Поиск по сайту:

Как заблокировать USB-накопители на серверах Linux


Чтобы защитить извлечение конфиденциальных данных с серверов пользователями, имеющими физический доступ к машинам, рекомендуется отключить всю поддержку USB-накопителей в ядре Linux.

Чтобы отключить поддержку USB-накопителей, нам сначала необходимо определить, загружен ли драйвер хранилища в ядро Linux, а также имя драйвера (модуля), отвечающего за драйвер хранилища.

Запустите команду lsmod, чтобы просмотреть все загруженные драйверы ядра, и отфильтруйте вывод с помощью команды grep, используя строку поиска «usb_storage».

lsmod | grep usb_storage

С помощью команды lsmod мы видим, что модуль sub_storage используется модулем UAS. Затем выгрузите оба USB-модуля хранения из ядра и проверьте, было ли удаление успешно завершено, выполнив приведенные ниже команды.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Затем выведите список содержимого текущего каталога модулей USB-хранилища ядра среды выполнения, выполнив приведенную ниже команду, и определите имя драйвера usb-storage. Обычно этот модуль должен называться usb-storage.ko.xz или usb-storage.ko.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Чтобы заблокировать загрузку модуля USB-накопителя в ядро, измените каталог на путь к модулям USB-накопителя ядра и переименуйте модуль usb-storage.ko.xz в usb-storage.ko.xz. черный список, выполнив приведенные ниже команды.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

В дистрибутивах Linux на базе Debian введите приведенные ниже команды, чтобы заблокировать загрузку модуля usb-storage в ядро Linux.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Теперь, когда вы подключаете USB-устройство хранения данных, ядру не удается загрузить начальное ядро драйвера устройства хранения данных. Чтобы отменить изменения, просто переименуйте USB-модуль, занесенный в черный список, обратно в его старое имя.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Однако этот метод применим только к модулям ядра во время выполнения. Если вы хотите внести в черный список USB-модули хранения данных из всех доступных ядер в системе, введите путь к версии каталога каждого модуля ядра и переименуйте usb-storage.ko.xz в usb-storage.ko. .xz.черный список.