Zoeken op website

Hoe USB-opslagapparaten op Linux-servers te blokkeren

Om de extractie van gevoelige gegevens van servers door gebruikers die fysieke toegang tot machines hebben te beschermen, is het een best practice om alle ondersteuning voor USB-opslag in de Linux-kernel uit te schakelen.

Om ondersteuning voor USB-opslag uit te schakelen, moeten we eerst vaststellen of het opslagstuurprogramma in de Linux-kernel is geladen en de naam van het stuurprogramma (module) dat verantwoordelijk is voor het opslagstuurprogramma.

Voer de lsmod-opdracht uit om alle geladen kernelstuurprogramma's weer te geven en filter de uitvoer via de grep-opdracht met de zoekreeks “usb_storage”.

lsmod | grep usb_storage

Uit het lsmod commando kunnen we zien dat de sub_storage module in gebruik is door de UAS module. Verwijder vervolgens beide USB-opslagmodules uit de kernel en controleer of de verwijdering succesvol is voltooid door de onderstaande opdrachten te geven.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Geef vervolgens de inhoud van de huidige runtime kernel usb storage modules map weer door de onderstaande opdracht uit te voeren en identificeer de naam van het usb-storage stuurprogramma. Normaal gesproken zou deze module de naam usb-storage.ko.xz of usb-storage.ko moeten hebben.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Om het laden van de USB-opslagmodule in de kernel te blokkeren, wijzigt u de map naar het pad van de kernel-usb-opslagmodules en hernoemt u de usb-storage.ko.xz module naar usb-storage.ko.xz. zwarte lijst, door de onderstaande opdrachten uit te voeren.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

In op Debian gebaseerde Linux-distributies geeft u de onderstaande opdrachten uit om te voorkomen dat de usb-storage-module in de Linux-kernel wordt geladen.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Wanneer u nu een USB-opslagapparaat aansluit, zal de kernel er niet in slagen de intro-kernel van het opslagapparaatstuurprogramma te laden. Om de wijzigingen ongedaan te maken, hernoemt u gewoon de USB-module die op de zwarte lijst staat, terug naar de oude naam.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Deze methode is echter alleen van toepassing op runtime-kernelmodules. Als u USB-opslagmodules van alle beschikbare kernels in het systeem op de zwarte lijst wilt zetten, voert u het versiepad van elke kernelmodulemap in en hernoemt u usb-storage.ko.xz naar usb-storage.ko .xz.zwarte lijst.