Cara Memblokir Perangkat Penyimpanan USB di Server Linux


Untuk melindungi ekstraksi data sensitif dari server oleh pengguna yang memiliki akses fisik ke mesin, praktik terbaiknya adalah menonaktifkan semua dukungan penyimpanan USB di kernel Linux.

Untuk menonaktifkan dukungan penyimpanan USB, pertama-tama kita perlu mengidentifikasi apakah driver penyimpanan dimuat ke kernel Linux dan nama driver (modul) yang bertanggung jawab dengan driver penyimpanan.

Jalankan perintah lsmod untuk membuat daftar semua driver kernel yang dimuat dan memfilter hasilnya melalui perintah grep dengan string pencarian “usb_storage ”.

lsmod | grep usb_storage

Dari perintah lsmod, kita dapat melihat bahwa modul sub_storage sedang digunakan oleh modul UAS. Selanjutnya, keluarkan kedua modul penyimpanan USB dari kernel dan verifikasi apakah penghapusan telah berhasil diselesaikan, dengan mengeluarkan perintah di bawah ini.

modprobe -r usb_storage
modprobe -r uas
lsmod | grep usb

Selanjutnya, daftarkan konten direktori modul penyimpanan usb kernel runtime saat ini dengan mengeluarkan perintah di bawah ini dan identifikasi nama driver usb-storage. Biasanya modul ini diberi nama usb-storage.ko.xz atau usb-storage.ko.

ls /lib/modules/`uname -r`/kernel/drivers/usb/storage/

Untuk memblokir pemuatan formulir modul penyimpanan USB ke dalam kernel, ubah direktori ke jalur modul penyimpanan usb kernel dan ganti nama modul usb-storage.ko.xz menjadi usb-storage.ko.xz. daftar hitam, dengan mengeluarkan perintah di bawah ini.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
ls
mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

Pada distribusi Linux berbasis Debian, jalankan perintah di bawah ini untuk memblokir modul penyimpanan usb agar tidak dimuat ke kernel Linux.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/ 
ls
mv usb-storage.ko usb-storage.ko.blacklist

Sekarang, setiap kali Anda menyambungkan perangkat penyimpanan USB, kernel akan gagal memuat kernel intro driver perangkat penyimpanan. Untuk mengembalikan perubahan, cukup ganti nama modul usb yang masuk daftar hitam kembali ke nama lamanya.

cd /lib/modules/`uname -r`/kernel/drivers/usb/storage/
mv usb-storage.ko.xz.blacklist usb-storage.ko.xz

Namun, metode ini hanya berlaku untuk modul kernel runtime. Jika Anda ingin memasukkan modul penyimpanan USB ke dalam daftar hitam dari semua kernel yang tersedia di sistem, masukkan setiap jalur versi direktori modul kernel dan ganti nama usb-storage.ko.xz menjadi usb-storage.ko .xz.daftar hitam.