主页 / unix / 问题 / 497463
Accepted
Vi.
Asked: 2019-01-30 06:12:47 +0800 CST

如何在没有 grsecurity 的情况下模拟 /proc/sys/kernel/grsecurity/deny_new_usb?

  • 772

如何在没有 Grsecurity 补丁的情况下在运行时灵活启用和禁用插入新的 USB 设备(运行负责这些设备的驱动程序代码)?

是否有其他方法或具有此功能的替代内核补丁?

重新打开:关于提出的重复问题的差异和评论如何安全地将 USB 记忆棒/设备插入 Linux 计算机?

  • 链接的问题询问总是选择性地接受某些设备,这个问题询问在选定的时间接受所有设备(并在其他时间拒绝任何事情)。
  • 主要答案(USBGuard)是用户态解决方案。它似乎只能阻止 udev 操作。它不太可能阻止扫描块设备以查找分区、创建网络接口并查询其元数据或注册某些/dev/input/eventX节点。内核中的攻击面似乎暴露了。
  • 另一个答案部分链接到 Grsecurity,这个问题的陈述明确排除了这一点。

据我记得,有计划让屏幕锁定的桌面 Linux 系统在屏幕解锁之前不接受任何 USB 设备。这意味着某处可能有一些关于此的补丁。

linux security

1 个回答

  1. Best Answer

    这是我的 Linux 内核版本 4.19.18 的补丁:

    From e5be5f1e696f5d41d992ac67d688c40045e81e95 Mon Sep 17 00:00:00 2001
From: Vitaly _Vi Shukela <[email protected]>
Date: Tue, 29 Jan 2019 21:01:08 +0300
Subject: [PATCH] Introduce dev.deny_new_usb sysctl flag

---
 drivers/usb/core/hub.c | 9 +++++++++
 kernel/sysctl.c        | 9 +++++++++
 2 files changed, 18 insertions(+)

diff --git a/drivers/usb/core/hub.c b/drivers/usb/core/hub.c
index cc62707c0251..fb4483b80bac 100644
--- a/drivers/usb/core/hub.c
+++ b/drivers/usb/core/hub.c
@@ -46,6 +46,9 @@
  * change to USB_STATE_NOTATTACHED even when the semaphore isn't held. */
 static DEFINE_SPINLOCK(device_state_lock);

+/* Skip handling of USB device plugging. Like /proc/sys/kernel/grsecurity/deny_new_usb. */
+int deny_new_usb __read_mostly = 0;
+
 /* workqueue to process hub events */
 static struct workqueue_struct *hub_wq;
 static void hub_event(struct work_struct *work);
@@ -4933,6 +4936,12 @@ static void hub_port_connect(struct usb_hub *hub, int port1, u16 portstatus,
            goto done;
        return;
    }
+
+   if (deny_new_usb) {
+       printk(KERN_WARNING "Denying insertion of new USB device because of /proc/sys/dev/deny_new_usb is set to nonzero");
+       goto done;
+   }
+
    if (hub_is_superspeed(hub->hdev))
        unit_load = 150;
    else
diff --git a/kernel/sysctl.c b/kernel/sysctl.c
index f77df9f5fdb5..b0c14ad347c7 100644
--- a/kernel/sysctl.c
+++ b/kernel/sysctl.c
@@ -114,6 +114,8 @@ extern unsigned int sysctl_nr_open_min, sysctl_nr_open_max;
 extern int sysctl_nr_trim_pages;
 #endif

+extern int deny_new_usb;
+
 /* Constants used for minimum and  maximum */
 #ifdef CONFIG_LOCKUP_DETECTOR
 static int sixty = 60;
@@ -1905,6 +1907,13 @@ static struct ctl_table debug_table[] = {
 };

 static struct ctl_table dev_table[] = {
+   {
+       .procname   = "deny_new_usb",
+       .data       = &deny_new_usb,
+       .maxlen     = sizeof(int),
+       .mode       = 0644,
+       .proc_handler   = &proc_dointvec,
+   },
    { }
 };

-- 
2.20.1

    它基于来自 Grsecurity 的代码。它使用/proc/sys/dev/deny_new_usb而不是/proc/sys/kernel/grsecurity/deny_new_usb.

    • 1

相关问题