USB Sperre für Datenträger

[Macuser41]

Hallo,

wir bekommen in unserer Schule 40 neue Laptops außerplanmäßig, vermutlich HP.... aussuchen konnte ich sie mir nicht, aber "einem geschenkten Gaul...schaut man nicht auf's....". Da wir komplett bezüglich Anwenderprogramme komplett auf Open Source setzen, welche unter Windows/Mac/Linux laufen, will ich Debian auf den Geräten (XFCE oder LXDE) installieren, um den Wartungsaufwand gering zu halten.
Gibt es eine Möglichkeit unter Debian die USB-Ports für Datenträger zu sperren? Unter Windows geht das relativ einfach in den Gruppenrichtlinien. Ich habe gerade alle Lehrer und Schüler mühsam daran gewöhnt, dass Dateien nur noch über den Server ins Schulnetz transferiert werden können.

Ich habe bereits 12 alte Laptops mit einer SSD ausgestattet und mit Buster versehen.... diese sind jedoch hübsch in einem separierten WLC-Tunnel eingesperrt, damit nicht der Server runiniert wird. Da es jetzt doch deutlich mehr neue Rechner gibt, wird das Problem mit USB akut.

Vielen Dank für eure Hilfe

M41 (mittlerweile 49)

[DeletedUserReAsG]

Gibt es eine Möglichkeit unter Debian die USB-Ports für Datenträger zu sperren?

Hab ich mal in einem Internetcafé so eingerichtet: einfach usb-storage unladbar gemacht. Kann man, indem man das Modul verschiebt/löscht, oder es blacklistet. Die Reaktionen der User waren doch recht witzig: „Kann ich kurz meinen mp3-Player aufladen?” (ist schon ’ne Weile her, zu der Zeit gab’s noch dedizierte Player) → „Klar, steck ran“ → „Der wird ja gar nicht erkannt‽“ → „Aber geladen wird er, oder?“

[schwedenmann]

Hallo

Schau dir mal usbguard an, damit kannst du bestimmten USB-Sticks erlauben vom OS gemountet zu werden, alle anderen USB-Sticks
werden nicht akzeptiert, können also auch keinen Schaden anrichten.


mfg
schwedenmann

[debianuser4782]

Will man nicht unbedingt eine einheitliche Lösung mittels Abschalten des Linux-Moduls usb_storage, kann man auch im BIOS des jeweiligen Laptops nachschauen. Ich kann hier bei meinem Laptop die USB-Ports abschalten. Ich würde bei öffentlichen Arbeitsplätzen dann aber auch ein BIOS-Passwort setzen.

[Macuser41]

Hallo, Danke für das schnelle Feedback. Im Bios sperren verhindert leider das Anschließen von einer Maus bzw. Tastatur. Ich werde mir mal USB-Guard ansehen. USB wird nach der Installation nicht mehr benötigt.

Grüße
M49

[fossonly]

Wenn Du den Support für USB nach der Installation nicht mehr benötigst, dann wäre es doch die ideale Lösung das Kernel-Modul "usb-storage" auf die Blacklist zu setzen. Sollte es dennoch Bedarf an mehr Flexibilität geben, dann kommt man um Lösungen wie "usbauth/usbguard" nicht mehr herum. Unter Gnome bspw. wird auch zusätzlich usbguard in Verbindung mit einer eigenen Heuristik verwendet, um USB-Geräte wahlweise global, bei aktiver Displaysperre, oder dahingehend zu sperren das nur bereits angeschlossene USB-Geräte (Maus, Tastatur, USB-Sticks etc.) erlaubt sind, und alles darüber hinaus verweigert wird. Bist Du wirklich sicher das es Xfce sein soll? Zumal die Entwicklung dessen extrem zäh vorangeht, und dieses DE eine moderne und sicherheitstechnische Entwicklung vermissen lässt. Im übrigen ist LXDE ein seit längerer Zeit totes Projekt, was in anderer Form unter dem Namen LXqt weitergeführt wurde.

[DeletedUserReAsG]

OT:

Bist Du wirklich sicher das es Xfce sein soll? Zumal die Entwicklung dessen extrem zäh vorangeht, und dieses DE eine moderne und sicherheitstechnische Entwicklung vermissen lässt.

Könntest du bitte die sicherheitstechnische und moderne Entwicklung benennen, die du bei Xfce4 vermisst?

[fossonly]

Könntest du bitte die sicherheitstechnische und moderne Entwicklung benennen, die du bei Xfce4 vermisst?

OT:
Es geht mir dabei um den Fokus bei der Entwicklung. Zumal bei den kleinen DE kaum nennenswerte Fortschritte zu verzeichnen sind, abseits visueller Veränderungen hier und da, marginaler Updates für die Programme, oder das nach Ewigkeiten mal eine bitter nötige Aktualisierung des Toolkit samt Abhängigkeiten stattfindet. Letzteres dauerte allein bei Xfce etwas über 10 Jahre, was ein deutliches Bild hinterlässt wie wenig Interesse scheinbar seitens der Nutzer hinsichtlich Xfce besteht. Negativ fällt bei den kleinen DE auch auf, dass dringende Fortschritte wie Wayland praktisch irrelevant und nicht mal in Planung sind, während sich die allgemeine FOSS-Entwicklung laufend mehr von Xorg distanziert. Einige DE sind zudem unterm Strich nur Forks (bspw. Gnome > Mate, Unity, Cinnamon) einer älteren Codebasis anderer DE, was so einige Probleme mit sich bringt. Hier fängt es schon mit Code an der wegen gewisser Funktionalitäten erhalten wird, jedoch ab dann nur minder bis gar nicht weiterentwickelt.

Und während bspw. Nautilus unter Gnome hinsichtlich der Codebasis nahezu neu aufgebaut und sicherheitstechnisch modernisiert wurde, sind Forks wie Nemo und weitere heute nahezu identisch zur ursprünglichen Codebasis. Sprich, sie enthalten dieselben Mängel (Fehler, viele Abstürze, auch sicherheitsrelevante Probleme) wie der frühere Nautilus, ohne das diese mal grundlegend angegangen werden. Und das wiederum wäre ja mit Arbeit und Pflege verbunden, wofür ein kleines DE kaum Ressourcen hat, sofern überhaupt Interesse besteht daran etwas zu ändern solange es funktioniert. Nur je länger solche Zustände bestehen, desto aufwändiger wird es ein DE grundlegend zeitgemäß zu halten. Schaut man nun in Richtung KDE, Gnome (in Teilen auch Sway), dann existieren hier unzählige Entwickler die die DE laufend zeitgemäß vorantreiben. Die Entwicklung ist daher modern, auf Sicherheit und Datenschutz fokussiert, womit die Codebasis umfassender geprüft ist, viele verfügbare Sicherheitsmechanismen (Sandboxing etc.) mit eingebunden werden, Funktionalitäten (Indexer, Dateimanager und mehr) gehärtet werden um potentielle Infektionen zu erschweren, und letztlich auch Maßnahmen etabliert werden um die Privatsphäre der Nutzer besser zu schützen. Von daher sehe ich ein Aussterben auf Raten bei den kleinen DE, zumal die Entwicklung kaum zeitnah aufgeholt werden kann, und die Ansprüche der Nutzer auch nicht geringer werden mit der Zeit.

[DeletedUserReAsG]

Letzteres dauerte allein bei Xfce etwas über 10 Jahre, was ein deutliches Bild hinterlässt wie wenig Interesse scheinbar seitens der Nutzer hinsichtlich Xfce besteht.

Es gibt auch eine andere Lesart: es hinterlässt ein deutliches Bild von den Einschränkungen von Gtk3.

In letzter Zeit wurden einige der von mir einst gerne genutzten Programme zu Gtk3 gezogen, und in praktisch jedem Fall kam’s zu fehlender Funktionalität und kaputten Features. Dafür ist aber alles toll animiert.

Von daher sehe ich ein Aussterben auf Raten bei den kleinen DE, zumal die Entwicklung kaum zeitnah aufgeholt werden kann, und die Ansprüche der Nutzer auch nicht geringer werden mit der Zeit.

Das mit dem Aussterben sehe ich auch so – man müsste schon blind sein, das nicht kommen zu sehen.

Aber das liegt, zumindest aus meiner Sicht, nicht daran, dass meine Ansprüche nicht bedient werden – im Gegenteil: Gnome und KDE laufen meilenweit an meinen Ansprüchen an ein simples, durchschaubares, konfigurierbares, modulares, nutzerfreundliches und ressourcenschonendes DE vorbei, und entfernen sich konstant weiter. Das liegt eher daran, dass die Generation, welche solche DEs geschaffen hat, nunmehr EOL ist. Und der nachströmenden Generation reicht’s, wenn es nur hübsch animiert ist. Traurige Sache.

Sorry für’s Entführen des Threads, ich gebe ihn hiermit wieder zurück.

[Macuser41]

Hallo,

ich greife immer gerne zu LXDE oder XFCE um den Update-Wahnsinn bei vielen Rechnern klein zuhalten und alles an Oberfläche auf das Nötigste zu reduzieren.
Die alten Laptops mit Linux habe ich brav mit Stick installiert. Eigentlich müsste es doch funktionieren, einen Prototypen fertig zu stellen und dann auf die anderen Geräte zu klonen, welche baugleich sind?
Im Nachgang nur noch die Rechnernamen ändern. Meist nehme ich gerne die Inventarnummern.

Grüße
M49