Linux 上如何禁用 USB 儲存

為了保護資料不被洩漏，我們使用軟體和硬體防火牆來限制外部未經授權的存取，但是資料洩露也可能發生在內部。 為了消除這種可能性，機構會限制和監測存取網際網路，同時禁用 USB 儲存裝置。

在本教學中，我們將討論三種不同的方法來禁用 Linux 機器上的 USB 儲存裝置。所有這三種方法都在 CentOS 6＆7 機器上通過測試。那麼讓我們一一討論這三種方法。

（另請閱讀: Ultimate guide to securing SSH sessions）

方法 1 – 偽安裝

在本方法中，我們往組態檔中新增一行 install usb-storage /bin/true， 這會讓安裝 usb-storage 模組的操作實際上變成執行 /bin/true， 這也是為什麼這種方法叫做偽安裝的原因。 具體來說就是，在資料夾 /etc/modprobe.d 中建立並開啟一個名為 block_usb.conf (也可能叫其他名字) ，

1. $ sudovim/etc/modprobe.d/block_usb.conf

然後將下行內容新增進去：

1. install usb-storage /bin/true

最後儲存檔案並退出。

方法 2 – 刪除 USB 驅動

這種方法要求我們將 USB 儲存的驅動程式（usb_storage.ko）刪掉或者移走，從而達到無法再存取 USB 儲存裝置的目的。 執行下面命令可以將驅動從它預設的位置移走：

1. $ sudomv/lib/modules/$(uname-r)/kernel/drivers/usb/storage/usb-storage.ko /home/user1

現在在預設的位置上無法再找到驅動程式了，因此當 USB 記憶體連線到系統上時也就無法載入到驅動程式了，從而導致磁碟不可用。 但是這個方法有一個小問題，那就是當系統核心更新的時候，usb-storage 模組會再次出現在它的預設位置。

方法 3 - 將 USB 記憶體納入黑名單

我們也可以通過 /etc/modprobe.d/blacklist.conf 檔案將 usb-storage 納入黑名單。這個檔案在 RHEL/CentOS 6 是現成就有的，但在 7 上可能需要自己建立。 要將 USB 儲存列入黑名單，請使用 vim 開啟/建立上述檔案：

1. $ sudovim/etc/modprobe.d/blacklist.conf

並輸入以下行將 USB 納入黑名單：

1. blacklist usb-storage

儲存檔案並退出。usb-storage 就在就會被系統阻止載入，但這種方法有一個很大的缺點，即任何特權使用者都可以通過執行以下命令來載入 usb-storage 模組，

1. $ sudomodprobe usb-storage

這個問題使得這個方法不是那麼理想，但是對於非特權使用者來說，這個方法效果很好。

在更改完成後重新啟動系統，以使更改生效。請嘗試用這些方法來禁用 USB 儲存，如果您遇到任何問題或有什麼疑問，請告知我們。

via: http://linuxtechlab.com/disable-usb-storage-linux/

作者：Shusain 譯者：lujun9972 校對：wxy

本文由 LCTT原創編譯，Linux 中國榮譽推出

本文永久更新連結地址：http://www.linuxidc.com/Linux/2017-12/149477.htm