Cómo impedir el acceso a puertos USB de tu servidor

linux_logo

Siempre se hace todo lo posible para aumentar al máximo la seguridad de los dispositivos, pero lo cierto es que esto es verdaderamente difícil cuando hay acceso físico -esto es, hay personas que podrán estar sentadas frente a ellos- puesto que se puede extraer información de varias formas. Por ello hoy vamos a ver cómo evitar que se utilice el puerto USB de nuestros servidores GNU/Linux.

En nuestro sistema operativo esto es posible si primero identificamos que se ha cargado el módulo de almacenamiento que se utiliza en el kernel de Linux, y hacemos lo propio para obtener el nombre del mismo. El comando utilizado para esto es lsmod, que nos muestra los módulos que han sido cargados en el kernel en ejecución, y nos aprovechamos de la herramienta grep para filtrar y obtener únicamente información relacionada con ‘usb_storage’.

Abrimos una ventana de terminal e ingresamos:

# lsmod |grep usb_storage

Ello nos permite ver cual es el modulo del kernel que utiliza sub_storage, y luego de haberlo identificado lo que tenemos que hacer es descargarlo del kernel. Esto se hace con el comando modprobe junto con el parámetro «-r»  (por «remover»):

#modprobe -r usb_storage

#modprobe -r uas

#lsmod |grep usb

Ahora identificamos los directorios que alojan los módulos del kernel de GNU/Linux con el nombre de «usb-storage»:

# ls /lib/modules/’uname -r’/kernel/drivers/usb/storage/

Ahora, para impedir que estos módulos se carguen en el kernel, nos cambiamos al directorio de dichos módulos usb-storage y les agregamos el sufijo «blacklist», con lo cual cambiamos su nombre a «usb-storage.ko.xz.blacklist»:

#cd /lib/modules/’uname -r’/kernel/drivers/usb/storage/

#ls

#mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

En el caso de distribuciones basadas en Debian, el nombre de los módulos es ligeramente diferente, por lo cual los comandos anteriores serían como sigue:

#cd /lib/modules/’uname -r’/kernel/drivers/usb/storage/

#ls

#mv usb-storage.ko usb-storage.ko.blacklist

Eso es todo, a partir de ahora cuando se inserte un pendrive en el servidor los módulos relacionados fallarán al cargar, y no será posible leer su contenido ni copiar o mover archivos hacia allí. Y si en algún momento nos arrepentimos y queremos deshacer esto, simplemente hay que volver a dejar el nombre de los módulos como estaba al principio, es decir quitando la extensión o sufijo «blacklist».


El contenido del artículo se adhiere a nuestros principios de ética editorial. Para notificar un error pincha aquí.

Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.