Kako blokirati USB uređaje za pohranu u Linux serverima


Kako bi zaštitili ekstrakciju osjetljivih podataka sa servera od strane korisnika koji imaju fizički pristup strojevima, najbolja je praksa onemogućiti svu podršku za USB pohranu u Linux kernelu.

Da bismo onemogućili podršku za USB memoriju, prvo moramo utvrditi da li je drajver za skladištenje učitan u Linux kernel i ime drajvera (modula) odgovornog za drajver za skladištenje.

Pokrenite lsmod naredbu da izliste sve učitane drajvere kernela i filtrirate izlaz putem grep komande sa stringom za pretragu “usb_storage”.

lsmod | grep usb_storage

Iz naredbe lsmod, možemo vidjeti da sub_storage modul koristi UAS modul. Zatim, ispraznite oba USB modula za pohranu iz kernela i provjerite da li je uklanjanje uspješno završeno, izdavanjem naredbi ispod.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Zatim navedite sadržaj trenutnog direktorija usb modula za pohranu kernel kernela izdavanjem donje naredbe i identificirajte ime drajvera usb-storage. Obično bi ovaj modul trebao biti nazvan usb-storage.ko.xz ili usb-storage.ko.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Da biste blokirali učitavanje USB modula za pohranu u kernel, promijenite direktorij u putanju usb modula za skladištenje kernela i preimenujte usb-storage.ko.xz modul u usb-storage.ko.xz. crna lista, izdavanjem naredbi ispod.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

U Debian distribucijama Linuxa, izdajte donje naredbe da blokirate učitavanje usb-storage modula u Linux kernel.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Sada, kad god priključite USB uređaj za pohranu, kernel neće uspjeti učitati uvodno jezgro drajvera uređaja za pohranu. Da vratite promjene, samo preimenujte USB modul sa crne liste natrag u staro ime.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Međutim, ova metoda se primjenjuje samo na module kernela vremena izvođenja. U slučaju da želite da USB memorijske module stavite na crnu listu svih dostupnih kernela u sistemu, unesite putanju verzije svakog direktorija modula kernel i preimenujte usb-storage.ko.xz u usb-storage.ko .xz.crna lista.