Mindent megtesznek azért maximalizálja az eszköz biztonságát, de az az igazság, hogy ez fizikai hozzáférés esetén nagyon nehéz - vagyis vannak olyan emberek, akik előttük ülhetnek - mivel az információk többféle módon kinyerhetők. Tehát ma meglátjuk hogyan lehet megakadályozni GNU / Linux szervereink USB portjának használatát.
Az operációs rendszerünkben ez akkor lehetséges, ha először azonosítjuk, hogy a tároló modul használt a linux kernel, és ugyanezt tesszük a nevének megszerzéséért is. Az ehhez használt parancs az lsmod, amely megmutatja a futó kernelbe betöltött modulokat, és a grep eszközt kihasználva szűrünk és csak a 'USB tárhely'.
Megnyitunk egy terminálablakot, és belépünk:
# lsmod | grep usb_storage
Ez lehetővé teszi számunkra, hogy lássuk, melyik a kernel modul amely a sub_storage-t használja, és miután beazonosította azt, le kell töltenünk a kernelből. Ez a modprobe paranccsal és az "-r" paraméterrel együtt történik (az "eltávolításhoz"):
#modprobe -r usb_storage
#modprobe -r uas
#lsmod | grep usb
Most az "usb-storage" névvel azonosítjuk azokat a könyvtárakat, amelyek a GNU / Linux kernelmodulokat tárolják:
# ls / lib / modules / 'uname -r' / kernel / driverek / usb / storage /
Most, hogy megakadályozzuk ezeknek a moduloknak a kernelbe történő betöltését, áttérünk ezeknek a moduloknak az usb-storage könyvtárára, és hozzáadjuk a "fekete lista" utótagot, amellyel a nevüket "usb-storage.ko.xz.blacklist" -re változtatjuk:
#cd / lib / modules / 'uname -r' / kernel / drivers / usb / storage /
#ls
#mv usb-storage.ko.xz usb-storage.ko.xz.blacklist
Debian-alapú disztribúciók esetében a modulok neve kissé eltér, így a fenti parancsok a következők lennének:
#cd / lib / modules / 'uname -r' / kernel / drivers / usb / storage /
#ls
#mv usb-storage.ko usb-storage.ko.blacklist
Ez minden, mostantól kezdve, amikor egy pendrive-ot beillesztenek a szerverbe, a kapcsolódó modulok nem fognak betöltődni, és nem lehet majd elolvasni a tartalmukat, másolni vagy áthelyezni a fájlokat oda. És ha valamikor megbánjuk és vissza akarjuk vonni ezt, akkor egyszerűen el kell hagynunk a modulok nevét, mint az elején volt, vagyis eltávolítva a kiterjesztést vagy az utótag «fekete listáját».