Pesquisa de site

Como bloquear dispositivos de armazenamento USB em servidores Linux

Para proteger a extração de dados confidenciais de servidores por usuários que têm acesso físico às máquinas, é uma prática recomendada desabilitar todo o suporte de armazenamento USB no kernel Linux.

Para desabilitar o suporte de armazenamento USB, primeiro precisamos identificar se o driver de armazenamento está carregado no kernel Linux e o nome do driver (módulo) responsável pelo driver de armazenamento.

Execute o comando lsmod para listar todos os drivers do kernel carregados e filtre a saída por meio do comando grep com a string de pesquisa “usb_storage ”.

lsmod | grep usb_storage

No comando lsmod, podemos ver que o módulo sub_storage está em uso pelo módulo UAS. A seguir, descarregue ambos os módulos de armazenamento USB do kernel e verifique se a remoção foi concluída com sucesso, emitindo os comandos abaixo.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Em seguida, liste o conteúdo do diretório de módulos de armazenamento usb do kernel de tempo de execução atual emitindo o comando abaixo e identifique o nome do driver usb-storage. Normalmente este módulo deve ser denominado usb-storage.ko.xz ou usb-storage.ko.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Para bloquear o carregamento do módulo de armazenamento USB no kernel, mude o diretório para o caminho dos módulos de armazenamento USB do kernel e renomeie o módulo usb-storage.ko.xz para usb-storage.ko.xz. lista negra, emitindo os comandos abaixo.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Em distribuições Linux baseadas em Debian, emita os comandos abaixo para impedir que o módulo usb-storage seja carregado no kernel Linux.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Agora, sempre que você conectar um dispositivo de armazenamento USB, o kernel não conseguirá carregar o kernel de introdução do driver do dispositivo de armazenamento. Para reverter as alterações, basta renomear o módulo USB na lista negra de volta ao nome antigo.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

No entanto, este método se aplica apenas aos módulos do kernel em tempo de execução. Caso você queira colocar módulos de armazenamento USB na lista negra de todos os kernels disponíveis no sistema, insira o caminho da versão do diretório de cada módulo do kernel e renomeie usb-storage.ko.xz para usb-storage.ko .xz.lista negra.