Linux 上如何禁用 USB 存儲
為了保護數據不被泄漏���,我們使用軟件和硬件防火墻來限制外部未經授權的訪問�,但是數據泄露也可能發(fā)生在內部。 為了消除這種可能性����,機構會限制和監(jiān)測訪問互聯網,同時禁用 USB 存儲設備��。
在本文中��,我們將討論三種不同的方法來禁用 Linux 機器上的 USB 存儲設備。所有這三種方法都在 CentOS 6&7 機器上通過測試��。那么讓我們一一討論這三種方法
方法 1 – 偽安裝
方法 2 – 刪除 USB 驅動
方法 3 - 將 USB 存儲器納入黑名單
方法一�、偽安裝
在本方法中,我們往配置文件中添加一行 install usb-storage /bin/true���, 這會讓安裝 usb-storage 模塊的操作實際上變成運行 /bin/true���, 這也是為什么這種方法叫做偽安裝的原因。 具體來說就是�����,在文件夾 /etc/modprobe.d 中創(chuàng)建并打開一個名為 block_usb.conf (也可能叫其他名字)
$ sudo vim /etc/modprobe.d/block_usb.conf
然后將下行內容添加進去:
install usb-storage /bin/true
最后保存文件并退出���。
方法二����、刪除USB驅動
這種方法要求我們將 USB 存儲的驅動程序(usb_storage.ko)刪掉或者移走�,從而達到無法再訪問 USB 存儲設備的目的。 執(zhí)行下面命令可以將驅動從它默認的位置移走:
$ sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /home/user1
現在在默認的位置上無法再找到驅動程序了��,因此當 USB 存儲器連接到系統(tǒng)上時也就無法加載到驅動程序了��,從而導致磁盤不可用。 但是這個方法有一個小問題����,那就是當系統(tǒng)內核更新的時候,usb-storage 模塊會再次出現在它的默認位置�����。
方法三����、將SUB存儲器納入黑名單
我們也可以通過
/etc/modprobe.d/blacklist.conf 文件將 usb-storage 納入黑名單。這個文件在 RHEL/CentOS 6 是現成就有的���,但在 7 上可能需要自己創(chuàng)建。 要將 USB 存儲列入黑名單���,請使用 vim 打開/創(chuàng)建上述文件:
$ sudo vim /etc/modprobe.d/blacklist.conf
并輸入以下行將 USB 納入黑名單:
blacklist usb-storage
保存文件并退出����。usb-storage 就在就會被系統(tǒng)阻止加載����,但這種方法有一個很大的缺點��,即任何特權用戶都可以通過執(zhí)行以下命令來加載 usb-storage 模塊
$ sudo modprobe usb-storage
這個問題使得這個方法不是那么理想�,但是對于非特權用戶來說�����,這個方法效果很好����。
在更改完成后重新啟動系統(tǒng),以使更改生效����。