Kuinka estää USB-tallennuslaitteet Linux-palvelimissa

Tietokoneiden fyysisen pääsyn saaneiden käyttäjien arkaluontoisten tietojen purkamisen suojaamiseksi on parasta poistaa käytöstä kaikki USB-tallennustuet Linux-ytimessä.

USB-tallennustuen poistamiseksi käytöstä meidän on ensin tunnistettava, onko tallennusohjain ladattu Linux-ytimeen, ja tallennusohjaimesta vastaavan ohjaimen (moduulin) nimi.

Suorita lsmod-komento kaikkien ladattujen ytimen ohjaimien luetteloimiseksi ja suodata lähtö grep-komennon avulla hakusarjalla "usb_storage".

# lsmod | grep usb_storage

Komennosta lsmod voimme nähdä, että aliasemamoduuli on UAS-moduulin käytössä. Poista seuraavaksi molemmat USB-muistimoduulit ytimestä ja tarkista, onko poisto onnistunut, antamalla alla olevat komennot.

# modprobe -r usb_storage
# modprobe -r uas
# lsmod | grep usb

Seuraavaksi listaa nykyisen ajonaikaisen ytimen USB-muistimoduulihakemiston sisältö antamalla alla oleva komento ja tunnistamalla usb-tallennusohjaimen nimi. Yleensä tämän moduulin nimi on usb-storage.ko.xz tai usb-storage.ko.

# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Estääksesi USB-muistimoduulilomakkeen lataamisen ytimeen, vaihda hakemisto ytimen USB-muistimoduulien poluksi ja nimeä usb-storage.ko.xz-moduuli uudelleen usb-storage.ko.xz.blacklistiksi antamalla alla olevat komennot.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# ls
# mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Anna Debian-pohjaisissa Linux-jakeluissa alla olevat komennot estääksesi usb-storage-moduulin latautumasta Linux-ytimeen.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
# ls
# mv usb-storage.ko usb-storage.ko.blacklist

Nyt kun liität USB-tallennuslaitteen, ydin ei onnistu lataamaan tallennuslaiteajurin intro-ydintä. Palataksesi muutoksiin, nimeä vain USB-moduulin mustalle listalle vanha nimi.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Tätä menetelmää sovelletaan kuitenkin vain ajonaikaisiin ytimen moduuleihin. Jos haluat lisätä USB-tallennusmoduulien mustalle listalle kaikki käytettävissä olevat ytimet järjestelmässä, syötä kukin ytimoduulihakemistoversiopolku ja nimeä usb-storage.ko.xz uudeksi nimeksi usb-storage.ko.xz.blacklist.