Kako blokirati USB uređaje za pohranu u Linux serverima
Kako bi zaštitili ekstrakciju osjetljivih podataka sa servera od strane korisnika koji imaju fizički pristup strojevima, najbolja je praksa onemogućiti svu podršku za USB pohranu u Linux kernelu.
Da bismo onemogućili podršku za USB memoriju, prvo moramo utvrditi da li je drajver za skladištenje učitan u Linux kernel i ime drajvera (modula) odgovornog za drajver za skladištenje.
Pokrenite lsmod naredbu da izliste sve učitane drajvere kernela i filtrirate izlaz putem grep komande sa stringom za pretragu “usb_storage”.
lsmod | grep usb_storage
Iz naredbe lsmod, možemo vidjeti da sub_storage modul koristi UAS modul. Zatim, ispraznite oba USB modula za pohranu iz kernela i provjerite da li je uklanjanje uspješno završeno, izdavanjem naredbi ispod.
modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb
Zatim navedite sadržaj trenutnog direktorija usb modula za pohranu kernel kernela izdavanjem donje naredbe i identificirajte ime drajvera usb-storage. Obično bi ovaj modul trebao biti nazvan usb-storage.ko.xz ili usb-storage.ko.
ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/
Da biste blokirali učitavanje USB modula za pohranu u kernel, promijenite direktorij u putanju usb modula za skladištenje kernela i preimenujte usb-storage.ko.xz modul u usb-storage.ko.xz. crna lista, izdavanjem naredbi ispod.
cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist
U Debian distribucijama Linuxa, izdajte donje naredbe da blokirate učitavanje usb-storage modula u Linux kernel.
cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko usb-storage.ko.blacklist
Sada, kad god priključite USB uređaj za pohranu, kernel neće uspjeti učitati uvodno jezgro drajvera uređaja za pohranu. Da vratite promjene, samo preimenujte USB modul sa crne liste natrag u staro ime.
cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz
Međutim, ova metoda se primjenjuje samo na module kernela vremena izvođenja. U slučaju da želite da USB memorijske module stavite na crnu listu svih dostupnih kernela u sistemu, unesite putanju verzije svakog direktorija modula kernel i preimenujte usb-storage.ko.xz u usb-storage.ko .xz.crna lista.