Почти все системы Linux позволяют монтировать USB-устройства и работать с ними. Некоторые системы Linux даже имеют функцию автоматического обнаружения и монтирования USB-устройств. Однако системным администраторам часто требуется заблокировать USB-устройства хранения данных в Linux. Это необходимо, особенно в организациях, где существует вероятность кражи данных. Поэтому рекомендуется блокировать USB-накопители в Linux, чтобы пользователи не могли украсть данные, используя их во время работы в системе. В этой статье мы узнаем, как заблокировать USB-накопители в Linux.
Как заблокировать USB-устройства хранения данных в Linux
Прежде всего, необходимо определить драйвер устройства, установленный для USB-накопителей, в вашей системе. Затем необходимо проверить, загружен ли он в ядро Linux. Для этого мы воспользуемся командой lsmod. Она выведет список всех драйверов устройств, загруженных в ядро. Но ее вывод может быть очень длинным, поэтому мы передадим его через команду grep и выполним поиск по 'usb_storage', чтобы получить строку, относящуюся к USB-устройствам.
| 1 | lsmod | grep usb_storage |
Вот примерный результат. Мы видим, что модуль sub_storage используется UAS. Поэтому мы выгружаем оба этих модуля и проверяем их удаление следующими командами.
| 1 2 3 | modprobe -r usb_storage modprobe -r uas lsmod | grep usb |
Далее мы перечислим содержимое текущего каталога модулей USB-накопителей ядра, используя следующую команду.
| 1 | ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/ |
Мы будем искать имя драйвера usb-storage. Обычно он называется usb-storage.ko.xz или usb-storage.ko.
Чтобы заблокировать USB-устройства, нам нужно заблокировать загрузку модуля USB storage в ядро, измените каталог на путь к модулям USB storage в ядре. Также необходимо переименовать модуль usb-storage.ko.xz в usb-storage.ko.xz.blacklist.
RHEL/CentOS/Fedora
| 1 2 3 | cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ ls mv usb-storage.ko.xz usb-storage.ko.xz.blacklist |
Ubuntu/Debian
| 1 2 3 | cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ ls mv usb-storage.ko usb-storage.ko.blacklist |
Теперь каждый раз, когда пользователь будет подключать USB-накопитель, ядро не сможет загрузить драйверы USB, и устройство не будет доступно. Если вы хотите отменить вышеуказанные изменения, просто выполните следующие команды.
| 1 2 | cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ mv usb-storage.ko.xz.blacklist usb-storage.ko.xz |
Обратите внимание, что этот подход работает только для исполняемых модулей ядра. Если вы хотите внести USB-накопитель в черный список всех доступных ядер, вам необходимо в каждом каталоге модулей ядра найти путь к версии и переименовать usb-storage.ko.xz в usb-storage.ko.xz.blacklist.
На некоторых системах для применения изменений может потребоваться перезагрузка системы.
Заключение
В этой статье мы узнали, как отключить USB-устройства в Linux. В основном, когда мы вставляем USB-устройство в систему Linux, она загружает драйверы ядра для него. Чтобы отключить USB-устройства, мы предотвращаем их загрузку.