Sådan øges Linux-sikkerhed ved at deaktivere USB-support

Billede: Jack Wallen

Dette kan lyde som en skør måde at forbedre sikkerheden på en server, men hvis du kan slippe af sted med det - som i du ikke har brug for nogen USB-enheder som tastaturer, mus, eksterne drev - kan deaktivering af USB-support være en tilføjede midler til at sikre, at ondsindede filer ikke finder vej til dine servere. Naturligvis fungerer dette kun for hovedløse maskiner, så du skal være sikker på, at du kan SSH ind i disse servere, ellers finder du dig selv i problemer med at prøve at indtaste noget via tastatur eller mus.

Hvis din Linux-server imidlertid er konfigureret som hovedløs, kan dette være en temmelig praktisk måde at forhindre overtrædelse af data. Jeg har to pålidelige måder at deaktivere USB. Der er en anden metode, men den fjerner faktisk USB-driveren. Personligt vil jeg hellere gøre det sådan, at USB-understøttelse let kan tilføjes tilbage, når det er tilfældet, er det igen nødvendigt af en eller anden grund. Når det er sagt, lad os først deaktivere USB-support på vores headless Linux-servere. Jeg demonstrerer dette på Ubuntu Server 16.04, men processen fungerer på de fleste moderne Linux-distributioner.

Deaktivering af USB

Først deaktiverer vi USB ved at narre systemet til ikke at installere usb-lagringsmodulet. Dette kaldes en "Fake Install". For at gøre dette skal du åbne en terminal og udstede kommandoen sudo nano /etc/modprobe.d/block_usb.conf . Tilføj følgende indhold i den nye fil:

 installer usb-storage / bin / true 

Gem og luk filen. Genstart systemet, og ændringen træder i kraft. Når en bruger tilslutter en USB-enhed, genkendes den ikke. For eksempel vises en tilsluttet USB-enhed hverken i GUI-filhåndteringen eller i kataloghierarkiet. Den ene advarsel til dette er, at USB-enheden vises i dmesg-kommandoudgangen ( figur A ).

Figur A

Selvom USB er deaktiveret, vises det i output fra kommandoen dmesg.

Den næste metode er lidt mere hård, men den fungerer. Det, vi skal gøre, er at ændre tilladelserne til / mediemappen, således at en ekstern enhed simpelthen ikke kan monteres på dette bibliotek, som tilfældigvis er standard for moderne Linux-distributioner. Dette er ikke perfekt - da nogen med de rigtige færdigheder og brugerrettigheder simpelthen kunne ændre tilladelserne eller montere USB-drevet til et andet sted. Men for dem uden de nødvendige Linux-færdigheder vil dette helt sikkert bremse dem lidt.

Den første ting, du skal vide, er, at de originale tilladelser til / mediemappen er 755. Det er vigtigt, hvis du har brug for at gendanne muligheden for at montere i den mappe. Med det sagt skal du åbne en terminal og udstede kommandoen:

 sudo chmod 000 / medier 

Når du har udstedt denne kommando, skal du tilslutte en ekstern USB-enhed og prøve at montere den. Det kommer ikke til at virke.

Hvis du har brug for at gendanne muligheden for at montere i mappen / medier, skal du udstede kommandoen:

 sudo chmod 755 / medier 

Når du har gjort det, vil alt gå i orden.

En underlig tilføjelse til sikkerhed

Disse metoder er ikke perfekte og er en smule underlige, men de vil hjælpe med at forhindre, at nogen tilslutter en ekstern USB-enhed og enten indlæser ondsindede filer til dine Linux-servere eller tager data fra dem. Hvis du leder efter et middel til sikkerhed, der ikke findes i de traditionelle ruter, kan du prøve disse metoder og se, om de ikke hjælper. Bare husk, dette er ikke et middel til en ende, det er bare en mulig metode til at tilføje yderligere sikkerhed til en server, der allerede bør hærdes.

Hvis alt andet mislykkes, kan du naturligvis ansætte noget som disse Kensington Port Lockers.

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2020 | mobilegn.com