USBGuard

Korzystanie z usbguard jest niezbędne do ochrony przed typowymi atakami, takimi jak złośliwe urządzenia, gumowe kaczuszki, kable OMG lub „rządowe trzyliterowe odpowiedniki agencji”.

Zwłaszcza thunderbolt (który można zablokować globalnie, patrz this config as to how może dać atakującym dostęp do pamięci RAM, co oznacza klucze szyfrowania i nie tylko.

1. Install USBGuard

   Debian/Ubuntu or Linux mint:

   sudo apt install usbguard usbutils udisks2 usbguard-notifier

   Fedora:

   sudo dnf install -y usbguard usbguard-notifier usbguard-selinux

2. Set it up

Upewnij się, że klawiatura i mysz są podłączone.

Polecenia te zezwalają na stałe na korzystanie ze wszystkich aktualnie podłączonych urządzeń:

pkexec sh -c '
        mkdir -p /var/log/usbguard
        mkdir -p /etc/usbguard
        chmod 755 /etc/usbguard
        usbguard generate-policy > /etc/usbguard/rules.conf
        systemctl enable --now usbguard.service
        usbguard add-user $1
    ' -- $ACTIVE_USERNAME
    systemctl enable --user --now usbguard-notifier.service