Cómo impedir el acceso a puertos USB de tu servidor

Siempre se hace todo lo posible para aumentar al máximo la seguridad de los dispositivos, pero lo cierto es que esto es verdaderamente difícil cuando hay acceso físico -esto es, hay personas que podrán estar sentadas frente a ellos- puesto que se puede extraer información de varias formas. Por ello hoy vamos a ver cómo evitar que se utilice el puerto USB de nuestros servidores GNU/Linux.

En nuestro sistema operativo esto es posible si primero identificamos que se ha cargado el módulo de almacenamiento que se utiliza en el kernel de Linux, y hacemos lo propio para obtener el nombre del mismo. El comando utilizado para esto es lsmod, que nos muestra los módulos que han sido cargados en el kernel en ejecución, y nos aprovechamos de la herramienta grep para filtrar y obtener únicamente información relacionada con ‘usb_storage’.

Abrimos una ventana de terminal e ingresamos:

# lsmod |grep usb_storage

Ello nos permite ver cual es el modulo del kernel que utiliza sub_storage, y luego de haberlo identificado lo que tenemos que hacer es descargarlo del kernel. Esto se hace con el comando modprobe junto con el parámetro “-r”  (por “remover”):

#modprobe -r usb_storage

#modprobe -r uas

#lsmod |grep usb

Ahora identificamos los directorios que alojan los módulos del kernel de GNU/Linux con el nombre de “usb-storage”:

# ls /lib/modules/’uname -r’/kernel/drivers/usb/storage/

Ahora, para impedir que estos módulos se carguen en el kernel, nos cambiamos al directorio de dichos módulos usb-storage y les agregamos el sufijo “blacklist”, con lo cual cambiamos su nombre a “usb-storage.ko.xz.blacklist”:

#cd /lib/modules/’uname -r’/kernel/drivers/usb/storage/

#ls

#mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

En el caso de distribuciones basadas en Debian, el nombre de los módulos es ligeramente diferente, por lo cual los comandos anteriores serían como sigue:

#cd /lib/modules/’uname -r’/kernel/drivers/usb/storage/

#ls

#mv usb-storage.ko usb-storage.ko.blacklist

Eso es todo, a partir de ahora cuando se inserte un pendrive en el servidor los módulos relacionados fallarán al cargar, y no será posible leer su contenido ni copiar o mover archivos hacia allí. Y si en algún momento nos arrepentimos y queremos deshacer esto, simplemente hay que volver a dejar el nombre de los módulos como estaba al principio, es decir quitando la extensión o sufijo “blacklist”.


Categorías

General, Kernel

Ingeniero en Informática, soy un fanático de Linux, Android, la programación, redes y todo lo que tenga que ver con las nuevas tecnologías.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.