為了保護資料不被洩漏,我們使用軟體和硬體防火牆來限制外部未經授權的訪問,但是資料外洩也可能發生在內部。為了消除這種可能性,機構會限制和監控存取互聯網,同時停用 USB 儲存裝置。
在本教程中,我們將討論三種不同的方法來停用 Linux 機器上的 USB 儲存裝置。所有這三種方法都在 CentOS 6&7 機器上通過測試。那麼讓我們一一討論這三種方法。
(另請閱讀: Ultimate guide to securing SSH sessions[1])
在本方法中,我們在設定檔中加入一行install usb-storage /bin/true, 這會讓安裝usb-storage 模組的操作實際上變成執行/bin /true, 這也是為什麼這種方法叫做偽安裝的原因。具體來說就是,在資料夾 /etc/modprobe.d 中建立並開啟一個名為 block_usb.conf (也可能叫其他名字) ,
$ sudo vim /etc/modprobe.d/block_usb.conf
然後將下行內容加入:
install usb-storage /bin/true
最後儲存檔案並退出。
這種方法要求我們將 USB 儲存的驅動程式(usb_storage.ko)刪掉或移走,從而達到無法再存取 USB 儲存裝置的目的。執行下面命令可以將驅動器從它預設的位置移走:
$ sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /home/user1
現在在預設的位置上無法再找到驅動程式了,因此當 USB 記憶體連接到系統上時也就無法載入到驅動程式了,從而導致磁碟不可用。但是這個方法有一個小問題,那就是當系統核心更新的時候,usb-storage 模組會再次出現在它的預設位置。
#我們也可以透過 /etc/modprobe.d/blacklist.conf 檔案將 usb-storage 納入黑名單。這個檔案在 RHEL/CentOS 6 是現成就有的,但在 7 上可能需要自己建立。若要將 USB 儲存列入黑名單,請使用 vim 開啟/建立上述檔案:
$ sudo vim /etc/modprobe.d/blacklist.conf
並輸入以下行將 USB 納入黑名單:
blacklist usb-storage
儲存檔案並退出。 usb-storage 就在就會被系統阻止加載,但這種方法有一個很大的缺點,即任何特權用戶都可以透過執行以下命令來加載usb-storage模組,
$ sudo modprobe usb-storage
這個問題使得這個方法不是那麼理想,但是對於非特權用戶來說,這個方法效果很好。
在變更完成後重新啟動系統,以使變更生效。請嘗試用這些方法來停用 USB 存儲,如果您遇到任何問題或有任何疑問,請告知我們。
以上是linux 中停用USB存儲的詳細內容。更多資訊請關注PHP中文網其他相關文章!