Общий доступ к USB для студентов: установите пароль только для записи

27

Я школьный учитель, и я хотел бы обмениваться файлами на USB-накопителе между учащимися, а также между различными ОС.

В частности, я хотел бы установить пароль для записи / изменения, в то время как содержимое USB может быть доступно для чтения каждому. Это для предотвращения распространения вредоносных программ.

Является ли это возможным?

usb password security amorvincomni
источник
6
Невозможно, чтобы кто-либо с правами root на любой машине мог изменить права доступа rw.
Пантера
15
Это один из тех сравнительно немногих случаев, когда ответы типа «поделиться им из облака» будут работать. Вы заставляете учащихся «сохранять» копию в собственном облачном пространстве, будь то диск Google, один диск / переходник, Dropbox и т. Д., А затем делитесь ссылкой с вами.
Кригги
1
@LasVegasCoder Не предоставляет опцию только для чтения, которую хочет OP. Кроме того, TrueCrypt теперь также заменен на VeraCrypt. Та же проблема применима.
Томас Уорд
2
Несколько ответов предложили вам использовать DVD. Я бы посоветовал вам этого не делать - очень немногие студенты имеют достаточно старый компьютер, чтобы его можно было прочитать.
Тим
2
Это именно тот случай использования, для которого предназначалась Всемирная паутина, за два десятилетия до того, как «облако» что-то значило.
dotancohen

Ответы:

39

Поскольку этот диск будет использоваться в системах, которые вы не контролируете, или которые не являются Linux и не поддерживают схему разрешений Linux, вам немного не повезло.

Тем не менее, нет никакого реального способа защиты паролем, который вы ищете на диске, без специального оборудования, и это обычно не является экономически эффективным решением (как подробно описано ниже).

Обратите внимание, что я специалист по информационной безопасности, поэтому, если мне кажется, что я унизил или оскорбил мое сообщение и ответ здесь, я не имею в виду это так, я просто гиперкритичен, когда речь заходит о безопасности, так как моя работа заключается в том, чтобы путь.

(Прокрутите вниз до раздела «Если вам действительно нужен безопасный способ для совместного использования флэш-накопителя…» ниже, если вы не хотите слышать мою рассуждения обо всех угрозах безопасности, которые вы представляете.)

Правило безопасности системы 0: НИКОГДА не делитесь с USB-накопителями, если хотите ограничить риск вредоносного ПО!

Я говорю, что это правило 0, но это действительно правило 0B - правило 0A касается физического доступа к системам.

Проще говоря, это серьезная угроза безопасности. Пытаясь использовать USB для распространения данных, вы сразу же рискуете не иметь возможности контролировать, будет ли вредоносное ПО помещено на карту памяти или нет. Это частично обходит USB-флешки с переключателем блокировки только для чтения, например, Kanguru FlashTrust 3.0 , но их можно легко превратить в чтение / запись, щелкнув переключатель.

Как специалист по безопасности, я настоятельно рекомендую вам предоставить альтернативный метод без использования USB-накопителя для доступа к элементам вашего класса , таким как учетная запись Box или файлы, размещенные на сайте в веб-пространстве вашего учебного заведения.

Другой альтернативой является полностью записанный, полностью заблокированный CD / DVD, который будет работать точно так же, и поскольку он будет полностью записан и не будет иметь дополнительного открытого пространства, когда вы полностью заблокируете устройство, диск уже будет считаться доступным только для чтения. Если вам не нужно обмениваться большими файлами, однако, в этом случае опция DVD может не работать. Однако все больше и больше устройств выпускаются на рынок без CD / DVD-приводов, что означает, что это не самое идеальное решение.

Я также готов поспорить, что, распространяя эту флешку, вы нарушаете несколько правил, касающихся «авторизованных устройств» в компьютерных системах вашей школы, но я не могу об этом говорить.

Если вы действительно хотите безопасный способ обмена флэш-накопителем ...

... вы начинаете погружаться в мир очень дорогого оборудования, такого как Apricorn Aegis SecureKey 3, который представляет собой аппаратно зашифрованный флэш-накопитель, который позволяет вам устанавливать код доступа для режима администратора, но также предоставляет пользовательские коды доступа только для чтения в качестве вторичных кодов на Устройство. Таким образом, диск заблокирован в режиме только для чтения для не-администраторов и в режиме чтения / записи для пользователя с кодом администратора.

Проблема в том, что это дорого - 129 долларов США за всего лишь защищенную карту памяти емкостью 16 ГБ - это в основном связано со стоимостью аппаратно зашифрованных устройств (но устройства, подобные этим, рассчитаны на очень особый набор потенциальных вариантов использования и как таковые доступность более дешевой продукции равна нулю из-за отсутствия отраслевого спроса). Так что обычно это не рентабельный вариант, особенно если вы не доверяете своим студентам.

В конечном счете, однако, на самом деле не существует простого, не затратного или экономически эффективного способа достижения того, что вы хотите, с помощью простого USB-накопителя, с сохранением кросс-совместимости ОС, и даже тогда вы не можете гарантировать безопасность.

Проблема в том, что много разных ОС используются и работают. Даже если операционные системы не были важны, любой пользователь, обладающий rootмощью, мог бы предоставить себе доступ, если бы это была отформатированная флешка Linux с установленными разрешениями Linux. Просто нет способа обеспечить безопасность USB-накопителя с помощью бесплатных или недорогих решений.

Однако это один из немногих случаев в мире, когда совместное использование через облако (Dropbox, Google Docs, Box, даже экземпляр OwnCloud) является подходящим решением, поскольку нет риска заражения вредоносным ПО только при загрузке файла (если только сам файл является вредоносным). (И вероятность того, что один из вышеупомянутых облачных сервисов заражен таким вредоносным ПО, от которого вы пытаетесь защититься, чрезвычайно мала)

Томас Уорд
источник
2
Будучи студентом университета, у меня нет возможности читать диск. Ни у одного из устройств, которые у меня есть в университете, нет слота для дисковода. Это не необычный сценарий - значительная часть студентов использует только ноутбуки.
Тим
1
« Проблема в том, что много разных ОС используются и работают ». Нет, это не так, и сам ответ объясняет, почему нет. Проблема в экономике: спрос на устройства с такими характеристиками ничтожно мал, поэтому они не выигрывают от эффекта масштаба и стоят дорого.
Питер Тейлор
1
@PeterTaylor На самом деле часть этого - операционные системы - вы можете сделать элементарный контроль, если это диск в формате Linux и конечные пользователи используют выпущенные в школе ноутбуки Linux без rootдоступа. В этот момент могут работать стандартные элементы управления списками доступа и т. Д. Поскольку мы должны поддерживать другие ОС, тогда это становится экономикой
Томас Уорд
4
Обратите внимание, что диск за 129 долларов защищает только от студентов, которые не потратят 129 долларов, чтобы подшутить над своими друзьями.
Дмитрий Григорьев
1
@amorvincomni Windows не может читать форматы жестких дисков Linux или Mac, но может читать кросс-платформенные форматы (FAT / FAT32 / exFAT); Linux может прочитать их все; Mac может читать только HFS и кроссплатформенные форматы (FAT / FAT32 / exFAT); Вы можете предоставить rootограниченный доступ к данному диску только для совместимой файловой системы (ext4 или аналогичной). Но держу пари, что только очень ОЧЕНЬ небольшое подмножество ваших студентов используют системы Linux и не имеют прав администратора (если у них есть sudoдоступ или права суперпользователя, ваш шаг защиты не имеет значения, потому что у них есть суперпользователь в этой системе и подключенных устройствах).
Томас Уорд
12

Поделитесь CD или DVD диском.

Записываемые диски действительно дешевые. Диски тоже дешевые. Купите внешний USB DVD-рекордер менее чем за 30 долларов США, он будет работать на любом современном компьютере, и вы можете одолжить его студентам, у которых нет собственного привода.

Все, кроме дорогих дисков, предназначены для однократной записи, поэтому данные, которые вы записываете на диск, не могут быть перезаписаны. Вы должны убедиться, что вы записываете диск на полную емкость, иначе файловая система на диске может быть изменена или заменена путем записи большего количества данных в пустые области. Даже если вы оставите пустое место, на оптическом диске будет распространяться меньше вредоносных программ, чем на флэш-накопителе.

Недостатком этого является то, что если вы хотите обмениваться данными, которые больше, чем умещаются на нескольких дисках (записываемый DVD имеет около 4 гигабайт), то флэш-накопитель большой емкости гораздо удобнее, чем множество дисков. Я не ожидаю, что это применимо в вашем случае, хотя.

b_jonas
источник
На самом деле это не будет работать ни на одном современном компьютере - если даже говорить о том, что он будет работать на очень немногих современных компьютерах. Учитывая, что студенты университетов в основном используют ноутбуки, очень немногие смогут прочитать их. Даже я, как довольно технически настроенный студент, изучающий информатику, не могу читать диск.
Тим
3
@Tim Вот почему я настоятельно рекомендовал внешний дисковод, который вы подключаете к ноутбуку через USB. Это достаточно дешево, чтобы вы могли разумно купить один (с кабелями) и одолжить его студентам. aqua.hu/… является примером такого привода с ценой, но эта ссылка, вероятно, не будет жить дольше, чем несколько месяцев.
b_jonas
@ ZsbánAmbrus Пожалуйста, расширьте свой ответ на этот вопрос. Также учтите, что современные устройства Mac не имеют USB (только USB-C), так что это нелегко сделать и для них.
Томас Уорд
2
@ThomasWard Что касается современного Mac, OP говорит, что хочет раздать USB-флешку, он, кажется, не упоминает, что у него были проблемы с современными Mac, у которых нет USB-порта для подключения такой флешки к ним. Но если это проблема, то я не могу дать хороший совет, потому что я не знаком с современными Mac.
b_jonas
@ ZsbánAmbrus: Я априори не знаю, какие ОС или устройства могут быть у студентов, и, как прокомментировал Тим, нет ничего необычного в том, что не каждый может прочитать DVD
amorvincomni
6

Совместное использование физического носителя - ужасная идея с точки зрения безопасности. Даже если вы используете компакт-диск только для чтения, ваши учащиеся могут просто купить чистый компакт-диск той же марки и написать на нем оригинальный контент + вредоносное ПО. Чтобы предотвратить это, вам нужно будет подписать, поставить печать или иным образом сделать свой носитель уникальным, и в идеале ваши ученики должны принимать его только от ваших рук, а не друг от друга. В противном случае оригинальные носители могли бы распространяться среди одной группы студентов (и вас), в то время как поддельные носители передавались бы другой группе.

Подобный трюк может быть использован на зашифрованных дисках с паролем, доступным только для чтения: один из учащихся может сохранить образ диска, написать зараженный образ с тем же паролем, доступным только для чтения, и распространить диск среди остальных. Исходное изображение может быть восстановлено до того, как диск будет возвращен вам.

Чтобы предотвратить такие угрозы, ваши ученики должны будут получить цифровую подпись оригинальных данных из другого места, например, со школьного сервера, и знать, как их проверить. Действительно, было бы гораздо проще хранить файлы, которыми вы хотите поделиться, на сервере, где вы бы хранили подпись, что делало бы процесс обмена таким же простым, как предоставление вашим студентам ссылки на скачивание.

Дмитрий Григорьев
источник
Я думаю, что приму это решение.
amorvincomni
2

Люди уже ответили на ваш буквальный вопрос. Позвольте мне попытаться нанести удар по реальной проблеме.

Я предполагаю, что у вас есть интернет-ограничения, которые мешают вам загружать файлы.

В этом случае вы можете предоставить изображение ( .isoфайл) на USB-накопителе, а затем попросить студентов запустить sha256sumфайл и проверить его хеш-код на тот, который вы предоставили другим способом, прежде чем открывать файл.

Те, кто сотрудничают и не делают ничего другого, не должны заразиться вирусом.

Mehrdad
источник
Я думаю, что ОП хочет ограничить риск добавления вредоносного ПО на USB-накопитель. Использование ISO-файла не устраняет этот риск и не защищает от того, что, по-видимому, пытается защитить OP. (Они в школе, я думаю, что школа может предоставить достаточную пропускную способность или место для хранения файла, если они попросят)
Томас Уорд
@ThomasWard: вредоносное ПО не является проблемой, если оно никогда не выполняется. Суть в том, что если они будут выполнять шаги, которые я перечислил, то они гарантированно никогда не выполнят вредоносное ПО, поэтому это, безусловно, защищает от того, от чего ОП хочет защитить, не так ли?
Мердад
2
@Mehrdad Проблема заключается в том, что в некоторых операционных системах, в том числе в некоторых версиях Windows, OP не может действительно предотвратить автоматический запуск вредоносных программ при подключенном устройстве . Кажется, устройство может использоваться в таких системах. С учетом сказанного, мне этот ответ может пригодиться. Проверка хэша SHA-256, как вы рекомендуете, может, по крайней мере, помочь снизить риск, особенно если учащимся рекомендуется отключить «автозапуск» в уязвимых ОС.
Элия ​​Каган
1
@Mehrdad На мой взгляд, вопрос стоит по теме, потому что, насколько я понимаю, цель состоит в том, чтобы подготовить носитель данных в Ubuntu. У людей часто возникают вопросы о том, что владелец файла и разрешения в Ubuntu могут и не могут сделать. Разрешения в стиле Unix часто (справедливо) считаются одними из преимуществ Ubuntu и других систем GNU / Linux, но иногда люди надеются / думают, что разрешения могут решить проблемы, которые действительно могут быть решены только на другом уровне. Если бы мы закрыли его, я подозреваю, что мы просто получили бы больше подобных вопросов, задаваемых другими пользователями Ubuntu, которые хотят управлять устройствами, которые они распространяют.
Элия ​​Каган,
1
@ Mehrdad: я забыл написать, что твоя настоящая проблема довольно хорошая. Конечно, реальная проблема заключается в том, что не все семьи имеют возможность загружать что-либо с помощью службы учреждения, и я не могу использовать другой сервис. Использование общих физических устройств помогло бы мне охватить всех студентов.
amorvincomni
0

почему бы вам просто не загрузить материал на какой-либо сайт и не поделиться им с паролем?

если вы находитесь в той же сети, сделайте это локальным сайтом, в противном случае бесплатные сайты загрузки много

Жирный разум
источник
Это решение, которое я использую. К сожалению, не все ученики (я учитель старших классов) могут скачивать файлы. Более того, именно эти студенты должны читать материал ....
amorvincomni