我想在大厅中部署一个小型物体检测应用程序,但我想防止未经授权的物理访问。设备在启动时会自动登录,因此任何人都可以使用键盘访问它。我该如何预防呢?谢谢!
答案 0 :(得分:0)
也许您可以尝试将usb-storage驱动程序列入黑名单?
创建此文件:
sudo vim /etc/modprobe.d/blacklist.conf
将此行写入文件:
usb-storage
保存,关闭并重新启动。
答案 1 :(得分:0)
南姆的建议很好。它可以锁定USB存储器,但仍允许USB摄像机工作。您也可以通过这种方式锁定USB键盘。通过努力,您可以插入许多潜在的攻击点,包括用于MDT和串行访问的登录密码。也许您可以将USB摄像头粘贴在适当的位置,或者将整个组件固定在一个锁好的盒子中。
珊瑚的开发主要侧重于边缘TPU上的嵌入式ML推理,而不是部署的安全性折衷。以下是一些未经测试的建议,而不是有记录的建议。
电子篡改对于在任何连接互联网的设备上解决都是很重要的。我们不建议为最终应用程序部署Mendel。它仅用于发展。使用yocto版本仅包含应用程序所需的内容,并确保包含所有最新的安全补丁。
防止物理篡改可能是一个无限的挑战。首先,确定预期的攻击级别,并且别无所求。一些企业拥有武装安全保障。大多数企业具有未武装的安全性。我家没有保安。
您需要一个带防拆开关的锁盒吗? ATM机器和销售点终端已经发布了标准,以确保它们足够安全。也许上锁的盒子就足够了。攻击者可以切断电缆,并在没有用螺栓固定住箱子的情况下拿走箱子,但不能迅速破坏设备。
一旦有了安全计划,进行外部审查就很重要。他们可以帮助您做出决定:此计划是否可以防止预期的攻击媒介?为了达到此安全级别,是否还必须解决其他攻击媒介?计划中的某些元素对于此级别的安全性而言是否太多?根据应用程序的不同,雇用渗透测试人员在准备就绪时进行实际评估可能是合理的。
答案 2 :(得分:0)
最后,我选择禁用Mendel用户的登录并对其进行锁定。我没有使用/bin/false,而是选择将自己的脚本放在/usr/bin/guard.sh中,该脚本将在mendel的主目录中创建一个.UNAUTHORISED_LOGIN文件,以防万一有人试图在设备上打开终端。基本上,我运行了以下命令:
chmod +x guard.sh
sudo cp guard.sh /usr/bin
sudo chsh -s /usr/bin/guard.sh mendel
sudo usermod -L mendel
guard.sh内容:
#!/bin/bash
touch /home/mendel/.UNAUTHORISED_LOGIN