Cum să blocați dispozitivele de stocare USB în serverele Linux

Pentru a proteja extragerea datelor sensibile de pe servere de către utilizatorii care au acces fizic la mașini, este cea mai bună practică să dezactivați suportul pentru stocarea USB din nucleul Linux.

Pentru a dezactiva suportul pentru stocarea USB, trebuie mai întâi să identificăm dacă driverul de stocare este încărcat în nucleul Linux și numele driverului (modulul) responsabil cu driverul de stocare.

Rulați comanda lsmod pentru a lista toate driverele de nucleu încărcate și filtrați rezultatul prin comanda grep cu șirul de căutare „usb_storage”.

# lsmod | grep usb_storage

Din comanda lsmod, putem vedea că modulul sub_storage este utilizat de modulul UAS. Apoi, descărcați ambele module de stocare USB din kernel și verificați dacă eliminarea a fost finalizată cu succes, lansând comenzile de mai jos.

# modprobe -r usb_storage
# modprobe -r uas
# lsmod | grep usb

Apoi, enumerați conținutul directorului curent al modulelor de stocare USB a nucleului de rulare lansând comanda de mai jos și identificați numele driverului usb-storage. De obicei, acest modul ar trebui să fie numit usb-storage.ko.xz sau usb-storage.ko.

# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Pentru a bloca încărcarea modulului de stocare USB în nucleu, schimbați directorul în calea modulelor de stocare USB kernel și redenumiți modulul usb-storage.ko.xz în usb-storage.ko.xz. lista neagră, lansând comenzile de mai jos.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# ls
# mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

În distribuțiile Linux bazate pe Debian, lansați comenzile de mai jos pentru a bloca încărcarea modulului usb-storage în nucleul Linux.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
# ls
# mv usb-storage.ko usb-storage.ko.blacklist

Acum, ori de câte ori conectați un dispozitiv de stocare USB, nucleul nu va încărca nucleul de introducere a driverului dispozitivului de stocare. Pentru a anula modificările, trebuie doar să redenumiti modulul USB din lista neagră la vechiul său nume.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Cu toate acestea, această metodă se aplică numai modulelor nucleului de rulare. În cazul în care doriți să puneți pe lista neagră modulele de stocare USB din toate kernel-urile disponibile în sistem, introduceți calea versiunii din directorul fiecărui modul de kernel și redenumiți usb-storage.ko.xz în usb-storage.ko .xz.lista neagră.