БЕЗОПАСНОЕ ПОДКЛЮЧЕНИЕ ПЕРИФЕРИЙНЫХ УСТРОЙСТВ

АННОТАЦИЯ

В данной статье рассматривается проблема безопасного подключения периферийных устройств в отечественной операционной системе ОС Альт. Особое внимание уделяется механизму udev, позволяющему создавать правила для подключения конкретных устройств и блокировки неизвестных. В качестве примера разбирается настройка правила для работы с многофункциональным устройством Pantum BM5100ADN.

Ключевые слова: ОС Альт, перифирийные устройства, подключение устройств, udev-правила, правила доступа, фильтрация USB, защита от несанкционированного доступа.

В современном мире во всех государственных и корпоративных учреждениях используют различные операционные системы, в том числе ОС Альт. В таких структурах особенное важно обеспечить высокий уровень безопасности. Одной из первых проблем является подключение внешних USB-устройств, таких как флеш-накопители, клавиатуры, камеры и многие другие. Такие подключения могут привести к проблемам, таким как утечка данных, заражение системы или несанкционированный доуступ.

Вопросами безопасной работы с USB-устройствами занимаются как разработчики различных дистрибутивов Linux, так и авторы решений по безопасности. Однако несмотря на наличие универсальных решений, настройки безопасности, основанные на udev - правилах остаются малоизученными в отечественных дистрибутивах, таких как ОС Альт.

В данном исследовании будет разобран пример по настройке системы для разрешения подключения только одного конкретного устройства (многофункционального устройства Pantum BM5100ADN) и запрета на подключение для всех остальных.

В рамках операционной системы ОС Альт предлагаются различные модули централизованного управления устройствами, однако самым гибким и понятным способом управления по прежнему остается настройка через udev.

В процессе настройки необходимо определить ID-атрибутов устройств, создать правило, которое будет разрешать только принтер, написать универсальный скрипт, который будет проверять идентификаторы устройств и выводить информацию результате подключения.

В начале исследования необходимо подключить многофункциональное устройство (Pantum BM5100ADN) к USB-порту. Далее необходимо в терминале прописать команду udevadm monitor --property. После того как команда запущена, необходимо оставить окно терминала открытым и заново вставить устройство в USB-порт. После появится информация о подключенном устройстве.

Таблица 1

Описание полученных параметров

Далее для системы udev мы создаем правило, чтобы разрешить подключение только одного конкретного устройства. Файл, в котором прописано правило, создан в директории /etc/udev/rules.d/10-usb-allow-only-pantum.rules. В данной директории файлы используются udev для управления событиями при подключении или отключении устройств.

Пропишем правило в файле, которое будет выглядеть следующим образом:

ATTR{idVendor}=="232b", ATTR{idProduct}=="2730", ATTR{serial}=="CK3U014103",  GOTO="allow_usb"

SUBSYSTEM=="usb", ACTION=="add", RUN+="/bin/sh -c 'echo 0 > /sys$DEVPATH/authorized'"

LABEL="allow_usb"

В первой строке правила описаны характеристики разрешенного устройства. Если подключенное устройство будет соответствовать всем условиям, то оно будет успешно подключено и правило блокировки не сработает.

Во второй строке правила описаны все подключаемые устройства, не соответствующие первому правилу. При попытке их подключения они будут автоматически заблокированы.

Последняя строка является переходом к метке GOTO. В этом случае, если устройство соответствует первому правилу, то выполнение продолжится с этой метки, минуя запрет на подключение.

После необходимо перезагрузить правило с помощью команд udevadm control --reload-rules и udevadm trigger. Через journal -f проверяем подключение с помощью двух устройств, разрешенного и запрещенного.

Рисунок 1. Проверка подключения

Из результатов видно, что при подключении неизвестного устройства появляется ряд ошибок, которые сообщают о попытке подключения неразрешенного устройства.

Также корректность подключения можно проверить с помощью команды lsusb, которая покажет текущие подключенные устройтсва. При подключении принтера, он сразу же появляется в списке подключенных устройств. При подключении другого USB-устройства, список не меняется, что означает, что написанное правило сработало. В списке мы можем видеть лишь строку Bus 001 Device 008: ID 232b:2730 Pantum Ltd. BM5100ADN series

Заключение

В результате работы была реализована настройка системы безопасности USB-устройств в операционной системе ОС Альт с помощью использования механизма udev. Был сделан вывод, что такой подход позволяет управлять подключаемыми устройствами без установки стороннего программного обеспечения, а использовать только встроенные инструменты операционной системы.

Список литературы:

1. Уймин, А. Г. Периферийные устройства ЭВМ : Практикум / А. Г. Уймин. – Москва : Ай Пи Ар Медиа, 2023. – 429 с. – ISBN 978-5-4497-2079-5. – EDN KQQFAG.
2.  Как писать правила Udev / [Электронный ресурс] // ALT Linux Wiki : [сайт]. — URL: https://www.altlinux.org/Как_писать_правила_Udev (дата обращения: 12.05.2025).
3.  Сага о драйверах / [Электронный ресурс] // ALT Linux Wiki : [сайт]. — URL: https://www.altlinux.org/Сага_о_драйверах (дата обращения: 12.05.2025).
4. Настройка udev rules в Linux / [Электронный ресурс] // Losst : [сайт]. — URL: https://losst.pro/nastrojka-udev-rules-v-linux (дата обращения: 13.05.2025).
5. Монохромное МФУ BM5100ADN / [Электронный ресурс] // Pantum : [сайт]. — URL: https://www.pantum.ru/products/laser-devices/monohromnoe-mfu-bm5100adn/?ysclid=madrla4n86345800505 (дата обращения: 12.05.2025).
6. Шпаргалка по journalctl в Linux / [Электронный ресурс] // Losst : [сайт]. — URL: https://losst.pro/shpargalka-po-journalctl-v-linux (дата обращения: 18.05.2025).