Zawsze dokładamy wszelkich starań zmaksymalizować bezpieczeństwo urządzenia, ale prawda jest taka, że jest to naprawdę trudne, gdy istnieje fizyczny dostęp - to znaczy, że są ludzie, którzy mogą siedzieć przed nimi - ponieważ informacje można wydobyć na kilka sposobów. Więc dzisiaj zobaczymy jak zapobiec używaniu portu USB naszych serwerów GNU / Linux.
W naszym systemie operacyjnym jest to możliwe, jeśli najpierw zidentyfikujemy, że moduł pamięci jest używany w jądro Linuksa, i robimy to samo, aby uzyskać jego nazwę. Polecenie użyte do tego to lsmod, które pokazuje nam moduły, które zostały załadowane do działającego jądra, a my korzystamy z narzędzia grep do filtrowania i uzyskiwania tylko informacji związanych z „usb_storage”.
Otwieramy okno terminala i wpisujemy:
# lsmod | grep usb_storage
To pozwala nam zobaczyć, który plik moduł jądra który korzysta z sub_storage i po zidentyfikowaniu go, musimy pobrać go z jądra. Odbywa się to za pomocą polecenia modprobe razem z parametrem „-r” (dla „remove”):
#modprobe -r pamięć_USB
#modprobe -uas
#lsmod | grep usb
Teraz identyfikujemy katalogi obsługujące moduły jądra GNU / Linuksa o nazwie „pamięć usb”:
# ls / lib / modules / 'uname -r' / jądro / drivers / usb / storage /
Teraz, aby zapobiec ładowaniu tych modułów w jądrze, przechodzimy do katalogu tych modułów usb-storage i dodajemy sufiks "blacklist", za pomocą którego zmieniamy ich nazwę na "usb-storage.ko.xz.blacklist":
#cd / lib / modules / 'uname -r' / jądro / drivers / usb / storage /
#ls
#mv usb-storage.ko.xz usb-storage.ko.xz.blacklist
W przypadku dystrybucji opartych na Debianie nazwy modułów są nieco inne, więc powyższe polecenia wyglądałyby następująco:
#cd / lib / modules / 'uname -r' / jądro / drivers / usb / storage /
#ls
#mv usb-storage.ko usb-storage.ko.blacklist
To wszystko, od teraz po włożeniu pendrive'a do serwera powiązane moduły nie będą się ładować i nie będzie można odczytać ich zawartości ani tam skopiować czy przenieść plików. A jeśli w którymś momencie tego żałujemy i chcemy to cofnąć, po prostu musimy zostawić nazwy modułów tak, jak były na początku, czyli usunąć rozszerzenie lub przyrostek „czarna lista”.