Kuidas blokeerida USB-mäluseadmeid Linuxi serverites
Et kaitsta tundlike andmete väljavõtmist serveritest kasutajate poolt, kellel on füüsiline juurdepääs masinatele, on parim tava keelata kogu Linuxi tuuma USB-mäluseadmete tugi.
USB-mälu toe keelamiseks peame esmalt tuvastama, kas salvestusdraiver on laaditud Linuxi kernelisse, ja mäludraiveriga vastutava draiveri (mooduli) nimi.
Käivitage käsk lsmod kõigi laaditud kerneli draiverite loetlemiseks ja filtreerige väljund grep-käsu kaudu otsingustringiga\"usb_storage".
# lsmod | grep usb_storage
Käsust lsmod näeme, et UAS-moodul on kasutanud alamlao moodulit. Järgmisena laadige mõlemad USB-mälumoodulid tuumast välja ja kontrollige, kas eemaldamine on edukalt lõpule viidud, väljastades järgmised käsud.
# modprobe -r usb_storage # modprobe -r uas # lsmod | grep usb
Järgmisena loetlege käimasoleva tuuma USB-mälumoodulite kataloogi sisu, väljastades alloleva käsu ja tuvastage USB-mälu draiveri nimi. Tavaliselt peaks selle mooduli nimi olema usb-storage.ko.xz või usb-storage.ko.
# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/
USB-mälumooduli vormi kernelisse laadimise blokeerimiseks muutke kataloog tuuma USB-mälumoodulite teeks ja nimetage moodul usb-storage.ko.xz ümber usb-storage.ko.xz.blacklist, väljastades järgmised käsud.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # ls # mv usb-storage.ko.xz usb-storage.ko.xz.blacklist
Debiani põhistes Linuxi distributsioonides väljastage allolevad käsud, et blokeerida usb-storage mooduli laadimine Linuxi kernelisse.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # ls # mv usb-storage.ko usb-storage.ko.blacklist
Nüüd, kui ühendate USB-mäluseadme, ei õnnestu tuuma salvestusseadme draiveri sisetuuma laadida. Muudatuste ennistamiseks nimetage lihtsalt musta nimekirja kantud USB-moodul oma vanaks nimeks.
# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ # mv usb-storage.ko.xz.blacklist usb-storage.ko.xz
Kuid see meetod kehtib ainult käituse kerneli moodulite kohta. Juhul kui soovite lisada USB-mälumoodulite kõikidest süsteemis saadaolevatest tuumadest musta nimekirja, sisestage iga kernelmooduli kataloogi versiooni tee ja nimetage usb-storage.ko.xz ümber usb-storage.ko.xz.blacklist.