Cómo evitar el uso de memorias USB en Linux

Escrito por Rubén Velasco
GNU Linux
3

Una de las principales formas de distribución de malware es a través de dispositivos USB. En muchas ocasiones es posible que, por diversos motivos, no queramos que las unidades USB se monten en nuestro sistema y que no se puedan usar, aunque sí que funcionen para conectar un teclado USB, cargar un móvil y otras funciones.

Para ello debemos bloquear el montaje por defecto de las memorias USB en nuestro sistema Linux. Existen varias formas de hacerlo a nivel de kernel, grub, etc. Una de las formas más sencillas de bloquear toda conexión de memorias USB a un equipo ejecutando Linux se basa en el bloqueo del directorio de montaje por defecto cambiando los permisos del mismo. En Ubuntu, por ejemplo, cuando conectamos una memoria USB esta se monta automáticamente en el directorio /media/ (en otras distribuciones como Arch sería /run/media/). Este directorio puede variar en función de la distribución que utilicemos.

Cambiando los permisos de lectura y escritura de la carpeta donde se montan dichas unidades conseguiremos que al conectar una memoria a nuestro PC esta no se monte correctamente y no podamos utilizarla, quedando el uso de los puertos USB totalmente bloqueado.

Para ello abriremos un terminal y tecleamos:

sudo chmod 700 /media/

De esta manera asignamos a la carpeta donde se montan las memorias USB (en este caso /media/) únicamente permisos para root, es decir, que únicamente el superusuario podría montar unidades y tener acceso a ellas, quedando todos los demás sin poder acceder a las memorias USB que conecten.

Este método es totalmente efectivo y funcional, aunque cualquier usuario con permiso de root podría deshacer los cambios o simplemente montar las unidades que él desease manualmente mediante un terminal y los comandos adecuados, teniendo de nuevo únicamente él acceso a dicha unidad montada.

¿Conoces otras formas de evitar que se conecten memorias USB a un ordenador con Linux?

Fuente: DesdeLinux


Continúa leyendo
  • ptks

    vaya…. pero en Linux no decían que no había malware?

    • ruvelro

      ¿Quién ha dicho que no lo haya? Lo hay, aunque en una proporción mucho más pequeña que en Windows y son piezas de software mucho menos sofisticadas y peligrosas.

      Igualmente, este artículo está más orientado a evitar que otros usuarios conecten pinchos antes que a la difusión de malware.

  • Lodire

    Hola. A ver si esto os parece útil:

    En este pequeño tutorial se explica cómo se puede expulsar de manera segura una unidad de memoria flash USB (“pendrive”, “lápiz de memoria”, …) a partir de comandos en la consola o terminal.

    Esto debería funcionar en muchas (¿todas?) las distros de GNU/Linux. Está bien saberlo por si falla la manera gráfica, … En alguna distro puede no hacer falta anteponer sudo (p.e. Puppy, ya que por defecto sólo hay un usuario, que es root, superusuario).

    Primera forma, más rápida, en 2 pasos
    1) 4 opciones: sudo blkid , mount , sudo parted -l o sudo fdisk -l
    2) sudo eject unidad , p.e. sudo eject /dev/sdc

    Segunda manera, en 3 pasos
    1) 4 opciones: sudo blkid , mount , sudo parted -l o sudo fdisk -l
    2) 2 opciones: umount partición(es) (p.e. umount /dev/sdc1 , luego umount /dev/sdc2 , …) o punto(s) de montaje (p.e. umount /media/mint/datos_en_pendrive , luego umount /media/mint/linux_en_pendrive , …). O bien udisks –unmount partición(es) (p.e. udisks –unmount /dev/sdc1 , luego udisks –unmount /dev/sdc2 , …)
    3) udisks –detach unidad (p.e. udisks –detach /dev/sdc)

    Aclaraciones
    * Tras los comandos, ya hecha la expulsión o extracción informática, ya podemos hacer la física, de forma segura, es decir tirar del pendrive con la mano para que salga de su ranura.
    * Como se ve, el primer paso es compartido por los dos procedimientos. sudo blkid muestra el nombre de las particiones (pueden ser las de fábrica si no se han cambiado/personalizado posteriormente), mount dónde están montadas y sudo parted -l el modelo (y marca) del pendrive. Tanto estos tres comandos como sudo fdisk -l cumplen su función pues los cuatro informan de las unidades y particiones. Los 2 últimos comandos, además, muestran los tamaños correspondiente (fdisk da más datos pero los de parted son más habituales, sencillos, fáciles de entender).
    * Según dice el manual de eject si [las particiones de] el aparato está montado, lo desmonta antes de expulsarlo. Es así cómo en el primer procedimiento un sólo comando hace lo que en el segundo se hace con dos.
    * Nótese que en la segunda forma, antes del tercer paso sudo fdisk -l sigue mostrando la unidad y su(s) partición(es)), igual que antes de desmontar la(s) partición(es). Tras dicho tercer paso sudo fdisk -l ya no muestra la unidad de memoria flash USB ni su(s) partición(es). Es entonces cuándo podemos sacar el lápiz de memoria de su ranura con garantías de no estropear nuestro aparato, perdiendo nuestros datos, …
    * En la primera forma, en su segundo paso, en vez de unidad se puede poner partición o bien punto de montaje. Supongo que aunque haya más de una partición todas ellas se desmonten antes de expulsar el aparato. Yo por si acaso pondría unidad, que es más corto además.
    =============
    Fuente: http://www.lawebdelprogramador.com/foros/Linux/1460504-Comandos_expulsar_de_forma_segura_memoria_flash_USB_como_extraer_modo_seguro_pendrive_terminal.html