Kako blokirati pomnilniške naprave USB v strežnikih Linux
Da bi zaščitili pridobivanje občutljivih podatkov s strežnikov s strani uporabnikov, ki imajo fizični dostop do strojev, je najbolje, da onemogočite vso podporo za shranjevanje USB v jedru Linuxa.
Če želite onemogočiti podporo za shranjevanje USB, moramo najprej ugotoviti, ali je gonilnik za shranjevanje naložen v jedro Linuxa in ime gonilnika (modula), ki je odgovoren za gonilnik za shranjevanje.
Zaženite ukaz lsmod, da prikažete vse naložene gonilnike jedra in filtrirate izhod z ukazom grep z iskalnim nizom\"usb_storage".
# lsmod | grep usb_storage
Iz ukaza lsmod lahko vidimo, da modul sub_storage uporablja modul UAS. Nato odstranite oba pomnilniška modula USB iz jedra in preverite, ali je bila odstranitev uspešno zaključena, tako da izdate spodnje ukaze.
# modprobe -r usb_storage # modprobe -r uas # lsmod | grep usb
Nato navedite vsebino trenutnega imenika pomnilniških modulov pomnilniških pomnilnikov USB jedra v času izvajanja, tako da izdate spodnji ukaz in identificirate ime gonilnika pomnilnika usb. Običajno bi morali ta modul poimenovati usb-storage.ko.xz ali usb-storage.ko.
# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/
Če želite blokirati nalaganje obrazca pomnilniškega modula USB v jedro, spremenite imenik v pot jedrnih pomnilniških modulov USB in preimenujte modul usb-storage.ko.xz v usb-storage.ko.xz.blacklist z izdajo spodnjih ukazov.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # ls # mv usb-storage.ko.xz usb-storage.ko.xz.blacklist
V distribucijah Linuxa, ki temeljijo na Debianu, izdajte spodnje ukaze, da preprečite nalaganje modula za shranjevanje USB v jedro Linuxa.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # ls # mv usb-storage.ko usb-storage.ko.blacklist
Zdaj, ko priključite pomnilniško napravo USB, jedro ne bo uspelo naložiti uvodnega jedra gonilnika pomnilniške naprave. Če želite razveljaviti spremembe, preprosto preimenujte modul usb na črnem seznamu nazaj v staro ime.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # mv usb-storage.ko.xz.blacklist usb-storage.ko.xz
Ta metoda pa velja samo za module jedra v času izvajanja. Če želite na črni seznam shraniti pomnilniške module USB iz vseh razpoložljivih jeder v sistemu, vnesite pot do različice imenika modulov jedra in preimenujte usb-storage.ko.xz v usb-storage.ko.xz.blacklist.