Sådan blokeres USB-lagerenheder i Linux-servere


For at beskytte følsom dataudtrækning fra servere af brugere, der har fysisk adgang til maskiner, er det en bedste praksis at deaktivere al USB-understøttelse i Linux-kernen.

For at deaktivere understøttelse af USB-lagring skal vi først identificere, om lagerdriveren er indlæst i Linux-kernen og navnet på den driver (modul), der er ansvarlig for lagringsdriveren.

Kør lsmod-kommandoen for at liste alle indlæste kernedrivere, og filtrer output via grep-kommando med søgestrengen "usb_storage".

# lsmod | grep usb_storage

Fra kommandoen lsmod kan vi se, at sub_storage-modulet bruges af UAS-modulet. Dernæst skal du aflæse begge USB-lagringsmoduler fra kernen og kontrollere, om fjernelsen er fuldført ved at udstede nedenstående kommandoer.

# modprobe -r usb_storage
# modprobe -r uas
# lsmod | grep usb

Derefter skal du liste indholdet af den aktuelle runtime-kernel usb-lagringsmodulskatalog ved at udstede kommandoen nedenfor og identificere USB-lagringsdrivernavnet. Normalt skal dette modul have navnet usb-storage.ko.xz eller usb-storage.ko.

# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

For at blokere USB-lagermodulformularindlæsning i kerne skal du ændre bibliotek til stien til kerne-usb-lagermoduler og omdøbe usb-storage.ko.xz-modulet til usb-storage.ko.xz.blacklist ved at udstede nedenstående kommandoer.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# ls
# mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

I Debian-baserede Linux-distributioner skal du udstede nedenstående kommandoer for at blokere usb-lagringsmodul fra indlæsning i Linux-kerne.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
# ls
# mv usb-storage.ko usb-storage.ko.blacklist

Nu, når du tilslutter en USB-lagerenhed, vil kernen ikke indlæse intro-kernen til lagerenhedsdriveren. For at gendanne ændringer skal du bare omdøbe usb-modulet sortliste tilbage til dets gamle navn.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Denne metode gælder dog kun for runtime-kernemoduler. Hvis du vil sortliste USB-lagringsmoduler, danner alle tilgængelige kerner i systemet, skal du indtaste hver kernemodulkatalogs version og omdøbe usb-storage.ko.xz til usb-storage.ko.xz.blacklist.