Kaip blokuoti USB saugojimo įrenginius Linux serveriuose

Kad naudotojai, turintys fizinę prieigą prie įrenginių, apsaugotų slaptų duomenų ištraukimą iš serverių, geriausia yra išjungti visą USB atmintinės palaikymą Linux branduolyje.

Norėdami išjungti USB atmintinės palaikymą, pirmiausia turime nustatyti, ar saugyklos tvarkyklė įkelta į „Linux“ branduolį, ir tvarkyklės (modulio), atsakingos už saugyklos tvarkyklę, pavadinimą.

Vykdykite komandą lsmod, kad pateiktumėte visas įkeltas branduolio tvarkykles ir filtruokite išvestį naudodami komandą grep su paieškos eilute „usb_storage“.

lsmod | grep usb_storage

Iš komandos lsmod matome, kad sub_storage modulis naudojamas UAS modulyje. Tada išimkite abu USB atminties modulius iš branduolio ir patikrinkite, ar pašalinimas sėkmingai baigtas, išduodami toliau pateiktas komandas.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Tada nurodykite dabartinio vykdymo laiko branduolio USB atminties modulių katalogo turinį, išleisdami toliau pateiktą komandą ir nurodykite usb saugyklos tvarkyklės pavadinimą. Paprastai šis modulis turėtų būti pavadintas usb-storage.ko.xz arba usb-storage.ko.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Norėdami blokuoti USB atminties modulio formos įkėlimą į branduolį, pakeiskite katalogą į branduolio USB atmintinės modulių kelią ir pervardykite usb-storage.ko.xz modulį į usb-storage.ko.xz. juodasis sąrašas, išduodami toliau nurodytas komandas.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Debian pagrindu sukurtuose Linux platinimuose išduokite toliau pateiktas komandas, kad blokuotumėte usb-saugyklos modulio įkėlimą į Linux branduolį.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Dabar, kai prijungiate USB atminties įrenginį, branduoliui nepavyks įkelti saugojimo įrenginio tvarkyklės įvadinio branduolio. Norėdami grąžinti pakeitimus, tiesiog pervardykite į juodąjį sąrašą įtrauktą USB modulį atgal į seną pavadinimą.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Tačiau šis metodas taikomas tik vykdymo laiko branduolio moduliams. Jei norite įtraukti USB atminties modulius iš visų galimų sistemos branduolių į juodąjį sąrašą, įveskite kiekvieno branduolio modulio katalogo versijos kelią ir pervardykite usb-storage.ko.xz į usb-storage.ko .xz.juodasis sąrašas.