Cara memblokir perangkat penyimpanan USB di server Linux

Untuk melindungi ekstraksi data yang sensitif dari server oleh pengguna yang memiliki akses fisik ke mesin, ini adalah praktik terbaik untuk menonaktifkan semua dukungan penyimpanan USB di Kernel Linux.

Untuk menonaktifkan dukungan penyimpanan USB, pertama -tama kita perlu mengidentifikasi apakah driver penyimpanan dimuat ke dalam kernel Linux dan nama driver (modul) bertanggung jawab dengan driver penyimpanan.

Jalankan Perintah LSMOD Untuk mendaftar semua driver kernel yang dimuat dan memfilter output melalui perintah GREP dengan string pencarian "penyimpanan USB".

# lsmod | GREP USB_Storage 

Dari LSMOD perintah, kita dapat melihat bahwa Sub_Storage Modul sedang digunakan oleh UAS modul. Selanjutnya, lepaskan kedua modul penyimpanan USB dari kernel dan verifikasi jika penghapusan telah berhasil diselesaikan, dengan mengeluarkan perintah di bawah ini.

# modprobe -r usb_storage # modprobe -r uas # lsmod | GREP USB 

Selanjutnya, daftarkan konten direktori Modul Penyimpanan Kernel USB saat ini dengan mengeluarkan perintah di bawah ini dan identifikasi penyimpanan USB nama pengemudi. Biasanya modul ini harus dinamai penyimpanan USB.ko.xz atau penyimpanan USB.ko.

# ls/lib/modul/'uname -r'/kernel/driver/usb/penyimpanan/ 

Untuk memblokir bentuk modul penyimpanan USB memuat ke dalam kernel, ubah direktori ke jalur modul penyimpanan USB kernel dan ganti nama penyimpanan USB.ko.xz modul ke penyimpanan USB.ko.xz.daftar hitam, dengan mengeluarkan perintah di bawah ini.

# cd/lib/modul/'uname -r'/kernel/driver/usb/penyimpanan/ # ls # mv usb -storage.ko.XZ USB-Storage.ko.xz.daftar hitam 

Di dalam Debian Distribusi Linux Berdasarkan, Keluarkan Perintah Di Bawah Untuk Memblokir penyimpanan USB modul dari memuat ke kernel linux.

# cd/lib/modul/'uname -r'/kernel/driver/usb/penyimpanan/ # ls # mv usb -storage.KO USB-Storage.ko.daftar hitam 

Sekarang, setiap kali Anda plug-in perangkat penyimpanan USB, kernel akan gagal memuat perangkat penyimpanan driver intro kernel. Untuk mengembalikan perubahan, cukup ganti nama modul USB yang dimasukkan ke dalam daftar hitam ke nama lamanya.

# cd/lib/modul/'uname -r'/kernel/driver/usb/penyimpanan/ # mv usb -storage.ko.xz.Daftar Blacklist USB-Storage.ko.xz 

Namun, metode ini hanya berlaku untuk modul kernel runtime. Jika Anda ingin blacklist modul penyimpanan USB membentuk semua kernel yang tersedia dalam sistem, masukkan setiap jalur versi direktori modul kernel dan ganti nama penyimpanan USB.ko.xz ke penyimpanan USB.ko.xz.daftar hitam.