Hvordan blokkere USB-lagringsenheter i Linux-servere
For å beskytte sensitiv datautvinning fra servere av brukere som har fysisk tilgang til maskiner, er det en beste praksis å deaktivere all USB-lagringsstøtte i Linux-kjernen.
For å deaktivere USB-lagringsstøtte, må vi først identifisere om lagringsdriveren er lastet inn i Linux-kjernen og navnet på driveren (modulen) som er ansvarlig for lagringsdriveren.
Kjør lsmod-kommandoen for å liste alle innlastede kjernedrivere og filtrer utdataene via grep-kommandoen med søkestrengen \usb_storage.
# lsmod | grep usb_storage
Fra lsmod-kommandoen kan vi se at sub_storage-modulen er i bruk av UAS-modulen. Deretter laster du ut begge USB-lagringsmodulene fra kjernen og kontrollerer om fjerningen er fullført, ved å utstede kommandoene nedenfor.
# modprobe -r usb_storage # modprobe -r uas # lsmod | grep usb
List deretter innholdet i gjeldende katalog for kjøretidskjernens usb-lagringsmoduler ved å gi kommandoen nedenfor og identifiser usb-lagringsdrivernavnet. Vanligvis skal denne modulen hete usb-storage.ko.xz eller usb-storage.ko.
# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/
For å blokkere lasting av USB-lagringsmoduler i kjernen, endre katalogen til kjernens usb-lagringsmodulbane og gi nytt navn til usb-storage.ko.xz-modulen til usb-storage.ko.xz.blacklist, ved å utstede kommandoene nedenfor.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # ls # mv usb-storage.ko.xz usb-storage.ko.xz.blacklist
I Debian-baserte Linux-distribusjoner, utfør kommandoene nedenfor for å blokkere usb-lagringsmodulen fra å laste inn i Linux-kjernen.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # ls # mv usb-storage.ko usb-storage.ko.blacklist
Nå, hver gang du plugger inn en USB-lagringsenhet, vil kjernen ikke kunne laste inn lagringsenhetsdriverens introduksjonskjerne. For å tilbakestille endringer, bare gi nytt navn til usb-modulen som er svartelistet tilbake til det gamle navnet.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # mv usb-storage.ko.xz.blacklist usb-storage.ko.xz
Denne metoden gjelder imidlertid bare for runtime-kjernemoduler. I tilfelle du ønsker å svarteliste USB-lagringsmoduler fra alle tilgjengelige kjerner i systemet, skriv inn hver kjernemodulkatalogversjonsbane og gi nytt navn til usb-storage.ko.xz til usb-storage.ko.xz.blacklist.