Как запретить доступ к USB-портам на вашем сервере

linux_logo

Всегда прилагаются все усилия, чтобы максимизировать безопасность устройства, но правда в том, что это действительно сложно, когда есть физический доступ - то есть есть люди, которые могут сидеть перед ними, - поскольку информацию можно извлечь несколькими способами. Итак, сегодня мы увидим как предотвратить использование USB-порта наших серверов GNU / Linux.

В нашей операционной системе это возможно, если мы сначала определим, что модуль хранения, используемый в ядро linux, и мы делаем то же самое, чтобы получить его имя. Для этого используется команда lsmod, которая показывает нам модули, которые были загружены в работающее ядро, и мы используем инструмент grep для фильтрации и получения только информации, относящейся к 'флешка'.

Открываем окно терминала и вводим:

# lsmod | grep usb_storage

Это позволяет нам увидеть, какой модуль ядра который использует sub_storage, и после его идентификации нам нужно загрузить его из ядра. Это делается с помощью команды modprobe вместе с параметром «-r» (для «удалить»):

#modprobe -r usb_storage

#modprobe -r uas

#lsmod | grep usb

Теперь мы идентифицируем каталоги, в которых размещены модули ядра GNU / Linux, с именем "usb-storage":

# ls / lib / modules / 'uname -r' / ядро ​​/ драйверы / usb / хранилище /

Теперь, чтобы предотвратить загрузку этих модулей в ядро, мы переходим в каталог этих модулей usb-storage и добавляем суффикс «черный список», с помощью которого меняем их имя на «usb-storage.ko.xz.blacklist»:

#cd / lib / modules / 'uname -r' / ядро ​​/ драйверы / usb / хранилище /

#лс

#mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

В случае дистрибутивов на основе Debian названия модулей немного отличаются, поэтому приведенные выше команды будут иметь следующий вид:

#cd / lib / modules / 'uname -r' / ядро ​​/ драйверы / usb / хранилище /

#лс

#mv usb-storage.ko usb-storage.ko.blacklist

Вот и все, с этого момента, когда флеш-накопитель вставлен в сервер, связанные модули не будут загружаться, и будет невозможно прочитать их содержимое, скопировать или переместить туда файлы. И если в какой-то момент мы пожалеем об этом и захотим это отменить, нам просто придется оставить названия модулей такими, какими они были в начале, то есть убрав расширение или суффикс «черный список».


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.