Всегда прилагаются все усилия, чтобы максимизировать безопасность устройства, но правда в том, что это действительно сложно, когда есть физический доступ - то есть есть люди, которые могут сидеть перед ними, - поскольку информацию можно извлечь несколькими способами. Итак, сегодня мы увидим как предотвратить использование USB-порта наших серверов GNU / Linux.
В нашей операционной системе это возможно, если мы сначала определим, что модуль хранения, используемый в ядро linux, и мы делаем то же самое, чтобы получить его имя. Для этого используется команда lsmod, которая показывает нам модули, которые были загружены в работающее ядро, и мы используем инструмент grep для фильтрации и получения только информации, относящейся к 'флешка'.
Открываем окно терминала и вводим:
# lsmod | grep usb_storage
Это позволяет нам увидеть, какой модуль ядра который использует sub_storage, и после его идентификации нам нужно загрузить его из ядра. Это делается с помощью команды modprobe вместе с параметром «-r» (для «удалить»):
#modprobe -r usb_storage
#modprobe -r uas
#lsmod | grep usb
Теперь мы идентифицируем каталоги, в которых размещены модули ядра GNU / Linux, с именем "usb-storage":
# ls / lib / modules / 'uname -r' / ядро / драйверы / usb / хранилище /
Теперь, чтобы предотвратить загрузку этих модулей в ядро, мы переходим в каталог этих модулей usb-storage и добавляем суффикс «черный список», с помощью которого меняем их имя на «usb-storage.ko.xz.blacklist»:
#cd / lib / modules / 'uname -r' / ядро / драйверы / usb / хранилище /
#лс
#mv usb-storage.ko.xz usb-storage.ko.xz.blacklist
В случае дистрибутивов на основе Debian названия модулей немного отличаются, поэтому приведенные выше команды будут иметь следующий вид:
#cd / lib / modules / 'uname -r' / ядро / драйверы / usb / хранилище /
#лс
#mv usb-storage.ko usb-storage.ko.blacklist
Вот и все, с этого момента, когда флеш-накопитель вставлен в сервер, связанные модули не будут загружаться, и будет невозможно прочитать их содержимое, скопировать или переместить туда файлы. И если в какой-то момент мы пожалеем об этом и захотим это отменить, нам просто придется оставить названия модулей такими, какими они были в начале, то есть убрав расширение или суффикс «черный список».