Cómo impedir el acceso a puertos USB de tu servidor

linux_logo

Siempre se hace todo lo posible para aumentar al máximo la seguridad de los dispositivos, pero lo cierto es que esto es verdaderamente difícil cuando hay acceso físico -esto es, hay personas que podrán estar sentadas frente a ellos- puesto que se puede extraer información de varias formas. Por ello hoy vamos a ver cómo evitar que se utilice el puerto USB de nuestros servidores GNU/Linux.

En nuestro sistema operativo esto es posible si primero identificamos que se ha cargado el módulo de almacenamiento que se utiliza en el kernel de Linux, y hacemos lo propio para obtener el nombre del mismo. El comando utilizado para esto es lsmod, que nos muestra los módulos que han sido cargados en el kernel en ejecución, y nos aprovechamos de la herramienta grep para filtrar y obtener únicamente información relacionada con ‘usb_storage’.

Abrimos una ventana de terminal e ingresamos:

# lsmod |grep usb_storage

Ello nos permite ver cual es el modulo del kernel que utiliza sub_storage, y luego de haberlo identificado lo que tenemos que hacer es descargarlo del kernel. Esto se hace con el comando modprobe junto con el parámetro “-r”  (por “remover”):

#modprobe -r usb_storage

#modprobe -r uas

#lsmod |grep usb

Ahora identificamos los directorios que alojan los módulos del kernel de GNU/Linux con el nombre de “usb-storage”:

# ls /lib/modules/’uname -r’/kernel/drivers/usb/storage/

Ahora, para impedir que estos módulos se carguen en el kernel, nos cambiamos al directorio de dichos módulos usb-storage y les agregamos el sufijo “blacklist”, con lo cual cambiamos su nombre a “usb-storage.ko.xz.blacklist”:

#cd /lib/modules/’uname -r’/kernel/drivers/usb/storage/

#ls

#mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

En el caso de distribuciones basadas en Debian, el nombre de los módulos es ligeramente diferente, por lo cual los comandos anteriores serían como sigue:

#cd /lib/modules/’uname -r’/kernel/drivers/usb/storage/

#ls

#mv usb-storage.ko usb-storage.ko.blacklist

Eso es todo, a partir de ahora cuando se inserte un pendrive en el servidor los módulos relacionados fallarán al cargar, y no será posible leer su contenido ni copiar o mover archivos hacia allí. Y si en algún momento nos arrepentimos y queremos deshacer esto, simplemente hay que volver a dejar el nombre de los módulos como estaba al principio, es decir quitando la extensión o sufijo “blacklist”.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.