Kako blokirati USB uređaje za pohranu u Linux poslužiteljima

Kako bi zaštitili ekstrakciju osjetljivih podataka s poslužitelja od strane korisnika koji imaju fizički pristup strojevima, najbolja je praksa onemogućiti svu podršku za USB pohranu u Linux kernelu.

Kako bismo onemogućili podršku za USB pohranu, prvo moramo utvrditi je li upravljački program za pohranu učitan u Linux kernel i naziv upravljačkog programa (modul) koji je odgovoran za upravljački program za pohranu.

Pokrenite naredbu lsmod za popis svih učitanih upravljačkih programa kernela i filtrirajte izlaz putem naredbe grep s nizom za pretraživanje “usb_storage”.

lsmod | grep usb_storage

Iz naredbe lsmod možemo vidjeti da UAS modul koristi modul sub_storage. Zatim izvadite oba USB modula za pohranu iz kernela i provjerite je li uklanjanje uspješno dovršeno izdavanjem naredbi u nastavku.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Zatim popišite sadržaj trenutnog direktorija USB modula za pohranu kernela izdavanjem donje naredbe i identificirajte naziv upravljačkog programa za usb-pohranu. Obično bi se ovaj modul trebao zvati usb-storage.ko.xz ili usb-storage.ko.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Kako biste blokirali učitavanje obrasca USB modula za pohranu u kernel, promijenite direktorij u putanju USB modula za pohranu kernela i preimenujte modul usb-storage.ko.xz u usb-storage.ko.xz. crna listaizdavanjem naredbi u nastavku.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

U Linux distribucijama koje se temelje na Debianu izdajte donje naredbe da biste blokirali učitavanje modula usb-storage u Linux kernel.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Sada, kad god priključite USB uređaj za pohranu, kernel neće uspjeti učitati uvodni kernel upravljačkog programa uređaja za pohranu. Da biste poništili promjene, samo preimenujte USB modul na crnoj listi u njegovo staro ime.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Međutim, ova se metoda primjenjuje samo na runtime module jezgre. U slučaju da USB module za pohranu želite staviti na crnu listu iz svih dostupnih kernela u sustavu, unesite put verzije direktorija svakog modula kernela i preimenujte usb-storage.ko.xz u usb-storage.ko .xz.crna lista.