Setiap upaya selalu dilakukan untuk memaksimalkan keamanan perangkat, tetapi kenyataannya ini sangat sulit bila ada akses fisik -yaitu, ada orang yang mungkin duduk di depan mereka- karena informasi dapat digali dengan beberapa cara. Jadi hari ini kita akan lihat bagaimana mencegah port USB server GNU / Linux kami digunakan.
Dalam sistem operasi kami, hal ini dimungkinkan jika kami pertama kali mengidentifikasi bahwa modul penyimpanan digunakan dalam kernel linux, dan kami melakukan hal yang sama untuk mendapatkan namanya. Perintah yang digunakan untuk ini adalah lsmod, yang menunjukkan kepada kita modul yang telah dimuat di kernel yang sedang berjalan, dan kita memanfaatkan alat grep untuk memfilter dan hanya mendapatkan informasi yang terkait dengan 'penyimpanan USB'.
Kami membuka jendela terminal dan masuk:
# lsmod | grep usb_storage
Ini memungkinkan kita untuk melihat mana yang merupakan modul kernel yang menggunakan sub_storage, dan setelah mengidentifikasinya, yang harus kita lakukan adalah mengunduhnya dari kernel. Ini dilakukan dengan perintah modprobe bersama dengan parameter "-r" (untuk "hapus"):
#modprobe -r usb_storage
#modprobe -r uas
#lsmod | grep usb
Sekarang kami mengidentifikasi direktori yang menghosting modul kernel GNU / Linux dengan nama "usb-storage":
# ls / lib / modules / 'uname -r' / kernel / drivers / usb / storage /
Sekarang, untuk mencegah modul-modul ini dimuat ke dalam kernel, kami mengubah ke direktori modul-modul ini usb-storage dan menambahkan sufiks "blacklist", yang kami ubah namanya menjadi "usb-storage.ko.xz.blacklist":
#cd / lib / modules / 'uname -r' / kernel / drivers / usb / storage /
#ls
#mv usb-storage.ko.xz usb-storage.ko.xz.blacklist
Dalam kasus distribusi berbasis Debian, nama modulnya sedikit berbeda, jadi perintah di atas adalah sebagai berikut:
#cd / lib / modules / 'uname -r' / kernel / drivers / usb / storage /
#ls
#mv usb-storage.ko usb-storage.ko.blacklist
Itu saja, mulai sekarang ketika flashdisk dimasukkan ke server, modul terkait akan gagal dimuat, dan tidak mungkin membaca kontennya atau menyalin atau memindahkan file ke sana. Dan jika pada titik tertentu kami menyesalinya dan ingin membatalkannya, kami hanya perlu membiarkan nama modul seperti di awal, yaitu menghapus ekstensi atau sufiks «daftar hitam».