Linux Sunucularında USB Depolama Cihazları Nasıl Engellenir

Makinelere fiziksel erişimi olan kullanıcıların sunuculardan hassas veri çıkarımını korumak için Linux çekirdeğindeki tüm USB depolama desteğini devre dışı bırakmak en iyi uygulamadır.

USB depolama desteğini devre dışı bırakmak için öncelikle depolama sürücüsünün Linux çekirdeğine yüklenip yüklenmediğini ve depolama sürücüsünden sorumlu sürücünün (modül) adını belirlememiz gerekir.

Yüklü tüm çekirdek sürücülerini listelemek için lsmod komutunu çalıştırın ve çıktıyı “usb_storage” arama dizesiyle grep komutu aracılığıyla filtreleyin.

lsmod | grep usb_storage

lsmod komutundan sub_storage modülünün UAS modülü tarafından kullanıldığını görebiliriz. Daha sonra, her iki USB depolama modülünü de çekirdekten çıkarın ve aşağıdaki komutları vererek kaldırma işleminin başarıyla tamamlanıp tamamlanmadığını doğrulayın.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Daha sonra, aşağıdaki komutu vererek geçerli çalışma zamanı çekirdeği usb depolama modülleri dizininin içeriğini listeleyin ve usb-storage sürücü adını tanımlayın. Genellikle bu modül usb-storage.ko.xz veya usb-storage.ko olarak adlandırılmalıdır.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

USB depolama modülü formunun çekirdeğe yüklenmesini engellemek için, dizini çekirdek usb depolama modülleri yolu olarak değiştirin ve usb-storage.ko.xz modülünü usb-storage.ko.xz olarak yeniden adlandırın. Aşağıdaki komutları vererek kara listeyi oluşturun.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Debian tabanlı Linux dağıtımlarında, usb-storage modülünün Linux çekirdeğine yüklenmesini engellemek için aşağıdaki komutları verin.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Artık bir USB depolama aygıtını her taktığınızda, çekirdek, depolama aygıtı sürücüsünün giriş çekirdeğini yükleyemeyecektir. Değişiklikleri geri almak için kara listeye alınan USB modülünü eski adıyla yeniden adlandırmanız yeterlidir.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Ancak bu yöntem yalnızca çalışma zamanı çekirdek modülleri için geçerlidir. USB depolama modüllerini sistemdeki mevcut tüm çekirdeklerden kara listeye almak istiyorsanız, her bir çekirdek modülü dizini sürüm yolunu girin ve usb-storage.ko.xz dosyasını usb-storage.ko olarak yeniden adlandırın. .xz.kara liste.