Cách ngăn truy cập vào cổng USB trên máy chủ của bạn

Guillermo

2 phút

linux_logo

Mọi nỗ lực luôn được thực hiện để tối đa hóa bảo mật thiết bị, nhưng sự thật là điều này thực sự khó khăn khi có quyền truy cập vật lý -đó là, có những người có thể ngồi trước họ- vì thông tin có thể được trích xuất theo nhiều cách. Vì vậy, hôm nay chúng ta sẽ xem cách ngăn cổng USB của máy chủ GNU / Linux của chúng tôi bị sử dụng.

Trong hệ điều hành của chúng tôi, điều này có thể thực hiện được nếu trước tiên chúng tôi xác định rằng mô-đun lưu trữ được sử dụng trong hạt nhân linux, và chúng tôi cũng làm như vậy để lấy tên của nó. Lệnh được sử dụng cho việc này là lsmod, cho chúng ta thấy các mô-đun đã được tải trong hạt nhân đang chạy và chúng ta tận dụng công cụ grep để lọc và chỉ lấy thông tin liên quan đến 'usb_storage'.

Chúng tôi mở một cửa sổ đầu cuối và nhập:

# lsmod | grep usb_storage

Điều này cho phép chúng tôi xem cái nào là mô-đun hạt nhân sử dụng sub_storage và sau khi xác định được nó, việc chúng ta phải làm là tải nó xuống từ kernel. Điều này được thực hiện với lệnh modprobe cùng với tham số "-r" (đối với "remove"):

#modprobe -r usb_storage

#modprobe -r uas

#lsmod | grep usb

Bây giờ chúng tôi xác định các thư mục lưu trữ các mô-đun nhân GNU / Linux với tên "usb-storage":

# ls / lib / modules / 'uname -r' / kernel / drivers / usb / storage /

Bây giờ, để ngăn không cho các mô-đun này tải vào hạt nhân, chúng tôi thay đổi thư mục của các mô-đun này lưu trữ USB và thêm hậu tố "danh sách đen", chúng tôi đổi tên của chúng thành "usb-storage.ko.xz.blacklist":

#cd / lib / modules / 'uname -r' / kernel / drivers / usb / storage /

#ls

#mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Trong trường hợp các bản phân phối dựa trên Debian, tên của các mô-đun hơi khác nhau, vì vậy các lệnh trên sẽ như sau:

#cd / lib / modules / 'uname -r' / kernel / drivers / usb / storage /

#ls

#mv usb-storage.ko usb-storage.ko.blacklist

Đó là tất cả, kể từ bây giờ khi một ổ đĩa được đưa vào máy chủ, các mô-đun liên quan sẽ không tải được và sẽ không thể đọc nội dung của chúng hoặc sao chép hoặc di chuyển tệp ở đó. Và nếu một lúc nào đó chúng ta hối hận và muốn hoàn tác việc này, chúng ta chỉ cần để lại tên của các module như lúc đầu, tức là bỏ phần mở rộng hoặc hậu tố «danh sách đen».


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.