另外,我不是想用这个来防御有针对性的、坚定的攻击者;相反,我将其用作缓解技术之一,因此该系统不是唾手可得的果实。