Jak uniemożliwić dostęp do portów USB na serwerze

Guillermo

2 minut

logo_linux

Zawsze dokładamy wszelkich starań zmaksymalizować bezpieczeństwo urządzenia, ale prawda jest taka, że ​​jest to naprawdę trudne, gdy istnieje fizyczny dostęp - to znaczy, że są ludzie, którzy mogą siedzieć przed nimi - ponieważ informacje można wydobyć na kilka sposobów. Więc dzisiaj zobaczymy jak zapobiec używaniu portu USB naszych serwerów GNU / Linux.

W naszym systemie operacyjnym jest to możliwe, jeśli najpierw zidentyfikujemy, że moduł pamięci jest używany w jądro Linuksa, i robimy to samo, aby uzyskać jego nazwę. Polecenie użyte do tego to lsmod, które pokazuje nam moduły, które zostały załadowane do działającego jądra, a my korzystamy z narzędzia grep do filtrowania i uzyskiwania tylko informacji związanych z „usb_storage”.

Otwieramy okno terminala i wpisujemy:

# lsmod | grep usb_storage

To pozwala nam zobaczyć, który plik moduł jądra który korzysta z sub_storage i po zidentyfikowaniu go, musimy pobrać go z jądra. Odbywa się to za pomocą polecenia modprobe razem z parametrem „-r” (dla „remove”):

#modprobe -r pamięć_USB

#modprobe -uas

#lsmod | grep usb

Teraz identyfikujemy katalogi obsługujące moduły jądra GNU / Linuksa o nazwie „pamięć usb”:

# ls / lib / modules / 'uname -r' / jądro / drivers / usb / storage /

Teraz, aby zapobiec ładowaniu tych modułów w jądrze, przechodzimy do katalogu tych modułów usb-storage i dodajemy sufiks "blacklist", za pomocą którego zmieniamy ich nazwę na "usb-storage.ko.xz.blacklist":

#cd / lib / modules / 'uname -r' / jądro / drivers / usb / storage /

#ls

#mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

W przypadku dystrybucji opartych na Debianie nazwy modułów są nieco inne, więc powyższe polecenia wyglądałyby następująco:

#cd / lib / modules / 'uname -r' / jądro / drivers / usb / storage /

#ls

#mv usb-storage.ko usb-storage.ko.blacklist

To wszystko, od teraz po włożeniu pendrive'a do serwera powiązane moduły nie będą się ładować i nie będzie można odczytać ich zawartości ani tam skopiować czy przenieść plików. A jeśli w którymś momencie tego żałujemy i chcemy to cofnąć, po prostu musimy zostawić nazwy modułów tak, jak były na początku, czyli usunąć rozszerzenie lub przyrostek „czarna lista”.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: AB Internet Networks 2008 SL
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.