学生之间共享USB：设置仅用于写入的密码

27

我是一名学校老师，我想在学生之间以及不同的操作系统之间共享USB闪存盘中的文件。

特别是，我想设置一个用于写入/更改的密码，而USB的内容可以被所有人读取。这是为了防止恶意软件传播。

可能吗？

usb password security

— 阿莫尔文尼
source

6

在任何计算机上具有root用户访问权限的任何人都不可能更改rw权限。

— -Panther

15

这是“从云中共享”类型答案起作用的相对少数几次之一。您可以让学生将副本“保存”到他们自己的云空间，无论是Google驱动器，一个驱动器/ SkyDrive还是Dropbox等，然后将链接共享给您。

— Criggie's

1

@LasVegasCoder不提供OP想要的只读选项。另外，TrueCrypt现在也被VeraCrypt取代。同样的问题。

— 托马斯·沃德

2

一些答案建议您使用DVD。我建议你不要-很少有学生能使用一台足够老的计算机来阅读。

— 蒂姆（Tim）

2

这恰好是万维网的预期用例，比“云”意味着什么早了二十年。

— dotancohen

39

由于此驱动器将在您无法控制的系统上使用，或者在非Linux上并且不支持Linux权限方案的系统上使用，因此您在这里有点不走运。

但是，在没有专用设备的情况下，没有真正的方法可以在磁盘上进行所需的密码保护，并且通常这种解决方案成本效益不高（如下所述）。

请注意，我是一名IT安全专业人员，因此，如果我在这里似乎在贬低或贬低我的信息和答复，那并不是意味着我，我只是在安全性方面过于挑剔，因为这是我的职责道路。

（如果您不想听到我对您要介绍的所有安全风险的讽，请向下滚动到“如果您真的想要一种安全的方法来共享闪存驱动器...”部分。）

系统安全规则0：如果要限制恶意软件的风险，切勿在USB驱动器之间共享！

我说这是规则0，但这实际上是规则0B-规则0A与对系统的物理访问有关。

简而言之，这是主要的安全风险。通过尝试使用USB来分发数据，您立即冒着无法控制恶意软件是否被钉住的风险。USB记忆棒上带有只读锁定开关（例如Kanguru FlashTrust 3.0）可部分规避此问题，但是通过轻按该开关，可以轻松将它们变成可读写状态。

作为安全专家，我强烈建议您提供一种非USB替代方法来访问您班级中的项目，例如Box帐户或从教育机构网站空间中的站点提供的文件。

另一种选择是完全写入，完全锁定的CD / DVD，它也可以正常工作，因为当您完全锁定设备时，它将被完全写入并且没有多余的空余空间，因此，磁盘已经被视为“只读”。但是，除非需要共享大文件，否则DVD选项可能无法正常工作。 但是，越来越多的没有CD / DVD驱动器的设备投放市场，这也不是最理想的解决方案。

我还敢打赌，通过在周围分发该闪存驱动器，您会违反学校计算机系统上有关“授权设备”的一些规则，但是我无法接受。

如果您真的想要一种安全的方法来共享闪存驱动器...

...您开始进入非常昂贵的设备的世界，例如Apricorn Aegis SecureKey 3，它是一种硬件加密的拇指驱动器，它不仅可以为管理员模式设置密码，还可以在只读密码机上提供只读用户密码作为辅助密码。设备。这样，对于非管理员，磁盘将锁定为只读模式，对于管理员代码用户，磁盘将被锁定为读/写模式。

这样做的问题是，它的价格昂贵 -仅需16GB的安全棒即可获得129美元的费用 -这主要是由于硬件加密设备的成本所致（但此类设备是为一组非常特殊的潜在用例而设计的，因此由于缺乏行业需求，廉价产品的可用性为零）。因此，这通常不是一种具有成本效益的选择，特别是如果您不信任学生。

最终，尽管如此，实际上并没有简单的免费或经济高效的方法，仅使用普通的USB存储器即可实现所需的功能，同时又能保持OS的交叉兼容性，即使如此，您也无法保证安全性。

问题在于使用了许多不同的OS，并且正在使用它们。即使不是操作系统因素，root只要它是设置了Linux权限的Linux格式的操作系统，任何有能力的用户都可以访问自己的权限。没有免费或低成本的解决方案无法实现USB记忆棒的安全性。

不过，这是地球上的少数情况之一，通过云（Dropbox，Google Docs，Box甚至是OwnCloud实例）共享是正确的解决方案，因为仅下载文件就不会存在恶意软件感染的风险（除非文件本身就是恶意软件）。（而且上述云服务之一被您试图屏蔽的恶意软件感染的可能性极低）

— 托马斯·沃德
source

2

作为一名大学生，我无法读取磁盘驱动器。我在大学随身携带的所有设备都没有驱动器插槽。这种情况并不罕见-很大比例的学生仅使用笔记本电脑。

— 蒂姆（Tim）

1

“ 问题是使用了许多不同的OS，并且正在运行。 ”不，不是，答案本身解释了为什么不这样做。问题是经济学：对具有这些特性的设备的需求微不足道，因此它们无法从规模经济中受益，而且价格昂贵。

— 彼得·泰勒

1

@PeterTaylor实际上，其中一部分是操作系统-如果它是Linux格式化的磁盘，并且最终用户使用的是学校发行的Linux笔记本电脑，则无法进行基本控制root。此时，访问列表等的标准控件将可以工作。因为我们必须支持其他操作系统，所以这变得很经济

— Thomas Ward

4

请注意，129美元的驱动器仅能防止那些不会花129美元为自己的伴侣弄个花招的学生。

— 德米特里·

1

@amorvincomni Windows无法读取Linux或Mac硬盘格式，但可以读取跨平台兼容的格式（FAT / FAT32 / exFAT）；Linux可以读取所有内容；Mac只能读取HFS和跨平台格式（FAT / FAT32 / exFAT）；您只能root为兼容的文件系统（ext4或类似文件）提供对给定磁盘的限制性访问。但是我敢打赌，只有极少数学生使用Linux系统，并且没有管理员权限（如果他们拥有sudo超级用户访问权限，那么您的保护步骤就无关紧要，因为他们在该系统和连接的设备上拥有超级用户。）

— 托马斯·沃德

12

共享CD或DVD磁盘。

可写磁盘确实很便宜。驱动器也很便宜。购买价格低于30美元的外部USB DVD刻录机，它可以在任何现代计算机上使用，您可以将其借给没有自己的驱动器的学生。

除了昂贵的磁盘外，所有磁盘都只能写入一次，因此无法重写写入磁盘的数据。但是，您必须确保将磁盘写入其最大容量，否则可以通过在空区域中写入更多数据来修改或替换磁盘上的文件系统。即使您确实留有空间，与光盘驱动器相比，在光盘上传播的恶意软件也更少。

这样做的缺点是，如果您要共享比少数磁盘大的数据（可写DVD的容量约为4 GB），那么大容量的闪存驱动器比许多磁盘要方便得多。不过，我不希望这适用于您的情况。

— b_jonas
source

实际上，它不能在任何现代计算机上运行-甚至说它只能在极少数的现代计算机上运行。鉴于大学生大多使用笔记本电脑，因此很少有人能够阅读笔记本电脑。甚至我，作为一个具有相当技术头脑的计算机科学专业的学生，也无法读取磁盘。

— 蒂姆（Tim）

3

@Tim这就是为什么我明确建议您通过USB将外部磁盘驱动器插入笔记本计算机的原因。它足够便宜，您可以合理地购买一根（带电缆）并借给学生。 aqua.hu/…是带有价格的这种驱动器的一个示例，但是该链接的寿命可能不会超过几个月。

— b_jonas

@ZsbánAmbrus请扩大您的答案。还要考虑到现代Mac设备没有USB（仅USB-C），因此也不容易做到这一点。

— 托马斯·沃德

2

@ThomasWard对于现代Mac，OP表示他想分发USB记忆棒，但他似乎并没有提及自己在没有Mac端口的现代Mac上遇到的问题，这些Mac不能将此类记忆棒插入其中。但是，如果这是一个问题，那么我就不能给出很好的建议，因为我对现代Mac不熟悉。

— b_jonas

@ZsbánAmbrus：我不知道操作系统或设备学生可以拥有的先验知识，而且正如Tim所言，并不是每个人都可以阅读DVD的情况并不罕见

— amorvincomni

6

共享物理媒体在安全方面是一个可怕的想法。即使您共享只读CD，您的学生也可以简单地购买相同品牌的空白CD并在上面写上原始内容和恶意软件。您必须在媒体上签名，盖章或以其他方式使其独特，以防止这种情况的发生，理想情况下，您的学生应该只从您的手中接受它，而不是彼此接受。否则，原始媒体可能会在一组学生（和您）之间传播，而假冒媒体将被分配给另一组学生。

可以在具有只读密码的加密驱动器上玩类似的技巧：其中一名学生可以保存驱动器映像，使用相同的只读密码写受感染的映像，然后在其余驱动器之间分发驱动器。然后，可以在将驱动器还给您之前还原原始映像。

为了防止此类威胁，您的学生必须从其他地方（例如学校服务器）获得原始数据的数字签名，并且知道如何进行验证。确实，将要共享的文件存储在存储签名的服务器上要容易得多，共享过程就像给学生一个下载链接一样简单。

— 德米特里·格里戈里耶夫（Dmitry Grigoryev）
source

我想我会采用这种解决方案。

— amorvincomni

2

人们已经回答了您的字面问题。让我试着对真正的问题采取行动。

我假设您有互联网限制，使您无法让他们下载文件。

在这种情况下，您可以做的是.iso在USB上提供图像（文件），然后告诉学生sha256sum在文件上运行，并在打开文件之前对照您通过其他方式提供的哈希值检查其哈希。

那些合作而不做其他事情的人不应该感染病毒。

— 梅尔达德
source

我认为OP希望限制将恶意软件添加到USB记忆棒的风险。使用ISO文件不会消除这种风险，也不会防止OP试图防止的风险。（他们在学校，我想如果他们要求的话，学校可以提供足够的带宽或存储空间来存储文件）

— 托马斯·沃德

@ThomasWard：如果从未执行过恶意软件，这不是问题。这里的要点是，如果他们按照我列出的步骤进行操作，则可以保证他们永远不会执行任何恶意软件，因此它一定可以防止OP想要防御的恶意软件，不是吗？

— Mehrdad

2

@Mehrdad问题在于，在某些操作系统（包括某些版本的Windows）上，OP不能真正阻止连接设备后自动运行恶意软件。该设备似乎可以在此类系统上使用。话虽如此，我的回答可能有用。按照您的建议检查SHA-256哈希至少可以帮助减轻风险，特别是如果建议学生在受影响的操作系统上禁用“自动运行”。

— 卡根

1

@Mehrdad在我看来，这个问题是很热门的，因为就我所知，其目的是在Ubuntu中准备存储介质。人们经常对Ubuntu中可以做或不能做的文件所有权和权限提出疑问。Unix风格的权限通常（正确地）被认为是Ubuntu和其他GNU / Linux系统的优点之一，但是有时人们希望/认为权限可以解决实际上只能在不同级别解决的问题。如果我们确实关闭了它，我怀疑还会收到其他想要控制他们分发的设备的Ubuntu用户问到的类似问题。

— 伊莱亚·卡根

1

@Mehrdad：我忘了写你真正的问题还不错。当然，真正的问题是，并非所有家庭都能使用该机构的服务来下载某些内容，而我不能使用其他服务。使用共享的物理设备将帮助我吸引所有学生。

— amorvincomni

0

您为什么不将资料上传到某个站点并使用密码共享？

如果您在同一个网络中，则将其设置为本地站点，否则免费的上传站点很多

— 胖子的心
source

这是我正在使用的解决方案。不幸的是，并非所有学生（我是一名高中老师）都可以下载文件。此外，这些学生都应该阅读材料中的....

— amorvincomni