为了保护数据不被泄露,我们使用软件和硬件防火墙来限制来自外部的未授权访问,但数据泄露也可能发生在内部。为了消除这种可能性,机构限制和监控对互联网的访问,同时禁用USB存储设备。在本教程中,我们将讨论在Linux机器上禁用USB存储设备的三种不同方法。这三种方法都已在CentOS6&7机器上进行了测试。那么让我们一一讨论这三种方法。(另请阅读:UltimateguidetosecureSSHsessions)方法1–假安装在这种方法中,我们在配置文件中添加一行installusb-storage/bin/true,这将实际安装usb-storage模块成为running/bin/true,这就是为什么这种方法被称为伪安装。具体在/etc/modprobe.d文件夹下创建并打开一个名为block_usb.conf(或其他名称)的文件,$sudovim/etc/modprobe.d/block_usb.conf并添加如下内容进去:installusb-storage/bin/true***保存文件并退出。方法二——删除USB驱动这种方法需要我们删除或移除USB存储驱动(usb_storage.ko),这样USB存储设备就不能再被访问了。执行以下命令从默认位置删除驱动程序:$sudomv/lib/modules/$(uname-r)/kernel/drivers/usb/storage/usb-storage.ko/home/user1现在处于默认位置在该位置找不到驱动程序,所以当U盘连接到系统时,无法加载驱动程序,导致磁盘无法使用。但是这个方法有一个小问题,就是当系统内核更新时,usb-storage模块会再次出现在它的默认位置。方法3-黑名单USB存储我们也可以通过/etc/modprobe.d/blacklist.conf文件将usb-storage列入黑名单。此文件在RHEL/CentOS6上开箱即用,但您可能需要在7上自行创建它。要将USB存储列入黑名单,请使用vim打开/创建上述文件:$sudovim/etc/modprobe.d/blacklist.conf并输入以下行以将USB列入黑名单:blacklistusb-storage保存文件并退出。usb-storage会被系统阻止加载,但是这种方法有一个很大的缺点,就是任何特权用户都可以通过执行下面的命令来加载usb-storage模块,$sudomodprobeusb-storage这个问题使得这个方法不是很理想,但对于非特权用户,此方法效果很好。修改完成后重启系统使修改生效。请尝试这些方法来禁用USB存储,如果您遇到任何问题或有任何疑问,请告诉我。
