Как заблокировать USB-хранилище в CentOS 7
Когда вы подключаете USB-накопитель к компьютеру, по умолчанию он монтирует хранилище и позволяет пользователю получать доступ к контенту, хотя метод прост, он не является абсолютно безопасным и подвержен вредоносным действиям или атакам в вашей системе.
Вы можете справиться с этой проблемой с некоторой легкой конфигурацией, и этот мануал охватывает один такой метод, который отключает USB-хранилище в CentOS 7.
Отключение USB-накопителя
Чтобы отключить USB-накопитель, вам необходимо создать файл .conf и отредактировать его с помощью текстового редактора.
# vim /etc/modprobe.d/usb-storage.conf
Введите следующие строки в файл:
install usb-storage /bin/true ~ ~ ~ :wq
Вышеупомянутый файл .conf отражает фальшивую установку USB-накопителя.
Посмотрим, как эта конфигурация влияет на нашу попытку вставить USB-устройство в систему.
Когда вы вставляете USB-устройство, происходит следующее действие.
“/Bin/true – это команда, которая возвращает ноль”
True – ничего не делает
True возвращает статус 0.
Теперь нам нужно перезагрузить машину, чтобы завершить процесс.
Теперь, если вы подключите USB-накопитель, вы не сможете получить к нему доступ.
Вы можете проверить его, выполнив следующую команду:
# lsblk
В предыдущей версии CentOS 6 вам нужно выполнить настройку в файле /etc/modprobe.conf, но в CentOS 7 она устарела, и уникальный файл должен существовать вместе с каталогом /etc/directory.d.
Таким образом, этот учебник по блокировке USB-накопителя в CentOS 7 подходит к концу.
Вы можете использовать эту технику для предотвращения доступа к USB-устройствам хранения для непривилегированных учетных записей пользователей, что может повысить безопасность системы от определенных физических атак.
После перезагрузки машины USB-накопитель появляется в системе. Делаем вывод, что данный твик не работает.
конфиг остался прежним после ребута?
Способ рабочий, в файл(создать) /etc/modprobe.conf дописать строку install usb-storage /bin/true
либо альтернатива
в файл /etc/modprobe.d/blacklist.conf добавить 2 строки
blacklist usb_storage
blacklist uas.
Но есть у этих способов дыра, если флешка будет установлена при загрузке то конфиги не сработают. (( Если вставить после перезагрузки то usb будут заблокированы.
Странно что до сих пор костыли и подпорки для элементарной функции в линукс.