Com bloquejar dispositius d'emmagatzematge USB als servidors Linux

Per tal de protegir l'extracció de dades sensibles dels servidors per part dels usuaris que tenen accés físic a les màquines, és una bona pràctica desactivar tot el suport d'emmagatzematge USB al nucli de Linux.

Per desactivar el suport d'emmagatzematge USB, primer hem d'identificar si el controlador d'emmagatzematge està carregat al nucli de Linux i el nom del controlador (mòdul) responsable del controlador d'emmagatzematge.

Executeu l'ordre lsmod per llistar tots els controladors del nucli carregats i filtreu la sortida mitjançant l'ordre grep amb la cadena de cerca \usb_storage.

# lsmod | grep usb_storage

Des de l'ordre lsmod, podem veure que el mòdul sub_storage està en ús pel mòdul UAS. A continuació, descarregueu els dos mòduls d'emmagatzematge USB del nucli i verifiqueu si l'eliminació s'ha completat correctament, emetent les ordres següents.

# modprobe -r usb_storage
# modprobe -r uas
# lsmod | grep usb

A continuació, enumereu el contingut del directori actual de mòduls d'emmagatzematge USB del nucli en temps d'execució emetent l'ordre següent i identifiqueu el nom del controlador d'emmagatzematge USB. Normalment, aquest mòdul s'ha d'anomenar usb-storage.ko.xz o usb-storage.ko.

# ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Per bloquejar la càrrega del mòdul d'emmagatzematge USB al nucli, canvieu el directori a la ruta dels mòduls d'emmagatzematge USB del nucli i canvieu el nom del mòdul usb-storage.ko.xz a usb-storage.ko.xz.blacklist, emetent les ordres següents.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# ls
# mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

A les distribucions de Linux basades en Debian, emet les ordres següents per bloquejar la càrrega del mòdul d'emmagatzematge USB al nucli de Linux.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
# ls
# mv usb-storage.ko usb-storage.ko.blacklist

Ara, sempre que connecteu un dispositiu d'emmagatzematge USB, el nucli no podrà carregar el nucli d'introducció del controlador del dispositiu d'emmagatzematge. Per revertir els canvis, només cal canviar el nom del mòdul USB de la llista negra al seu nom antic.

# cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
# mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Tanmateix, aquest mètode només s'aplica als mòduls del nucli en temps d'execució. En cas que vulgueu incloure a la llista negra els mòduls d'emmagatzematge USB de tots els nuclis disponibles al sistema, introduïu la ruta de la versió del directori de cada mòdul del nucli i canvieu el nom de usb-storage.ko.xz a usb-storage.ko.xz.blacklist.