วิธีบล็อกอุปกรณ์จัดเก็บข้อมูล USB ในเซิร์ฟเวอร์ Linux

เพื่อปกป้องการดึงข้อมูลที่ละเอียดอ่อนจากเซิร์ฟเวอร์โดยผู้ใช้ที่สามารถเข้าถึงเครื่องได้ แนวทางปฏิบัติที่ดีที่สุดคือการปิดใช้งานการสนับสนุนที่จัดเก็บข้อมูล USB ทั้งหมดในเคอร์เนล Linux

หากต้องการปิดใช้งานการสนับสนุนที่เก็บข้อมูล USB ก่อนอื่นเราต้องระบุก่อนว่าไดรเวอร์การจัดเก็บข้อมูลถูกโหลดลงในเคอร์เนล Linux และชื่อของไดรเวอร์ (โมดูล) ที่รับผิดชอบไดรเวอร์การจัดเก็บข้อมูลหรือไม่

เรียกใช้ คำสั่ง lsmod เพื่อแสดงรายการไดรเวอร์เคอร์เนลที่โหลดทั้งหมด และกรองเอาต์พุตผ่านคำสั่ง grep ด้วยสตริงการค้นหา “usb_storage ”

lsmod | grep usb_storage

จากคำสั่ง lsmod เราจะเห็นว่าโมดูล sub_storage ใช้งานโดยโมดูล UAS ถัดไป ให้ยกเลิกการโหลดโมดูลจัดเก็บข้อมูล USB ทั้งสองจากเคอร์เนล และตรวจสอบว่าการลบเสร็จสมบูรณ์หรือไม่ โดยออกคำสั่งด้านล่าง

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

ถัดไป แสดงรายการเนื้อหาของไดเร็กทอรีโมดูลหน่วยเก็บข้อมูล USB เคอร์เนลรันไทม์ปัจจุบันโดยออกคำสั่งด้านล่างและระบุชื่อไดรเวอร์ usb-storage โดยปกติโมดูลนี้ควรตั้งชื่อว่า usb-storage.ko.xz หรือ usb-storage.ko

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

เพื่อบล็อกไม่ให้โหลดแบบฟอร์มโมดูลจัดเก็บข้อมูล USB ลงในเคอร์เนล ให้เปลี่ยนไดเร็กทอรีเป็นพาธของโมดูลจัดเก็บข้อมูล USB ของเคอร์เนล และเปลี่ยนชื่อโมดูล usb-storage.ko.xz เป็น usb-storage.ko.xz บัญชีดำ โดยใช้คำสั่งด้านล่าง

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

ในการกระจาย Linux ที่ใช้ Debian ให้ใช้คำสั่งด้านล่างเพื่อบล็อกโมดูล ที่เก็บข้อมูล usb ไม่ให้โหลดเข้าสู่เคอร์เนล Linux

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

ตอนนี้เมื่อใดก็ตามที่คุณเสียบอุปกรณ์จัดเก็บข้อมูล USB เคอร์เนลจะไม่สามารถโหลดเคอร์เนลแนะนำไดรเวอร์อุปกรณ์จัดเก็บข้อมูลได้ หากต้องการคืนค่าการเปลี่ยนแปลง เพียงเปลี่ยนชื่อโมดูล usb ที่อยู่ในบัญชีดำกลับไปเป็นชื่อเก่า

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

อย่างไรก็ตาม วิธีการนี้ใช้ได้กับโมดูลเคอร์เนลรันไทม์เท่านั้น ในกรณีที่คุณต้องการขึ้นบัญชีดำโมดูลหน่วยเก็บข้อมูล USB ที่สร้างเคอร์เนลที่มีอยู่ในระบบ ให้ป้อนพาธเวอร์ชันไดเร็กทอรีโมดูลเคอร์เนลแต่ละอัน และเปลี่ยนชื่อ usb-storage.ko.xz เป็น usb-storage.ko .xz.บัญชีดำ.