Se depune întotdeauna toate eforturile necesare maximizați securitatea dispozitivului, dar adevărul este că acest lucru este foarte dificil atunci când există acces fizic adică există persoane care pot fi așezate în fața lor, deoarece informațiile pot fi extrase în mai multe moduri. Deci, astăzi vom vedea cum să prevenim utilizarea portului USB al serverelor noastre GNU / Linux.
În sistemul nostru de operare, acest lucru este posibil dacă mai întâi identificăm modulul de stocare utilizat în nucleul Linux, și facem același lucru pentru a obține numele acestuia. Comanda folosită pentru aceasta este lsmod, care ne arată modulele care au fost încărcate în nucleul care rulează și profităm de instrumentul grep pentru a filtra și a obține doar informații legate de 'stocare USB'.
Deschidem o fereastră de terminal și introducem:
# lsmod | grep usb_storage
Acest lucru ne permite să vedem care este modulul kernel care folosește sub_storage și, după ce l-am identificat, ceea ce trebuie să facem este să-l descărcăm din kernel. Acest lucru se face cu comanda modprobe împreună cu parametrul "-r" (pentru "eliminare"):
#modprobe -r depozitare usb
#modprobe -r uas
#lsmod | grep usb
Acum identificăm directoarele care găzduiesc modulele kernel GNU / Linux cu numele „stocare USB”:
# ls / lib / modules / 'uname -r' / kernel / drivers / usb / storage /
Acum, pentru a împiedica încărcarea acestor module în nucleu, trecem la directorul acestor module USB-storage și adăugăm sufixul „blacklist”, cu care le schimbăm numele în „usb-storage.ko.xz.blacklist”:
#cd / lib / modules / 'uname -r' / kernel / drivers / usb / storage /
#ls
#mv usb-storage.ko.xz usb-storage.ko.xz.lista neagră
În cazul distribuțiilor bazate pe Debian, numele modulelor este ușor diferit, deci comenzile de mai sus ar fi după cum urmează:
#cd / lib / modules / 'uname -r' / kernel / drivers / usb / storage /
#ls
#mv usb-storage.ko usb-storage.ko.lista neagră
Asta este tot, de acum înainte, atunci când un pendrive este introdus în server, modulele aferente nu vor reuși să se încarce și nu va fi posibil să le citiți conținutul sau să copiați sau să mutați fișiere acolo. Și dacă la un moment dat regretăm și dorim să anulăm acest lucru, trebuie pur și simplu să lăsăm numele modulelor așa cum era la început, adică eliminând extensia sau sufixul „lista neagră”.