Kuinka estää USB-tallennuslaitteet Linux-palvelimissa

Jotta käyttäjät, joilla on fyysinen pääsy koneisiin, voidaan suojata arkaluonteisten tietojen purkamista palvelimilta, on paras käytäntö poistaa käytöstä kaikki USB-tallennustilan tuki Linux-ytimestä.

USB-tallennustilan tuen poistamiseksi käytöstä meidän on ensin selvitettävä, onko tallennusohjain ladattu Linux-ytimeen, ja selvitettävä tallennusohjaimesta vastaavan ohjaimen (moduulin) nimi.

Suorita lsmod-komento listataksesi kaikki ladatut ydinohjaimet ja suodata tulos grep-komennon avulla hakumerkkijonolla "usb_storage".

lsmod | grep usb_storage

lsmod-komennolla näemme, että sub_storage-moduuli on UAS-moduulin käytössä. Pura seuraavaksi molemmat USB-muistimoduulit ytimestä ja tarkista, onko poistaminen onnistunut, antamalla alla olevat komennot.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Listaa seuraavaksi nykyisen ajonaikaisen ytimen usb-tallennusmoduulihakemiston sisältö antamalla alla oleva komento ja tunnista usb-tallennustila-ohjaimen nimi. Yleensä tämän moduulin nimi tulee olla usb-storage.ko.xz tai usb-storage.ko.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Jos haluat estää USB-tallennusmoduulin lomakkeen lataamisen ytimeen, vaihda hakemisto ytimen usb-tallennusmoduulien poluksi ja nimeä usb-storage.ko.xz-moduuli uudelleen muotoon usb-storage.ko.xz. musta lista, antamalla alla olevat komennot.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Debian-pohjaisissa Linux-jakeluissa anna alla olevat komennot estääksesi usb-tallennustila-moduulin lataamisen Linux-ytimeen.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Nyt aina, kun liität USB-tallennuslaitteen, ydin epäonnistuu lataamaan tallennuslaitteen ajurin johdantoytimen. Peruuta muutokset nimeämällä mustalla listalla oleva usb-moduuli takaisin vanhaan nimeensä.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Tämä menetelmä koskee kuitenkin vain ajonaikaisia ydinmoduuleja. Jos haluat lisätä mustalle listalle USB-tallennusmoduuleja kaikista järjestelmän käytettävissä olevista ytimistä, anna kunkin ydinmoduulin hakemistoversiopolku ja nimeä usb-storage.ko.xz uudelleen muotoon usb-storage.ko .xz.blacklist.