Vyhledávání na webu

Jak blokovat úložná zařízení USB na serverech Linux

Chcete-li chránit extrakci citlivých dat ze serverů uživateli, kteří mají fyzický přístup k počítačům, je osvědčeným postupem zakázat veškerou podporu úložiště USB v jádře Linuxu.

Abychom deaktivovali podporu úložiště USB, musíme nejprve zjistit, zda je ovladač úložiště nahrán do jádra Linuxu, a název ovladače (modul), který je za ovladač úložiště odpovědný.

Spusťte příkaz lsmod pro zobrazení seznamu všech načtených ovladačů jádra a filtrujte výstup pomocí příkazu grep s vyhledávacím řetězcem „usb_storage “.

lsmod | grep usb_storage

Z příkazu lsmod můžeme vidět, že modul sub_storage používá modul UAS. Dále vyjměte oba paměťové moduly USB z jádra a ověřte, zda bylo odstranění úspěšně dokončeno, zadáním níže uvedených příkazů.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Dále vypište obsah aktuálního adresáře modulů úložiště usb jádra za běhu zadáním níže uvedeného příkazu a identifikujte název ovladače usb-storage. Obvykle by se tento modul měl jmenovat usb-storage.ko.xz nebo usb-storage.ko.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Chcete-li zablokovat načítání formuláře úložiště USB do jádra, změňte adresář na cestu k kernel usb storage modules a přejmenujte modul usb-storage.ko.xz na usb-storage.ko.xz. blacklistvydáním níže uvedených příkazů.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

V linuxových distribucích založených na Debian zadejte níže uvedené příkazy k zablokování načítání modulu usb-storage do jádra Linuxu.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Nyní, kdykoli připojíte úložné zařízení USB, jádro nebude moci načíst úvodní jádro ovladače úložného zařízení. Chcete-li vrátit změny, stačí přejmenovat modul usb na černé listině zpět na jeho starý název.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Tato metoda se však vztahuje pouze na moduly runtime jádra. V případě, že chcete zablokovat paměťové moduly USB ze všech dostupných jader v systému, zadejte cestu k verzi adresáře každého modulu jádra a přejmenujte usb-storage.ko.xz na usb-storage.ko .xz.blacklist.