Kuidas blokeerida USB-mäluseadmeid Linuxi serverites

Et kaitsta tundlike andmete väljavõtmist serveritest kasutajate poolt, kellel on füüsiline juurdepääs masinatele, on parim tava keelata kogu Linuxi tuuma USB-mäluseadmete tugi.

USB-mälu toe keelamiseks peame esmalt tuvastama, kas salvestusdraiver on laaditud Linuxi kernelisse, ja mäludraiveriga vastutava draiveri (mooduli) nimi.

Käivitage käsk lsmod kõigi laaditud kerneli draiverite loetlemiseks ja filtreerige väljund grep-käsu kaudu otsingustringiga\"usb_storage".

# lsmod | grep usb_storage

Käsust lsmod näeme, et UAS-moodul on kasutanud alamlao moodulit. Järgmisena laadige mõlemad USB-mälumoodulid tuumast välja ja kontrollige, kas eemaldamine on edukalt lõpule viidud, väljastades järgmised käsud.

# modprobe -r usb_storage
# modprobe -r uas
# lsmod | grep usb

Järgmisena loetlege käimasoleva tuuma USB-mälumoodulite kataloogi sisu, väljastades alloleva käsu ja tuvastage USB-mälu draiveri nimi. Tavaliselt peaks selle mooduli nimi olema usb-storage.ko.xz või usb-storage.ko.

# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

USB-mälumooduli vormi kernelisse laadimise blokeerimiseks muutke kataloog tuuma USB-mälumoodulite teeks ja nimetage moodul usb-storage.ko.xz ümber usb-storage.ko.xz.blacklist, väljastades järgmised käsud.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# ls
# mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Debiani põhistes Linuxi distributsioonides väljastage allolevad käsud, et blokeerida usb-storage mooduli laadimine Linuxi kernelisse.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
# ls
# mv usb-storage.ko usb-storage.ko.blacklist

Nüüd, kui ühendate USB-mäluseadme, ei õnnestu tuuma salvestusseadme draiveri sisetuuma laadida. Muudatuste ennistamiseks nimetage lihtsalt musta nimekirja kantud USB-moodul oma vanaks nimeks.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Kuid see meetod kehtib ainult käituse kerneli moodulite kohta. Juhul kui soovite lisada USB-mälumoodulite kõikidest süsteemis saadaolevatest tuumadest musta nimekirja, sisestage iga kernelmooduli kataloogi versiooni tee ja nimetage usb-storage.ko.xz ümber usb-storage.ko.xz.blacklist.