Vždy je vynaloženo veškeré úsilí maximalizovat zabezpečení zařízení, ale pravdou je, že při fyzickém přístupu je to opravdu obtížné - to znamená, že jsou lidé, kteří mohou sedět před nimi - protože informace lze získat několika způsoby. Takže dnes to uvidíme jak zabránit použití USB portu našich GNU / Linux serverů.
V našem operačním systému je to možné, pokud nejprve zjistíme, že paměťový modul byl použit v linuxové jádroa uděláme totéž, abychom získali jeho název. Použitý příkaz je lsmod, který nám ukazuje moduly, které byly načteny do běžícího jádra, a my využíváme nástroj grep k filtrování a získávání pouze informací souvisejících s 'úložiště USB'.
Otevřeme okno terminálu a zadáme:
# lsmod | grep usb_storage
To nám umožňuje zjistit, který je modul jádra , který používá sub_storage, a poté, co jsme jej identifikovali, musíme ho stáhnout z jádra. To se provádí příkazem modprobe společně s parametrem "-r" (pro "remove"):
#modprobe -r usb_storage
#modprobe -r uas
#lsmod | grep usb
Nyní identifikujeme adresáře, které hostují jádrové moduly GNU / Linux, pod názvem „usb-storage“:
# ls / lib / modules / 'uname -r' / jádro / ovladače / usb / úložiště /
Abychom zabránili načtení těchto modulů do jádra, změnili jsme adresář těchto modulů usb-storage a přidali příponu „blacklist“, pomocí které změnili jejich název na „usb-storage.ko.xz.blacklist“:
#cd / lib / modules / 'uname -r' / jádro / ovladače / usb / úložiště /
#l
#MV USB-storage.ko.xz USB-storage.ko.xz.blacklist
V případě distribucí založených na Debianu je název modulů mírně odlišný, takže výše uvedené příkazy budou vypadat následovně:
#cd / lib / modules / 'uname -r' / jádro / ovladače / usb / úložiště /
#l
#mv usb-storage.ko usb-storage.ko.blacklist
To je vše, od nynějška, když bude na server vložen pendrive, se související moduly nezdaří načíst a nebude možné číst jejich obsah nebo tam kopírovat nebo přesouvat soubory. A pokud to v určitém okamžiku budeme litovat a chceme to vrátit zpět, musíme jednoduše opustit název modulů tak, jak byl na začátku, to znamená odstranit příponu nebo příponu «blacklist».