ウェブサイト検索

Linux サーバーで USB ストレージデバイスをブロックする方法


マシンに物理的にアクセスできるユーザーによるサーバーからの機密データの抽出を保護するには、Linux カーネルですべての USB ストレージ サポートを無効にすることがベスト プラクティスです。

USB ストレージのサポートを無効にするには、まずストレージ ドライバーが Linux カーネルにロードされているかどうか、およびストレージ ドライバーを担当するドライバー (モジュール) の名前を特定する必要があります。

lsmod コマンドを実行して、ロードされているすべてのカーネル ドライバーを一覧表示し、検索文字列「usb_storage 」を使用して grep コマンドで出力をフィルター処理します。

lsmod | grep usb_storage

lsmod コマンドから、sub_storage モジュールが UAS モジュールによって使用されていることがわかります。次に、以下のコマンドを実行して、両方の USB ストレージ モジュールをカーネルからアンロードし、削除が正常に完了したかどうかを確認します。

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

次に、以下のコマンドを実行して、現在のランタイム カーネル USB ストレージ モジュール ディレクトリの内容を一覧表示し、USB ストレージ ドライバー名を特定します。通常、このモジュールには usb-storage.ko.xz または usb-storage.ko という名前を付ける必要があります。

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

USB ストレージ モジュールのカーネルへの読み込みをブロックするには、ディレクトリをカーネル USB ストレージ モジュールのパスに変更し、usb-storage.ko.xz モジュールの名前を usb-storage.ko.xz に変更します。以下のコマンドを発行して、 ブラックリストに登録します。

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Debian ベースの Linux ディストリビューションでは、以下のコマンドを実行してusb ストレージ モジュールが Linux カーネルにロードされるのをブロックします。

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

これで、USB ストレージ デバイスを接続するたびに、カーネルはストレージ デバイス ドライバーのイントロ カーネルのロードに失敗します。変更を元に戻すには、ブラックリストに登録されている USB モジュールの名前を古い名前に戻すだけです。

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

ただし、この方法はランタイム カーネル モジュールにのみ適用されます。システム内で使用可能なすべてのカーネルから USB ストレージ モジュールをブラックリストに登録する場合は、各カーネル モジュール ディレクトリのバージョン パスを入力し、usb-storage.ko.xz の名前を usb-storage.ko に変更します。 .xz. ブラックリストです。