通用串行总线（USB）是一把双刃剑，它彻底改变了我们与设备的接口方式。它的即插即用特性使得在设备之间传输数据变得简单。不过，U盘并非没有缺点。它们很快成为病毒和恶意软件感染整个网络的媒介。

进入USB Kill设备，它可以完全炸毁你的USB端口或摧毁你的主板。它通过从USB端口给电容器充电，然后将残酷的电压冲击回端口来实现这一点。这种情况会发生几次，直到拔掉插头或主机死亡。

让我们来看看您可以如何尝试并减轻这些设备带来的风险。

基础知识

在我们深入了解更多细节之前，您可以遵循一些简单的经验法则：

• 不要**你在地板上发现的U盘。
• 不要**随机提供给你的USB驱动器。
• 请信任的人通过云向您发送文件。
• 不要**不是三星、SanDisk等知名供应商提供的USB驱动器。
• 不要让你的电脑无人看管。

这个清单应该涵盖大多数情况。然而，USB设备的安全性仍有待提高。

保护bios

如果您有一台必须无人看管的机器，那么访问该机器就相对简单。所有人要做的就是创建一个可引导的USB驱动器和引导从驱动器到一个活的环境。这将允许他们访问所有未加密的文件。在Windows中，你甚至可以清空用户的密码。密码保护您的基本输入输出系统（BIOS）意味着即使在启动选项出现之前也必须输入密码。

有关如何进入BIOS，请参阅硬件**商的文档。一般来说，这是通过反复点击删除键，因为你的电脑正在启动，但这是不同的**商。密码设置应该在BIOS的Security部分下。

u**guard支持你

你需要让电脑或服务器无人看管吗？如果是这样，您可以使用一个恰当命名的实用程序USBGuard来防止攻击。这是为了防止恶意USB设备也被称为BadUSB。例如，USB设备可以模拟键盘并发出登录用户的命令。这些设备还可以欺骗网卡并更改计算机的DNS设置以重定向流量。

USBGuard基本上通过实现基本的黑名单和白名单功能来阻止未经授权的USB设备。理想情况下，你不会允许任何USB设备除了选择少数你信任。当您**USB设备或集线器时，USBGuard将首先扫描设备。然后它按顺序查看其配置文件，以检查该设备是否被允许或拒绝。USBGuard的优点在于它使用了一个直接在Linux内核中实现的特性。

如果您运行的是Ubuntu 16.10或更高版本，您可以通过键入以下命令来安装USBGuard：

sudo apt install u**guard

如果您使用的是较旧的*buntus，那么可以按照GitHub[不再可用]上的说明进行操作。我们的示例将遵循一个简单的allow，它将演示如何授权具有特定id的设备。要启动并运行，请使用：

u**guard generate-policy > rules.conf
nano rules.conf

花点时间回顾一下即将添加的策略。此步骤将添加并授权当前**计算机的所有内容。您可以删除或注释掉不想授权的设备的行。

sudo install -m 0600 -o root -g root rules.conf /etc/u**guard/rules.conf
sudo systemctl restart u**guard

接受考验

到目前为止，您连接到机器的任何设备都将无法工作，即使它似乎已被检测到。i**USB驱动器以通过运行lsu**列出连接到系统的所有USB设备来验证这一点。注意SanDisk的id，我们稍后会用到这个。

虽然这个设备在Ubuntu中被检测到了，但是没有被挂载的迹象！

要将此设备添加到授权设备列表，请运行以下操作：

sudo nano /etc/u**guard/rules.conf

现在将SanDisk id添加到规则.conf文件将其设置为授权设备之一。

现在只需快速重启USBGuard服务：

sudo systemctl restart u**guard

现在拔下插头，然后重新连接USB驱动器。USBGuard会检查的规则.conf，将id识别为允许的设备，并允许使用它。

您的设备立即可以正常使用。这是一个简单的方法，只允许设备的id。要得到真正具体的你可以添加一个规则规则.conf沿着这些路线：

allow 0781:5151 name "SanDisk Corp. Cruzer Micro Flash Drive" serial "0001234567" via-port "1-2"
reject via-port "1-2"

以上规则只允许在特定端口上使用与该id、名称、序列号匹配的设备。拒绝规则将不允许任何其他设备**该端口。这些选项几乎是无穷无尽的，但可以在网上查阅。

物理预防

USBGuard可能不会保护你免受臭名昭著的USB**的攻击。那你能做什么呢？如果你有控制你的USB端口，仍然需要**一些可疑的USB驱动器，一些解决方案是可用的。USB集线器相对于新笔记本电脑的价格是微乎其微的。使用这种老练技术的一个巨大优势是，它的配件可以广泛获得，而且价格便宜。你可以拿一个好的品牌的，而不是直接**粗略的设备到你的机器，通过USB集线器**它。如果USB驱动器是一个USB**，它会炸USB集线器和你的机器将是安全的。

您的用例的另一个解决方案可能是USG。该设备是一个硬件防火墙，位于可疑USB设备和您的计算机之间。它与鼠标、键盘和USB闪存驱动器兼容。它将通过过滤恶意活动和传递您需要的数据来保护您免受badubs的攻击。

这不是太过分了吗？

根据你工作的环境，情况可能是这样。如果你能负担得起不**任何你不能完全控制的设备，并且你是唯一可以访问你的机器的人，那么这将是最好的情况。一线希望是，除了人们试图找到伤害的方法外，还有人在思考如何防止这种伤害。

你有过使用不可靠的USB设备的不好经历吗？你如何确保你或你的公司有安全的USB措施？请在下面的评论中告诉我们！

图片来源：Frantisek Keclik/Shutterstock