Sådan blokeres USB-lagerenheder i Linux-servere
For at beskytte følsom dataudtrækning fra servere af brugere, der har fysisk adgang til maskiner, er det en bedste praksis at deaktivere al USB-understøttelse i Linux-kernen.
For at deaktivere understøttelse af USB-lagring skal vi først identificere, om lagerdriveren er indlæst i Linux-kernen og navnet på den driver (modul), der er ansvarlig for lagringsdriveren.
Kør lsmod-kommandoen for at liste alle indlæste kernedrivere, og filtrer output via grep-kommando med søgestrengen "usb_storage".
# lsmod | grep usb_storage
Fra kommandoen lsmod kan vi se, at sub_storage-modulet bruges af UAS-modulet. Dernæst skal du aflæse begge USB-lagringsmoduler fra kernen og kontrollere, om fjernelsen er fuldført ved at udstede nedenstående kommandoer.
# modprobe -r usb_storage # modprobe -r uas # lsmod | grep usb
Derefter skal du liste indholdet af den aktuelle runtime-kernel usb-lagringsmodulskatalog ved at udstede kommandoen nedenfor og identificere USB-lagringsdrivernavnet. Normalt skal dette modul have navnet usb-storage.ko.xz eller usb-storage.ko.
# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/
For at blokere USB-lagermodulformularindlæsning i kerne skal du ændre bibliotek til stien til kerne-usb-lagermoduler og omdøbe usb-storage.ko.xz-modulet til usb-storage.ko.xz.blacklist ved at udstede nedenstående kommandoer.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # ls # mv usb-storage.ko.xz usb-storage.ko.xz.blacklist
I Debian-baserede Linux-distributioner skal du udstede nedenstående kommandoer for at blokere usb-lagringsmodul fra indlæsning i Linux-kerne.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # ls # mv usb-storage.ko usb-storage.ko.blacklist
Nu, når du tilslutter en USB-lagerenhed, vil kernen ikke indlæse intro-kernen til lagerenhedsdriveren. For at gendanne ændringer skal du bare omdøbe usb-modulet sortliste tilbage til dets gamle navn.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # mv usb-storage.ko.xz.blacklist usb-storage.ko.xz
Denne metode gælder dog kun for runtime-kernemoduler. Hvis du vil sortliste USB-lagringsmoduler, danner alle tilgængelige kerner i systemet, skal du indtaste hver kernemodulkatalogs version og omdøbe usb-storage.ko.xz til usb-storage.ko.xz.blacklist.