#deployment #google-coral
#развертывание #google-coral
Вопрос:
Я хочу развернуть небольшое приложение для обнаружения объектов в лобби, но я хотел бы предотвратить несанкционированный физический доступ. Устройство автоматически входит в систему при загрузке, поэтому любой может получить к нему доступ с клавиатуры. Как я мог это предотвратить? Спасибо!
Ответ №1:
В конце концов, я решил отключить вход для пользователя mendel, а также заблокировать его. Вместо использования /bin/false я решил разместить свой собственный скрипт в /usr/bin/guard.sh это создает .UNAUTHORISED_LOGIN файл в домашнем каталоге mendel на случай, если кто-то попытается открыть терминал на устройстве. В основном я выполнял следующие команды:
chmod x guard.sh
sudo cp guard.sh /usr/bin
sudo chsh -s /usr/bin/guard.sh mendel
sudo usermod -L mendel
guard.sh Содержание:
#!/bin/bash
touch /home/mendel/.UNAUTHORISED_LOGIN
Ответ №2:
Может быть, вы можете попробовать usb-storage внести драйвер в черный список?
Создайте этот файл:
sudo vim /etc/modprobe.d/blacklist.conf
Запишите эту строку в файл:
usb-storage
Сохраните, закройте и перезагрузите.
Комментарии:
1. Я думал о чем-то подобном, но я использую USB-камеру, поэтому мне нужен USB-доступ.
2. Пожалуйста, поправьте меня, если я ошибаюсь, но я думал, что это только отключит устройство хранения, камера должна работать правильно?
3. Извините, я полностью пропустил ваш комментарий. Я попробовал это сейчас, но моя мышь все еще работает, когда я ее подключаю.
Ответ №3:
Предложение Нама хорошее. Он блокирует usb-накопитель, но по-прежнему позволяет USB-камере работать. Таким же образом вы могли бы заблокировать USB-клавиатуру. Приложив усилия, вы можете подключить множество потенциальных точек атаки, включая пароли для входа в MDT и последовательный доступ. Возможно, вы приклеите USB-камеру суперклеем на место или закрепите всю сборку в запертой коробке.
Разработка Coral в первую очередь сосредоточена на встроенном выводе ML на edge TPU, а не на компромиссах безопасности при развертывании. Ниже приведены некоторые непроверенные предложения, а не документированные рекомендации.
Электронное вмешательство важно устранять на любом устройстве, подключенном к Интернету. Мы не рекомендуем развертывать Mendel для конечных приложений. Это только для разработки. Используйте сборку yocto, включающую только то, что необходимо для вашего приложения, и обязательно включайте все последние исправления безопасности.
Защита от физического вмешательства может быть бесконечной проблемой. Сначала определите уровень ожидаемой атаки и не двигайтесь дальше. Некоторые предприятия имеют вооруженную охрану. Большинство предприятий имеют невооруженную систему безопасности. В моем доме нет охранников.
Вам нужен запертый ящик с переключателями несанкционированного доступа? Банкоматы и торговые терминалы опубликовали стандарты, обеспечивающие их достаточную безопасность. Возможно, достаточно запертого ящика. Злоумышленник может перерезать кабели и забрать коробку, если она не закреплена болтами, но не может быстро скомпрометировать устройство.
После того, как у вас есть план безопасности, важно получить внешний обзор. Они могут помочь вам решить: защищает ли этот план от ожидаемых векторов атак? Существуют ли какие-либо другие векторы атак, которые необходимо устранить для обеспечения такого уровня безопасности? Есть ли в плане элементы, которых слишком много для такого уровня безопасности? В зависимости от приложения может быть разумно нанять тестировщиков на проникновение, чтобы получить реалистичную оценку, когда она будет готова.
Комментарии:
1. Прежде всего, позвольте мне извиниться за поздний ответ. Я попробовал его предложение, но на самом деле моей целью было заблокировать USB-клавиатуру. Спасибо за ваши предложения, мы, вероятно, попытаемся физически защитить устройство, как вы сказали.
Ответ №4:
Я обнаружил, что это поможет отключить автоматический вход в систему с помощью HDMI sudo systemctl set-default multi-user