Hvernig á að loka fyrir USB geymslutæki í Linux netþjónum

Til að vernda viðkvæma gagnaútdrátt frá netþjónum af notendum sem hafa líkamlegan aðgang að vélum er best að slökkva á öllum USB geymslustuðningi í Linux kjarna.

Til að slökkva á USB geymslustuðningi þurfum við fyrst að bera kennsl á hvort geymslureklanum er hlaðið inn í Linux kjarna og nafn ökumanns (eining) sem ber ábyrgð á geymslurekla.

Keyrðu lsmod skipunina til að skrá alla hlaðna kjarnarekla og síaðu úttakið með grep skipuninni með leitarstrengnum \usb_storage.

# lsmod | grep usb_storage

Frá lsmod skipuninni getum við séð að sub_storage einingin er í notkun af UAS einingunni. Næst skaltu taka báðar USB geymslueiningarnar úr kjarnanum og ganga úr skugga um hvort fjarlægingunni hafi verið lokið með góðum árangri með því að gefa út skipanirnar hér að neðan.

# modprobe -r usb_storage
# modprobe -r uas
# lsmod | grep usb

Næst skaltu skrá innihald núverandi keyrslukjarna USB-geymslueiningaskrár með því að gefa út skipunina hér að neðan og auðkenna USB-geymslureklanafnið. Venjulega ætti þessi eining að heita usb-storage.ko.xz eða usb-storage.ko.

# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Til að loka fyrir hleðslu USB-geymslueininga í kjarna skaltu breyta möppu í slóð fyrir kjarna USB-geymslueiningar og endurnefna usb-storage.ko.xz eininguna í usb-storage.ko.xz.blacklist, með því að gefa út skipanirnar hér að neðan.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# ls
# mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Í Debian byggðum Linux dreifingum skaltu gefa út skipanirnar hér að neðan til að koma í veg fyrir að usb-geymslueining hleðst inn í Linux kjarna.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
# ls
# mv usb-storage.ko usb-storage.ko.blacklist

Nú, í hvert skipti sem þú tengir USB geymslutæki, mun kjarninn ekki hlaða inn kynningarkjarna geymslutækisins. Til að afturkalla breytingar skaltu bara endurnefna USB-eininguna sem er á svörtum lista aftur í gamla nafnið.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Hins vegar á þessi aðferð aðeins við um runtime kjarnaeiningar. Ef þú vilt setja USB-geymslueiningar á svartan lista úr öllum tiltækum kjarna í kerfinu skaltu slá inn hverja útgáfuslóð kjarnaeiningaskrár og endurnefna usb-storage.ko.xz í usb-storage.ko.xz.blacklist.