我猜您一次只想使用一个 USB 端口（在需要更多端口的少数情况下，您可以使用集线器连接该端口）并且您打算保留这台 macbook 直到它停止服务。（例如，某些 USB 端口是否被破坏并不重要）。

然后我建议用 Expoxy 胶填充除一个以外的所有 USB 端口。理想情况下，您选择打开的端口应该很容易看到或访问，以便您以后可以检测到对这个打开的 USB 端口的篡改。

然后，您使用 USB 锁。市面上有许多 USB 锁，有些具有适合所有 USB 锁的“通用”钥匙，另一些具有仅适用于相同颜色的 USB 锁的颜色编码钥匙，还有一些具有完全独特的钥匙。

如果您愿意，您可以购买其中一个带有钥匙的笔记本电脑电缆锁和一个锁定在 USB 端口中的 USB“tounge”，然后修改设备以移除锁定电缆，只留下“锁”。因此，您将“锁”锁定在打开的 USB 端口中，然后在没有钥匙或使用武力的情况下无法将其移除，并且使用武力也会破坏 USB 端口并留下操作已经生效的迹象。

如果您很少使用 USB 端口，只是偶尔，您甚至可以使用其中一个带有序列号的“USB 封条”，这是您放入开放 USB 端口（您选择不使用 expoxy）的一个小塑料设备，并且永久卡住。要去除密封，密封必须被破坏，然后塑料密封不能重复使用。然后，每个印章都有一个序列号，当您想要“确保安全”时，您可以对照安全来源（例如，您一直佩戴在钱包中的纸）检查该序列号。

如果您担心 BadUSB 和类似的攻击，您只需在计算机无人看管后每次回来时检查所有端口。但是请注意，即使这样也不能保护您免受 BadUSB 的侵害。

BadUSB 意味着我可以拿一个普通的 USB 设备，在上面刷自定义固件，然后对它造成严重破坏。如果事先知道相关设备上的 USB 芯片组，这可以相对快速地完成。攻击者可以抓取您的 WiFi 加密狗、BadUSB，然后将其放回您的计算机。BadUSB 更糟糕：攻击者可以将自定义固件刷写到一个设备上，感染您的计算机，然后从那里最终感染在未来任何时候插入您计算机的所有USB 设备，只要 BadUSB 持续存在。

BadUSB 的最佳解决方案是执行以下操作的各种集线器：

1. 集线器本身绝不应该允许将固件刷入其中，或者至少要求所有固件都进行加密签名。
2. 集线器应该为连接到它的所有设备维护一个权限列表。插入设备时，集线器应通知计算机已插入描述为鼠标的 USB 设备。
   • 如果它曾经要求成为键盘等，您应该收到通知。
3. 不允许通过集线器刷新固件。这可以保护您的设备不被 BadUSB 损坏。

BadUSB是坏的。说够了。

请注意，至少某些操作系统将某些称为 pwnage 设备的 USB 设备列入黑名单。然而，这还不够好，因为 USB“id”是一个脆弱且容易伪造的东西：您的 Logitech 相机可以将自己识别为 Apple 键盘。

我为您的需求写了一个部分解决方案，我分享。

我只想在特殊情况下启用 USB。我正在运行一台不允许使用 USB 密钥的计算机。

我编写了一个 shell 脚本usb，它只在需要时打开所需的扩展以启用 USB 大容量存储的可见性。这是男人：

Usage: usb [on|off|]

要启用 USB 大容量存储：

usb on

禁用 USB 大容量存储：

usb off

检查是否可以识别 USB 大容量存储：

usb

这个 shell 脚本基于：

kextstat
kextunload

这让我可以使用我的 USB 端口重新加载 iPhone，但不能保护我免受 BadUSB 攻击。