Todo esforço é sempre feito para maximizar a segurança do dispositivo, mas a verdade é que isso é muito difícil quando há acesso físico -ou seja, há pessoas que podem estar sentadas à sua frente- uma vez que as informações podem ser extraídas de várias maneiras. Então, hoje vamos ver como evitar que a porta USB de nossos servidores GNU / Linux sejam usados.
Em nosso sistema operacional, isso é possível se primeiro identificarmos que o módulo de armazenamento usado em o kernel linux, e fazemos o mesmo para obter o nome dele. O comando usado para isso é lsmod, que nos mostra os módulos que foram carregados no kernel em execução, e aproveitamos a ferramenta grep para filtrar e obter apenas informações relacionadas a 'armazenamento USB'.
Abrimos uma janela de terminal e inserimos:
# lsmod | grep usb_storage
Isso nos permite ver qual é o módulo do kernel que usa sub_storage, e depois de identificá-lo, o que temos que fazer é baixá-lo do kernel. Isso é feito com o comando modprobe junto com o parâmetro "-r" (para "remover"):
#modprobe -r usb_storage
#modprobe -ruas
#lsmod | grep usb
Agora identificamos os diretórios que hospedam os módulos do kernel GNU / Linux com o nome "usb-storage":
# ls / lib / modules / 'uname -r' / kernel / drivers / usb / storage /
Agora, para evitar que esses módulos carreguem no kernel, mudamos para o diretório desses módulos usb-storage e adicionamos o sufixo "blacklist", com o qual mudamos seu nome para "usb-storage.ko.xz.blacklist":
#cd / lib / modules / 'uname -r' / kernel / drivers / usb / storage /
#ls
#mv usb-storage.ko.xz usb-storage.ko.xz.lista negra
No caso de distribuições baseadas em Debian, o nome dos módulos é um pouco diferente, então os comandos acima seriam os seguintes:
#cd / lib / modules / 'uname -r' / kernel / drivers / usb / storage /
#ls
#mv usb-storage.ko usb-storage.ko.lista negra
Isso é tudo, a partir de agora quando um pendrive for inserido no servidor, os módulos relacionados não serão carregados, e não será possível ler seu conteúdo ou copiar ou mover arquivos para lá. E se em algum momento nos arrependermos e quisermos desfazê-lo, basta deixar o nome dos módulos como estava no início, ou seja, retirando a extensão ou sufixo «lista negra».