Wyszukiwanie w witrynie

Jak blokować urządzenia pamięci masowej USB na serwerach Linux

Aby zabezpieczyć pobieranie wrażliwych danych z serwerów przez użytkowników mających fizyczny dostęp do maszyn, najlepszą praktyką jest wyłączenie całej obsługi pamięci USB w jądrze Linuksa.

Aby wyłączyć obsługę pamięci USB, musimy najpierw określić, czy sterownik pamięci masowej jest załadowany do jądra Linuksa i nazwę sterownika (moduł) odpowiedzialnego za sterownik pamięci masowej.

Uruchom polecenie lsmod, aby wyświetlić listę wszystkich załadowanych sterowników jądra i przefiltrować dane wyjściowe za pomocą polecenia grep z ciągiem wyszukiwania „usb_storage”.

lsmod | grep usb_storage

Z polecenia lsmod widzimy, że moduł sub_storage jest używany przez moduł UAS. Następnie wyładuj oba moduły pamięci USB z jądra i sprawdź, czy usuwanie zostało pomyślnie zakończone, wydając poniższe polecenia.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Następnie wyświetl zawartość bieżącego katalogu modułów pamięci USB jądra środowiska wykonawczego, wydając poniższe polecenie i identyfikując nazwę sterownika USB-storage. Zwykle moduł ten powinien nosić nazwę usb-storage.ko.xz lub usb-storage.ko.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Aby zablokować ładowanie modułu pamięci USB do jądra, zmień katalog na ścieżkę modułów pamięci USB jądra i zmień nazwę modułu usb-storage.ko.xz na usb-storage.ko.xz. czarną listę, wydając poniższe polecenia.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

W dystrybucjach Linuksa opartych na Debianie wydaj poniższe polecenia, aby zablokować ładowanie modułu USB-storage do jądra Linuksa.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Teraz, za każdym razem, gdy podłączasz urządzenie pamięci masowej USB, jądro nie będzie w stanie załadować jądra wprowadzającego sterownika urządzenia pamięci masowej. Aby cofnąć zmiany, po prostu zmień nazwę modułu USB znajdującego się na czarnej liście na starą nazwę.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Jednak ta metoda ma zastosowanie tylko do modułów jądra środowiska wykonawczego. Jeśli chcesz umieścić na czarnej liście moduły pamięci USB ze wszystkich dostępnych jąder w systemie, wprowadź ścieżkę wersji każdego katalogu modułów jądra i zmień nazwę pliku usb-storage.ko.xz na usb-storage.ko .xz.czarna lista.