So blockieren Sie USB-Speichergeräte auf Linux-Servern

Um die Extraktion sensibler Daten von Servern durch Benutzer zu schützen, die physischen Zugriff auf Maschinen haben, empfiehlt es sich, die gesamte USB-Speicherunterstützung im Linux-Kernel zu deaktivieren.

Um die USB-Speicherunterstützung zu deaktivieren, müssen wir zunächst feststellen, ob der Speichertreiber in den Linux-Kernel geladen ist und den Namen des Treibers (Modul) angeben, der für den Speichertreiber verantwortlich ist.

Führen Sie den lsmod-Befehl aus, um alle geladenen Kernel-Treiber aufzulisten und die Ausgabe über den grep-Befehl mit der Suchzeichenfolge „usb_storage“ zu filtern.

lsmod | grep usb_storage

Aus dem Befehl lsmod können wir ersehen, dass das Modul sub_storage vom Modul UAS verwendet wird. Als nächstes entladen Sie beide USB-Speichermodule aus dem Kernel und überprüfen Sie, ob die Entfernung erfolgreich abgeschlossen wurde, indem Sie die folgenden Befehle eingeben.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Listen Sie als Nächstes den Inhalt des aktuellen Laufzeitkernel-USB-Speichermodulverzeichnisses auf, indem Sie den folgenden Befehl ausführen und den Namen des usb-storage-Treibers identifizieren. Normalerweise sollte dieses Modul usb-storage.ko.xz oder usb-storage.ko heißen.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Um das Laden von USB-Speichermodulen in den Kernel zu blockieren, ändern Sie das Verzeichnis zum Pfad der Kernel-USB-Speichermodule und benennen Sie das Modul usb-storage.ko.xz in usb-storage.ko.xz um. blacklist, indem Sie die folgenden Befehle ausführen.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Geben Sie in Debian-basierten Linux-Distributionen die folgenden Befehle ein, um das Laden des usb-storage-Moduls in den Linux-Kernel zu verhindern.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Wenn Sie nun ein USB-Speichergerät anschließen, kann der Kernel den Einführungskernel für den Speichergerätetreiber nicht laden. Um Änderungen rückgängig zu machen, benennen Sie einfach das auf der schwarzen Liste stehende USB-Modul wieder in seinen alten Namen um.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Diese Methode gilt jedoch nur für Laufzeitkernelmodule. Falls Sie USB-Speichermodule von allen verfügbaren Kerneln im System auf die schwarze Liste setzen möchten, geben Sie den Versionspfad jedes Kernelmodulverzeichnisses ein und benennen Sie usb-storage.ko.xz in usb-storage.ko um .xz.blacklist.