Pozdrav svima, nastavljamo proučavati računalnu sigurnost. Ranije sam vam rekao kako razbiti sa lozinku u sql-u, danas ću vam, naprotiv, reći kako da se malo zaštitite. Danas ćemo naučiti kako stvarati usb sigurnosni ključ korištenjem Windows alata potrebni su za pristup računalu i ako nije umetnut neće vas pustiti unutra. Na tržištu ima puno softvera, nimalo besplatnog, koji obavljaju ovaj zadatak, ali zašto nešto plaćati kada je sve već ugrađeno u Windows 🙂, pogotovo jer vam neće oduzeti puno vremena.
usb ključ za windows
Idemo shvatiti što radimo i zašto. Nakon svih poduzetih koraka, kreirat ćemo USB ključ za Windows s običnog flash pogona. Djelovat će kao ključ za prijavu, još jednostavnije rečeno. Kada je umetnuta u računalo, možete se prijaviti, ako ne, nećete se moći prijaviti; nije potrebna lozinka za prijavu.
Odaberite manji flash pogon, jer će imati malu ključnu datoteku, zašto koristiti flash pogon tako neracionalno, jer ga kasnije nećete stvarno koristiti, a virusi mogu ući, osim ako naravno niste zaštitili flash pogon od virusa . Možda imate flash pogon od 2 GB u svojim kantama, iako je to sada gotovo rijetkost.
Pritisnite Win+R i otvorit će se prozor Run. Uđite u njega
Otvorit će se dodatak za upravljanje diskom.
Kao što vidite, imam flash pogon od 30 GB, naravno da vaš može biti drugačiji :)
Desnom tipkom miša kliknite na njega i odaberite Promijeni slovo pogona ili neka vozi.
Ovdje moramo promijeniti slovo u A za flash pogon, odnosno budući usb defender.
Ako je vaše slovo A zauzeto, postavite uređaj koji ga koristi na drugo slovo
Dobila sam ovako.
Sada pritisnite Win+R i unesite syskey
Otvorit će se prozor Windows Account Database Protection, ovdje ćete morati kliknuti na ažuriranje kako biste napravili usb ključ za Windows. 
Pritisnite gumb za ažuriranje. Kao rezultat toga, u njemu će se otvoriti prozor za pokretanje, postavite prekidač na Pohrani ključ za pokretanje na disketi. Morate umetnuti disketu kada se sustav pokrene. Ovo je način na koji naš flash pogon činimo tokenom za Windows.
Od vas će se tražiti da potvrdite da pristajete na kopiranje ključa za njega.
Kao što vidite, sve je spremno
Pogledajmo njegov sadržaj.
Kao rezultat, imat ćete malu datoteku veličine 8 kb, pod imenom StartKey
Sada se ponovno pokrećemo i vidimo ovu poruku ispred prozora za prijavu i unos lozinke.
Ova konfiguracija zahtijeva ključnu disketu za pokretanje Windowsa. Umetnite ovu disketu i kliknite OK.
Na primjer, pritisnite gumb OK, bez flash pogona, i pogledajte sljedeće.
Datoteka ključa za pokretanje nije pronađena na disketi umetnutoj u pogon A.
Ubacite usb ključ za windows i prijavite se. Kao što vidite, provjera autentičnosti u dva faktora dobro funkcionira.
Sve to možete onemogućiti istim koracima, jedina tipka u prozoru je odabir stavke
Pohranite ključ za pokretanje na lokalni disk.
Morat ćete umetnuti svoj USB sigurnosni ključ.
Svi ključevi sada su pohranjeni lokalno.
Brzi rast tržišnih sektora “3A” sustava (autentifikacija, autorizacija, sigurna administracija) i snažnih autentifikacijskih alata doveo je do pojave mnogih različitih tipova hardverskih i softverskih identifikatora, kao i njihovih hibridnih modifikacija. Kupac koji danas želi implementirati višefaktorski sustav autentifikacije suočava se s teškim izborom. Trendovi u konvergenciji fizičke i logičke autentifikacije, integracija rješenja jedinstvene prijave i sustava upravljanja identitetom samo povećavaju izazov izbora. U ovom članku pokušat ćemo pomoći kupcu da razumije rješenja dostupna na tržištu i napravi pravi izbor.
Jedna od najopasnijih prijetnji IT sigurnosti danas je neovlašteni pristup povjerljivim informacijama. Prema studiji Američkog instituta za računalnu sigurnost i FBI-a (vidi "CSI/FBI Computer Crime and Security Survey 2005"), prošle je godine 55% tvrtki prijavilo incidente koji uključuju neovlašteni pristup podacima. Štoviše, svaka je tvrtka u 2005. godini izgubila u prosjeku 303 tisuće dolara zbog neovlaštenog pristupa, au usporedbi s 2004. gubici su porasli 6 puta.
Poduzeća su odmah reagirala na povećanu opasnost od prijetnji. Prema IDC-u (vidi “Prognozu ruskog sigurnosnog softvera za 2005.-2009. i udjele dobavljača za 2004.”), ruske tvrtke ne samo da su povećale svoja ulaganja u IT sigurnost za 32,7%, već su također uvelike usmjerile svoje napore na implementaciju “3A” sustava” (autentifikacija, autorizacija, sigurna administracija).
Tržišni segment 3A sustava porastao je za 83% tijekom godine. Ova dinamika je sasvim razumljiva: sredstva snažne autentifikacije, koja su temelj cijelog koncepta "3A", omogućuju zaštitu tvrtke od čitavog niza IT sigurnosnih prijetnji - to uključuje neovlašteni pristup informacijama, neovlašteni pristup korporativnoj mreži od strane zaposlenika, prijevara te curenja podataka zbog krađe mobilnih uređaja ili radnji osoblja i sl., a poznato je da svaka od ovih prijetnji svake godine uzrokuje golemu štetu (slika 1).
Riža. 1. Gubici od raznih vrsta napada, dolara.
Snažna provjera autentičnosti temelji se na postupku provjere s dva ili tri faktora koji korisniku može dopustiti pristup traženim resursima. U prvom slučaju zaposlenik mora dokazati da zna lozinku ili PIN te posjeduje određeni osobni identifikator (elektronički ključ ili pametnu karticu), a u drugom slučaju korisnik daje drugu vrstu identifikacijskih podataka, poput biometrijskih podataka.
Korištenje multi-faktorske autentifikacije uvelike smanjuje ulogu lozinki, što je još jedna prednost jake hardverske autentifikacije, budući da se procjenjuje da korisnici danas moraju zapamtiti oko 15 različitih lozinki za pristup svojim računima. Zbog preopterećenosti informacijama zaposlenici ih zapisuju na papir kako bi izbjegli zaboravljanje lozinki, što smanjuje razinu sigurnosti zbog ugroženosti lozinke. Zaboravljanje lozinki uzrokuje ozbiljne financijske štete tvrtkama. Tako je studija Burton Group (vidi “Enterprise Single Sign-On: Access Gateway to Applications”) pokazala da svaki poziv telefonskoj liniji za pomoć na računalu košta tvrtku 25-50 USD, a od 35 do 50% svih poziva dolazi od zaboravnih zaposlenici. Dakle, korištenje poboljšane ili dvofaktorske autentifikacije omogućuje ne samo smanjenje IT sigurnosnih rizika, već i optimizaciju internih procesa tvrtke zbog smanjenja izravnih financijskih gubitaka.
Kao što je već spomenuto, visoka učinkovitost alata za višestruku autentifikaciju dovela je do brzog rasta tržišta za "3A" sustave. Obilje predstavljenih rješenja zahtijeva od kupaca odgovarajuću kompetenciju, jer svaki predloženi tip osobnog identifikatora karakteriziraju svoje prednosti i nedostaci, a posljedično i scenariji korištenja. Osim toga, brzi razvoj ovog tržišnog segmenta u nadolazećim godinama dovest će do činjenice da će neki od hardverskih identifikatora koji se danas promoviraju biti zaostavljeni. Dakle, dajući prednost jednom ili drugom rješenju danas, kupac mora uzeti u obzir ne samo trenutne potrebe organizacije, već i buduće.
Vrste osobnih alata za autentifikaciju
Trenutačno na tržištu postoji mnogo osobnih identifikatora koji se razlikuju kako po tehničkim mogućnostima i funkcionalnosti, tako i po obliku. Pogledajmo ih pobliže.
USB tokeni
Proces autentifikacije u dva faktora pomoću USB tokena odvija se u dvije faze: korisnik uključi ovaj mali uređaj u USB priključak računala i unese PIN kod. Prednost ovog tipa autentifikacijskog sredstva je visoka mobilnost, budući da su USB priključci dostupni na svakoj radnoj stanici i na svakom prijenosnom računalu.
Istodobno, korištenje zasebnog fizičkog uređaja koji je sposoban osigurati sigurnu pohranu visoko osjetljivih podataka (ključevi za šifriranje, digitalni certifikati itd.) omogućuje sigurnu lokalnu ili udaljenu prijavu na računalnu mrežu, enkripciju datoteka na prijenosnim računalima , radne stanice i poslužitelje, upravljanje korisničkim pravima i provođenje sigurnih transakcija.
Pametne kartice
Ovi uređaji, koji izgledom podsjećaju na kreditnu karticu, sadrže siguran mikroprocesor koji omogućuje kriptografske operacije. Uspješna autentifikacija zahtijeva umetanje pametne kartice u čitač i unos lozinke. Za razliku od USB tokena, pametne kartice pružaju znatno veću sigurnost za pohranu ključeva i korisničkih profila. Pametne kartice su optimalne za korištenje u infrastrukturi javnih ključeva (PKI) jer pohranjuju materijal ključeva i korisničke certifikate u samom uređaju, a privatni ključ korisnika ne pada u neprijateljsko vanjsko okruženje. Međutim, pametne kartice imaju ozbiljan nedostatak - nisku mobilnost, budući da im je za rad s njima potreban čitač.
USB tokeni s ugrađenim čipom
Ova vrsta osobnog identifikatora razlikuje se od pametnih kartica samo po svom faktoru oblika. USB tokeni s ugrađenim čipom imaju sve prednosti pametnih kartica vezane uz sigurno pohranjivanje povjerljivih informacija i provedbu kriptografskih operacija izravno unutar tokena, ali nemaju svoj glavni nedostatak, odnosno ne zahtijevaju poseban uređaj za očitavanje. Multifunkcionalnost tokena pruža široke mogućnosti njihove uporabe - od stroge autentifikacije i organiziranja sigurne lokalne ili udaljene prijave na računalnu mrežu do izgradnje pravno važnih sustava za upravljanje elektroničkim dokumentima temeljenih na tokenima, organiziranja sigurnih kanala prijenosa podataka, upravljanja korisničkim pravima, provođenja sigurnih transakcije itd.
OTP tokeni
OTP (One-Time Password) tehnologija uključuje korištenje jednokratnih lozinki koje se generiraju pomoću tokena. U tu svrhu koristi se tajni ključ korisnika koji se nalazi unutar OTP tokena i na autentifikacijskom poslužitelju. Kako bi dobio pristup potrebnim resursima, zaposlenik mora unijeti lozinku kreiranu pomoću OTP tokena. Ova lozinka se uspoređuje s vrijednošću koju generira autentifikacijski poslužitelj, nakon čega se donosi odluka o odobravanju pristupa. Prednost ovog pristupa je u tome što korisnik ne treba povezivati token s računalom (za razliku od gore navedenih vrsta identifikatora). Međutim, broj IT sigurnosnih aplikacija koje podržavaju mogućnost rada s OTP tokenima sada je puno manji od onog za USB tokene (i bez čipa i bez čipa) i pametne kartice. Nedostatak OTP tokena je ograničen vijek trajanja ovih uređaja (tri do četiri godine), budući da je za autonomiju potrebno korištenje baterije.
Hibridni tokeni
Ovi uređaji koji kombiniraju funkcionalnost dvije vrste uređaja - USB tokene s ugrađenim čipom i OTP tokene - pojavili su se na tržištu relativno nedavno. Uz njihovu pomoć možete organizirati proces i dvofaktorske provjere autentičnosti s vezom na USB priključak i beskontaktne provjere autentičnosti u slučajevima kada USB priključak nije dostupan (na primjer, u internetskom kafiću). Napominjemo da hibridne pametne kartice, koje imaju funkcionalnost USB i OTP tokena, a imaju i ugrađeni čip, odgovaraju najvišoj razini fleksibilnosti i sigurnosti.
Softverski tokeni
U ovom slučaju, ulogu tokena igra softver koji generira jednokratne lozinke, koje se koriste zajedno s običnim lozinkama za višestruku autentifikaciju. Na temelju tajnog ključa token program generira jednokratnu lozinku koja se prikazuje na ekranu računala ili mobilnog uređaja i koja se mora koristiti za autentifikaciju. No budući da je token program snimljen na radnoj stanici, mobilnom računalu ili mobitelu, nema govora o sigurnoj pohrani ključnih informacija. Stoga je ova metoda sigurnija od uobičajenih lozinki, ali puno slabija od upotrebe hardverskih identifikatora.
Karakteristike različitih vrsta osobnih identifikatora
Rusko tržište višefaktorske autentifikacije
Rusko snažno tržište autentifikacije karakterizira vrlo niska prevalencija OTP tokena, koji zauzimaju više od polovice globalnog segmenta osobnih identifikatora. Danas isporuke ovih uređaja idu uglavnom u ruska predstavništva velikih zapadnih tvrtki, čija su sjedišta i cjelokupna IT infrastruktura u početku izgrađena na OTP tokenima.
Glavni čimbenik koji koči razvoj ruskog tržišta OTP tokena je visok trošak vlasništva (ukupni trošak vlasništva, TCO) i kratak životni ciklus. Ugrađena baterija obično traje tri do četiri godine, nakon čega je kupac prisiljen zamijeniti uređaj, plaćajući oko 70% njegove početne cijene. Uzmimo kao primjer OTP token RSA SecurID, popularan na Zapadu. Cijena rješenja za 500 korisnika, koje uključuje glavni poslužitelj i poslužitelj replikatora, softver i same osobne identifikatore, iznosi 76 tisuća dolara (jedan SecurID token košta 79 dolara). Osim toga, godišnje ćete na podršku, prema trgovcima, morati potrošiti još 6,6 tisuća dolara, dakle, općenito će rješenje koštati 82,6 tisuća dolara, a cijena jedne radne stanice opremljene OTP tokenom bit će najmanje 165. Lutka.
Za usporedbu, uzmimo još jedan elektronički ključ s generatorom jednokratnih lozinki - eToken NG-OTP iz Aladdina. U ovom slučaju, shema izračuna za jedno radno mjesto je nešto drugačija: nema potrebe za kupnjom poslužitelja za provjeru autentičnosti, dovoljno je imati poslužiteljsku verziju sustava Windows, koja je sada opremljena u velikoj većini lokalnih poslovnih mreža. Trošak univerzalnog sustava za upravljanje svim autentifikacijskim sredstvima (uključujući različite vrste) na razini poduzeća (eToken TMS) bit će oko 4 tisuće dolara (poslužiteljska licenca), a ukupna cijena za 500 tokena (pri čemu je cijena jednog uređaja 67 dolara) iznosi 33.5 tisuća dolara. Dodajmo ovdje korisničku licencu za svaki token: 24 dolara - do 500 korisnika i 19 dolara - preko 500. Dakle, cijena jedne radne stanice s integriranim sustavom stroge autentifikacije pomoću jednog. -vremenske lozinke će biti 99 dolara. a na temelju 501 korisnika - 94$.
No, čak i unatoč ovoj razlici, trošak zaštite jednog radnog mjesta korištenjem “standardnog” tokena, odnosno bez OTP-a, znatno je niži. Na primjer, za isti eToken PRO, najpopularniji USB token s ugrađenim čipom u liniji Aladdin, cijena jedne radne stanice izračunata istom formulom iznosi samo 47 USD.
Dakle, rusko tržište osobnih identifikatora značajno se razlikuje od globalnog i sastoji se uglavnom od USB tokena s ugrađenim čipom - oni čine približno 80-85% tržišta. No, upravo su USB tokeni s ugrađenim čipom danas najučinkovitije sredstvo jake autentifikacije. Tako analitičari vodećih konzultantskih tvrtki, poput IDC-a i Gartnera, vjeruju da će do 2008. većinu cjelokupnog tržišta osobnih identifikatora činiti USB tokeni s ugrađenim čipom. Osim toga, Gartner je USB tokene temeljene na čipu proglasio najvećom investicijom u siguran pristup podacima u 2005. godini.
Prema internim podacima Aladdin-Russia, lider na domaćem tržištu USB tokena s ugrađenim čipom je ruska tvrtka Aladdin (70%), a slijede je Rainbow Technologies (25%) i Aktiv (5%) s ozbiljno zaostajanje (slika 2) .
Riža. 2. Struktura ruskog tržišta za USB tokene s ugrađenim čipom (
Reći ću vam o još jednom mehanizmu provjere autentičnosti na web resursima. Mehanizam je jednostavan, temelji se na korištenju elektroničkog digitalnog potpisa, a za pohranu ključeva koristi se USB token.
Glavni zadatak algoritama opisanih u prethodnim člancima bio je zaštititi zaporku od presretanja i sigurno pohraniti tajnu (na primjer, hash zaporke) u bazu podataka poslužitelja. Međutim, postoji još jedna ozbiljna prijetnja. To je nesigurno okruženje u kojem koristimo lozinke. Softverski i hardverski keyloggeri, spyware koji prati forme unosa u pregledniku, MitM napad koji kontrolira ne samo protokol provjere autentičnosti, već i samu strukturu html stranice na koju se upisuje lozinka, pa čak i samo susjed koji vas špijunira predstavlja prijetnju kojoj se neće moći oduprijeti niti jedna shema provjere autentičnosti lozinke. Ovaj problem je svojedobno riješen izumom višefaktorske autentifikacije. Njegova bit je da za uspješnu autentifikaciju morate znati tajnu i posjedovati neki predmet (u našem slučaju, USB token i njegov PIN kod).
To je ono što programeri softvera za informacijsku sigurnost nude.
USB token- hardverski uređaj koji može generirati par ključeva i izvršiti elektronički digitalni potpis; za izvođenje operacija zahtijeva unos PIN koda. Kod generiranja digitalnih potpisa koristi se kriptografija eliptične krivulje. Ne zahtijeva instalaciju upravljačkog programa, otkriva se kao HID uređaj.
Dodatak za više preglednika- može raditi s USB tokenom, ima softversko sučelje za pristup kriptografskim funkcijama. Ne zahtijeva administratorska prava za instalaciju.
Predložene komponente su neka vrsta konstruktora za ugradnju različitih kriptografskih funkcija u web aplikacije. Uz njihovu pomoć možete implementirati funkcije šifriranja, provjere autentičnosti i digitalnog potpisa uz visoku razinu sigurnosti.
Na primjer, shema provjere autentičnosti može izgledati ovako.
Registracija:
- Klijent generira par ključeva u tokenu e,d;
- Javni ključ e klijent šalje poslužitelju;
Ovjera:
- Klijent šalje prijavu poslužitelju;
- Poslužitelj generira RND i šalje klijentu;
- Klijent generira RND i šalje potpisanu poruku poslužitelju ( RND-poslužitelj||RND-klijent||Naziv-poslužitelja);
- Poslužitelj provjerava autentičnost digitalnog potpisa korištenjem javnog ključa klijenta;
Za one koji su nepovjerljivi prema “biciklima” - guglajte “ISO public-Key Two-pass Unilateral Authentication Protocol”.
"Provjera autentičnosti ključa" metoda je provjere autentičnosti usluge pomoću para ključeva. Ova je funkcionalnost standardna u nekim uslugama (na primjer, u ssh), ali je nema u velikoj većini programa.
"Provjera autentičnosti ključa" metoda je provjere autentičnosti usluge pomoću para ključeva. Ova je funkcionalnost standardna u nekim uslugama (na primjer, u ssh), ali je nema u velikoj većini programa. Metoda provjere autentičnosti ključa je zgodna jer ne morate imati na umu mnogo (ili čak samo jednu) dugih lozinki, a također i zato što se tijekom daljinske registracije preko mreže ne prenose podaci koji bi mogli ugroziti određenu uslugu.
Ovaj članak govori o metodi provjere autentičnosti bez lozinke pomoću ključa koji se nalazi na USB flash disku. Sam mehanizam provjere autentičnosti ključa osigurava PAM modul pam_usb. Autentifikacija putem pam_usb-a može raditi na bilo kojoj usluzi kompajliranoj s podrškom za PAM, na primjer: login, xdm/kdm/gdm, su, sshd.
Možete preuzeti izvorne kodove za najnoviju verziju pam_usb-a s njegove početne stranice pamusb.org (u vrijeme pisanja, najnovija verzija je bila 0.3.2). Sastavljanje i instaliranje ovog modula je trivijalno:
$ tar -zxvf pam_usb-0.3.2.tar.gz $ cd pam_usb-0.3.2 $ make $ su - # make install
Za distribucije temeljene na RPM-u, najbolje je pronaći gotov RPM paket s ovim modulom i instalirati ga sa standardnim rpm-om. Na primjer, za distribuciju SuSE 9.1, na kojoj je pam_usb instaliran i konfiguriran prilikom pisanja ovog članka, odgovarajući RPM paket može se preuzeti s web stranice www.linux-administrator.com.
Ako proces instalacije nije otkrio nikakve pogreške, tada će se modul pam_usb.so pojaviti u direktoriju /lib/security/, čiji će naziv ubuduće morati biti naveden u konfiguracijskim datotekama servisnih modula PAM-a.
Popis aplikacija koje koriste PAM nalazi se u /etc/pam.d (iako je na nekim distribucijama konfiguracija PAM modula u /etc/pam.conf). Autentifikacija putem pam_usb može se konfigurirati u tri načina, opisana u nastavku za xdm uslugu, uzetu kao primjer (konfiguracijska datoteka PAM modula za ovu uslugu je /etc/pam.d/xdm):
1) da biste se mogli prijaviti i sa i bez priključenog diska, potrebno je dodati pam_unix2.so prije linije auth dodati:
Dovoljna autentifikacija pam_usb.so check_device=-1 check_if_mounted=-1 force_device=/dev/sda fs=vfat
2) da biste se mogli prijaviti samo s priključenim pogonom, potrebna vam je linija auth required pam_unix2.so zamijeniti na:
3) da biste se mogli prijaviti pomoću lozinke i istovremeno s priključenim diskom, potrebno je dodati pam_unix2.so u auth liniju dodati:
Auth require pam_usb.so check_device=-1 check_if_mounted=-1 force_device=/dev/sda fs=vfat
Napomena: Neke distribucije, poput Debiana, imaju pam_unix.so umjesto modula pam_unix2.so. Napomena 2: Vrijednosti za parametre "force_device" i "fs" odabrane su kao primjeri i stoga se mogu razlikovati na svakom pojedinom sustavu. Ako ih uopće ne navedete, provjera autentičnosti će raditi, ali /dev/sda* i /dev/sdb* uređaji, kao i ext2 i vfat datotečni sustavi bit će isprobani redom, što će, naravno, trajati malo duze.
Mehanizam provjere autentičnosti ključa bez lozinke prilično je jednostavan. Prvo se generira par DSA ključeva: privatni i javni. Privatni se nalazi na USB flash disku, a javni se nalazi u korisničkom kućnom imeniku. Kada se pokušate registrirati na bilo koji servis pod korisničkim računom, očitavaju se privatni ključ iz medija i javni ključ iz kućnog imenika ovog korisnika. Pomoću javnog ključa generira se nasumični niz znakova koji se može dešifrirati samo privatnim ključem uparenim s ovim javnim ključem. Sukladno tome, ako je dešifriranje uspješno, tada se privatni ključ smatra važećim i postupak provjere autentičnosti je uspješno dovršen. Inače - "okrenite se od kapije."
Par DSA ključeva za provjeru autentičnosti generira se pomoću uslužnog programa usbadm koji je uključen u paket pam_usb. Sintaksa mu je sljedeća:
Usbadm
Gdje
Kako biste generirali par 2048-bitnih DSA ključeva za fly4life korisnika, morate montirati USB flash pogon (u ovom primjeru, /dev/sda) i koristiti usbadm uslužni program s keygen ključem:
# mount -t vfat /dev/sda /mnt # usbadm keygen /mnt fly4life 2048
Tako će se na flash pogonu kreirati direktorij.auth/ u kojem će se generirati privatni ključ, a javni ključ će se generirati u istoimenom poddirektoriju u početnom direktoriju korisnika (~/.auth/) . Nakon što se uređaj isključi, USB flash pogon je spreman za upotrebu u procesima provjere autentičnosti.
Zaključno, napominjem da se diskete i CD-i mogu koristiti kao mediji za pohranu privatnih ključeva. Sve što je potrebno dodati u postavkama PAM modula su opcije !check_device, !check_if_mounted i zamijeniti vrijednost parametra force_device s /dev/fd0 odnosno /dev/cdrom. Na primjer:
Dovoljna autentifikacija pam_usb.so !check_device !check_if_mounted force_device=/dev/fd0
