Linux中國

Linux 上如何禁用 USB 存儲

為了保護數據不被泄漏,我們使用軟體和硬體防火牆來限制外部未經授權的訪問,但是數據泄露也可能發生在內部。 為了消除這種可能性,機構會限制和監測訪問互聯網,同時禁用 USB 存儲設備。

在本教程中,我們將討論三種不同的方法來禁用 Linux 機器上的 USB 存儲設備。所有這三種方法都在 CentOS 6&7 機器上通過測試。那麼讓我們一一討論這三種方法。

(另請閱讀: Ultimate guide to securing SSH sessions

方法 1 – 偽安裝

在本方法中,我們往配置文件中添加一行 install usb-storage /bin/true, 這會讓安裝 usb-storage 模塊的操作實際上變成運行 /bin/true, 這也是為什麼這種方法叫做偽安裝的原因。 具體來說就是,在文件夾 /etc/modprobe.d 中創建並打開一個名為 block_usb.conf (也可能叫其他名字) ,

$ sudo vim /etc/modprobe.d/block_usb.conf

然後將下行內容添加進去:

install usb-storage /bin/true

最後保存文件並退出。

方法 2 – 刪除 USB 驅動

這種方法要求我們將 USB 存儲的驅動程序(usb_storage.ko)刪掉或者移走,從而達到無法再訪問 USB 存儲設備的目的。 執行下面命令可以將驅動從它默認的位置移走:

$ sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /home/user1

現在在默認的位置上無法再找到驅動程序了,因此當 USB 存儲器連接到系統上時也就無法載入到驅動程序了,從而導致磁碟不可用。 但是這個方法有一個小問題,那就是當系統內核更新的時候,usb-storage 模塊會再次出現在它的默認位置。

方法 3 - 將 USB 存儲器納入黑名單

我們也可以通過 /etc/modprobe.d/blacklist.conf 文件將 usb-storage 納入黑名單。這個文件在 RHEL/CentOS 6 是現成就有的,但在 7 上可能需要自己創建。 要將 USB 存儲列入黑名單,請使用 vim 打開/創建上述文件:

$ sudo vim /etc/modprobe.d/blacklist.conf

並輸入以下行將 USB 納入黑名單:

blacklist usb-storage

保存文件並退出。usb-storage 就在就會被系統阻止載入,但這種方法有一個很大的缺點,即任何特權用戶都可以通過執行以下命令來載入 usb-storage 模塊,

$ sudo modprobe usb-storage

這個問題使得這個方法不是那麼理想,但是對於非特權用戶來說,這個方法效果很好。

在更改完成後重新啟動系統,以使更改生效。請嘗試用這些方法來禁用 USB 存儲,如果您遇到任何問題或有什麼疑問,請告知我們。

via: http://linuxtechlab.com/disable-usb-storage-linux/

作者:Shusain 譯者:lujun9972 校對:wxy

本文由 LCTT原創編譯,Linux 中國榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國