Wéi blockéiere mir USB-Speichergeräter op Linux Serveren

Fir sensibel Datenextraktioun vu Servere vu Benotzer ze schützen déi physesch Zougang zu Maschinnen hunn, ass et eng bescht Praxis fir all USB-Speicherunterstëtzung am Linux Kernel auszeschalten.

Fir USB-Speicherunterstëtzung auszeschalten, musse mir als éischt identifizéieren ob de Späichertreiber an de Linux Kernel gelueden ass an den Numm vum Chauffer (Modul) verantwortlech mam Späichertreiber.

Fëllt de lsmod Kommando aus fir all gelueden Kernel Treiber ze lëschten an d'Output ze filteren iwwer grep Kommando mat der Sichstring \usb_storage.

# lsmod | grep usb_storage

Vum lsmod Kommando kënne mir gesinn datt de Sub_storage Modul vum UAS Modul benotzt gëtt. Als nächst, lued béid USB-Speichermodule vum Kernel un a kontrolléiert ob d'Entfernung erfollegräich ofgeschloss ass, andeems Dir déi folgend Kommandoen ausgëtt.

# modprobe -r usb_storage
# modprobe -r uas
# lsmod | grep usb

Als nächst, lëscht den Inhalt vum aktuellen Runtime Kernel Usb Storage Moduler Verzeechnes andeems Dir de Kommando ënnen erausstellt an den Numm vum USB Storage Driver identifizéieren. Normalerweis soll dëse Modul usb-storage.ko.xz oder usb-storage.ko genannt ginn.

# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Fir d'USB Storage Modul Form Luede an de Kernel ze blockéieren, ännert de Verzeechnes op de Kernel USB Storage Moduler Wee an ëmbenannt den usb-storage.ko.xz Modul op usb-storage.ko.xz.blacklist, andeems Dir déi folgend Kommandoen ausgëtt.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# ls
# mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

An Debian baséiert Linux Verdeelungen, gitt d'Befehle hei ënnen fir de USB-Späichermodul ze blockéieren fir an de Linux Kernel ze lueden.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
# ls
# mv usb-storage.ko usb-storage.ko.blacklist

Elo, wann Dir e USB-Speichergerät plug-in, wäert de Kernel net fäeg sinn de Späicherapparat Driver Intro Kernel ze lueden. Fir d'Ännerungen zréckzekréien, ëmbenannt just den usb-Modul, deen op säin alen Numm op der schwaarzer Lëscht ass.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Wéi och ëmmer, dës Method gëllt nëmme fir Runtime Kernel Moduler. Am Fall wou Dir USB-Speichermoduler op d'Schwaarzlëscht wëllt bilden all verfügbare Kernelen am System, gitt all Kernel Modul Verzeechnes Versiounswee an ëmbenannt den usb-storage.ko.xz op usb-storage.ko.xz.blacklist.