Cách bảo vệ các cổng USB trên máy tính Linux

Các thiết bị USB Killer có thể nướng toàn bộ cổng USB và phá hủy bo mạch chủ (motherboard) của bạn bằng cách sạc tụ điện từ cổng USB và tăng điện áp trên cổng USB. Quá trình này xảy ra nhiều lần cho đến khi máy chủ chết. Vì vậy, những cách bảo vệ các cổng USB trên máy tính Linux sẽ giúp bạn giảm thiểu các rủi ro này.

Kiến thức cơ bản

Trước khi hướng dẫn chi tiết một số cách bảo vệ cổng USB trên máy tính Linux, bạn nên nắm rõ một số quy tắc đơn giản dưới đây:

- Tuyệt đối không được cắm ổ USB mà bạn nhặt được.
- Không cắm ổ USB vào máy tính của bạn một cách ngẫu nhiên.
- Bạn có thể yêu cầu những người tin cậy (bạn bè hoặc đồng nghiệp) gửi các file dữ liệu thông qua các dịch vụ đám mây.
- Không tự ý cắm các ổ USB của các nhà sản xuất không rõ nguồn gốc (không phải là các nhà cung cấp nổi tiếng như Samsung, SanDisk, …).
- Cài đặt các phần mềm diệt virus trên máy tính của bạn.

Thiết lập mật khẩu bảo vệ BIOS

Trong trường hợp nếu máy tính của bạn không được thiết lập bảo mật, việc truy cập máy tương đối đơn giản. Kẻ tấn công có thể tạo ổ USB boot, khởi động máy tính của bạn từ ổ USB đó và truy cập tất cả các file, dữ liệu chưa được mã hóa trên thiết bị của bạn.

Trên máy tính Windows bạn có thể bỏ mật khẩu người dùng, thay vào đó sử dụng mật khẩu bảo vệ Basic Input Output System (BIOS - hệ thống đầu vào đầu ra cơ bản), tức là mật khẩu phải được nhập trước khi các tùy chọn khởi động xuất hiện.

Mỗi nhà sản xuất có cách truy cập BIOS khác nhau. Để truy cập BIOS trên máy tính của mình, bạn có thể tham khảo thêm tài liệu của nhà sản xuất. Thường thì việc truy cập BIOS được thực hiện bằng cách nhấn liên tục phím Delete trong quá trình máy tính khởi động. Thiết lập mật khẩu BIOS nằm trong mục Security.

Tiện ích USBGuard

Nếu không có thói quen kiểm tra, giám sát máy tính hoặc máy chủ, bạn có thể sử dụng tiện ích có tên USBGuard để ngăn chặn các cuộc tấn công.

Tiện ích này được thiết kế để bảo vệ các thiết bị USB của bạn khỏi các phần mềm độc hại còn được gọi là BadUSB. Chẳng hạn như thiết bị USB có thể mô phỏng bàn phím và ra lệnh của người dùng đăng nhập có thể giả mạo card mạng và thay đổi cài đặt DNS trên máy tính để chuyển hướng lưu lượng truy cập.

USBGuard ngăn các thiết bị USB trái phép bằng cách sử dụng các tính năng blacklist (danh sách đen) và whitelist (danh sách trắng), và tính năng lý tưởng nhất là không cho phép bất kỳ thiết bị USB nào khác hoạt động ngoại trừ USB mà bạn tin cậy.

Khi bạn cắm thiết bị USB hoặc hub, đầu tiên USBGuard sẽ quét thiết bị. Sau đó là cấu hình file để kiểm tra xem thiết bị đó có được phép hay không. Điểm nổi bật nhất là USBGuard sử dụng tính năng được thực hiện trực tiếp trong Linux kernel.

Nếu đang sử dụng Ubuntu 16.10 hoặc cao hơn, bạn có thể cài đặt USBGuard bằng lệnh:

sudo apt install usbguard

Nếu đang chạy Ubuntu cũ hơn, bạn có thể tham khảo cách cài đặt USBGuard trên GitHub.

Trong phần hướng dẫn dưới đây là cách để ủy quyền một thiết bị có id cụ thể. Để bắt đầy bạn sử dụng lệnh:

usbguard generate-policy > rules.conf

nano rules.conf

Xem lại các chính sách (policy) được thêm vào. Bước này để thêm và cho phép mọi thứ đang được cắm trên máy tính, bạn có thể xóa các thiết bị mà bạn không muốn ủy quyền.

sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf

sudo systemctl restart usbguard

Kiểm tra các thiết bị

Từ giờ bất kể các thiết bị nào khác kết nối với máy tính của bạn đều không hoạt động mặc dù máy tính phát hiện các thiết bị đó. IPlug trong ổ USB xác minh các thiết bị được hoạt động hay không bằng cách chạy lsusb để liệt kê tất cả các thiết bị USB được kết nối với hệ thống. Lưu ý của id SanDisk, sẽ sử dụng sau.

Mặc dù các thiết bị được phát hiện trong Ubuntu nhưng không có dấu hiệu được mount (gắn).

Để thêm các thiết bị này vào danh sách các thiết bị được ủy quyền, chạy lệnh dưới đây:

sudo nano /etc/usbguard/rules.conf

Tiếp theo thêm id SanDisk vào file rules.conf để thiết lập thiết bị đó là một trong số các thiết bị được ủy quyền.

Tất cả những gì bạn cần làm là khởi động lại dịch vụ USBGuard:

sudo systemctl restart usbguard

Tất cả những gì bạn cần làm bây giờ là rút ổ USB ra , sau đó cắm lại. USBGuard sẽ kiểm tra rules.conf, nhận dạng id là thiết bị được phép, và cho phép USB hoạt động.

Ngay lập tức thiết bị của bạn sẽ có sẵn để sử dụng. Giải pháp đơn giản này cho phép các thiết bị hoạt động bằng id của nó.

Để lấy id cụ thể, bạn có thể thêm một rule vào rules.conf kèm theo:

allow 0781:5151 name "SanDisk Corp. Cruzer Micro Flash Drive" serial "0001234567" via-port "1-2"

reject via-port "1-2"

Các rule trên chỉ cho phép một thiết bị ghép với một id, tên, kết nối với một cổng cụ thể. Rule reject không cho phép bất kỳ thiết bị nào khác được cắm vào cổng đó.

Không cắm USB trực tiếp vào máy tính

USBGuard không thể bảo vệ bạn khỏi USB Killer nổi tiếng. Bạn có thể làm gì trong trường hợp nếu đang nắm trong tay quyền kiểm soát các cổng USB nhưng vẫn phải cắm một ổ USB đáng ngờ vào máy tính của mình. USB hub sẽ là lựa chọn cho bạn.

Một trong những lợi thế của việc sử dụng USB hub là phụ kiện của thiết bị có sẵn và giá rẻ. Thay vì cắm thiết bị USB trực tiếp vào máy tính, bạn có thể cắm qua cổng USB. Nếu ổ USB mà bạn cắm là USB Killer, nó sẽ chỉ phá hủy USB hub còn máy của bạn sẽ được an toàn.

Một lựa chon khác là có thể sử dụng USG. Thiết bị này là một hardware firewall nằm giữa thiết bị USB đáng ngờ và máy tính của bạn. USG tương thích với chuột, bàn phím và ổ USB flash drive, giúp chống lại BadUSB bằng cách lọc các hoạt động nguy hiểm và cho phép các dữ liệu mà bạn cần đi qua.

Tùy thuộc vào môi trường làm việc của bạn, trên đây là một số cách bảo vệ các cổng USB trên máy tính Linux mà Taimienphi.vn vừa giới thiệu. Nếu bạn sử dụng hệ điều hành Windows thì bạn có thể tham khảo thêm các phần mềm bảo vệ USB tốt nhất để tránh lây lan virus, mã độc khiến hệ thống của bạn bị ảnh hưởng.

https://thuthuat.taimienphi.vn/cach-bao-ve-cac-cong-usb-tren-may-tinh-linux-27532n.aspx
Nếu có bất kỳ thắc mắc hoặc câu hỏi nào cần giải đáp, bạn có thể để lại ý kiến của mình trong phần bình luận bên dưới bài viết.