Hvordan blokkere USB-lagringsenheter i Linux-servere

For å beskytte sensitiv datautvinning fra servere av brukere som har fysisk tilgang til maskiner, er det en beste praksis å deaktivere all USB-lagringsstøtte i Linux-kjernen.

For å deaktivere USB-lagringsstøtte, må vi først identifisere om lagringsdriveren er lastet inn i Linux-kjernen og navnet på driveren (modulen) som er ansvarlig for lagringsdriveren.

Kjør lsmod-kommandoen for å liste alle innlastede kjernedrivere og filtrer utdataene via grep-kommandoen med søkestrengen \usb_storage.

# lsmod | grep usb_storage

Fra lsmod-kommandoen kan vi se at sub_storage-modulen er i bruk av UAS-modulen. Deretter laster du ut begge USB-lagringsmodulene fra kjernen og kontrollerer om fjerningen er fullført, ved å utstede kommandoene nedenfor.

# modprobe -r usb_storage
# modprobe -r uas
# lsmod | grep usb

List deretter innholdet i gjeldende katalog for kjøretidskjernens usb-lagringsmoduler ved å gi kommandoen nedenfor og identifiser usb-lagringsdrivernavnet. Vanligvis skal denne modulen hete usb-storage.ko.xz eller usb-storage.ko.

# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

For å blokkere lasting av USB-lagringsmoduler i kjernen, endre katalogen til kjernens usb-lagringsmodulbane og gi nytt navn til usb-storage.ko.xz-modulen til usb-storage.ko.xz.blacklist, ved å utstede kommandoene nedenfor.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# ls
# mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

I Debian-baserte Linux-distribusjoner, utfør kommandoene nedenfor for å blokkere usb-lagringsmodulen fra å laste inn i Linux-kjernen.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
# ls
# mv usb-storage.ko usb-storage.ko.blacklist

Nå, hver gang du plugger inn en USB-lagringsenhet, vil kjernen ikke kunne laste inn lagringsenhetsdriverens introduksjonskjerne. For å tilbakestille endringer, bare gi nytt navn til usb-modulen som er svartelistet tilbake til det gamle navnet.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Denne metoden gjelder imidlertid bare for runtime-kjernemoduler. I tilfelle du ønsker å svarteliste USB-lagringsmoduler fra alle tilgjengelige kjerner i systemet, skriv inn hver kjernemodulkatalogversjonsbane og gi nytt navn til usb-storage.ko.xz til usb-storage.ko.xz.blacklist.