如何在公共场所固定Coral Dev Board？

也许您可以尝试将usb-storage驱动程序列入黑名单？

创建此文件：

sudo vim /etc/modprobe.d/blacklist.conf

将此行写入文件：

usb-storage

保存，关闭并重新启动。

南姆的建议很好。它可以锁定USB存储器，但仍允许USB摄像机工作。您也可以通过这种方式锁定USB键盘。通过努力，您可以插入许多潜在的攻击点，包括用于MDT和串行访问的登录密码。也许您可以将USB摄像头粘贴在适当的位置，或者将整个组件固定在一个锁好的盒子中。

珊瑚的开发主要侧重于边缘TPU上的嵌入式ML推理，而不是部署的安全性折衷。以下是一些未经测试的建议，而不是有记录的建议。

电子篡改对于在任何连接互联网的设备上解决都是很重要的。我们不建议为最终应用程序部署Mendel。它仅用于发展。使用yocto版本仅包含应用程序所需的内容，并确保包含所有最新的安全补丁。

防止物理篡改可能是一个无限的挑战。首先，确定预期的攻击级别，并且别无所求。一些企业拥有武装安全保障。大多数企业具有未武装的安全性。我家没有保安。

您需要一个带防拆开关的锁盒吗？ ATM机器和销售点终端已经发布了标准，以确保它们足够安全。也许上锁的盒子就足够了。攻击者可以切断电缆，并在没有用螺栓固定住箱子的情况下拿走箱子，但不能迅速破坏设备。

一旦有了安全计划，进行外部审查就很重要。他们可以帮助您做出决定：此计划是否可以防止预期的攻击媒介？为了达到此安全级别，是否还必须解决其他攻击媒介？计划中的某些元素对于此级别的安全性而言是否太多？根据应用程序的不同，雇用渗透测试人员在准备就绪时进行实际评估可能是合理的。

最后，我选择禁用Mendel用户的登录并对其进行锁定。我没有使用/bin/false，而是选择将自己的脚本放在/usr/bin/guard.sh中，该脚本将在mendel的主目录中创建一个.UNAUTHORISED_LOGIN文件，以防万一有人试图在设备上打开终端。基本上，我运行了以下命令：

chmod +x guard.sh
sudo cp guard.sh /usr/bin
sudo chsh -s /usr/bin/guard.sh mendel
sudo usermod -L mendel

guard.sh内容：

#!/bin/bash

touch /home/mendel/.UNAUTHORISED_LOGIN