出于安全原因,我想确保没有 USB 设备可以连接到运行 RHEL3 的服务器除了键盘、鼠标和闪存驱动器。总结:
应该做什么:
- 老鼠
- 键盘
- USB 存储设备
什么不应该起作用:
- 打印机
- USB 调制解调器/NIC
- 无线网络适配器
- 还要别的吗
除了删除相应的内核驱动程序之外,还有其他方法吗?如果没有,应该保留哪些文件才能保持已接受设备的功能?
附注:一些主机是运行 ESXi 4.1 或 5.0 的 VMware VM。这可能很重要,因为我认为它们可能模拟重要的 USB 设备(我想到我可能需要的虚拟 DVD 驱动器)
答案1
您可以在任何 Linux 发行版下轻松强制和禁用 USB 存储设备。modprobe 程序用于自动加载内核模块,可以配置为不根据需要加载 USB 存储驱动程序。这将阻止 modprobe 程序加载 usb-storage 模块,但不会阻止 root(或其他程序)使用 insmod 程序手动加载模块。
键入以下命令:
echo'安装 usb 存储:'>> /etc/modprobe.conf
您也可以删除 USB 存储驱动程序,输入:
ls /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko
mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /root
BIOS 选项
您还可以从系统 BIOS 配置选项禁用 USB。确保 BIOS 受密码保护。
Grub 选项
您可以通过 GRUB 禁用内核对 USB 的支持来摆脱所有 USB 设备。打开 grub.conf 或 menu.lst(在 Debian / Ubuntu Linux 下)并将“nousb”附加到内核行,如下所示:
内核/vmlinuz-2.6.18-128.1.1.el5 ro root=LABEL=/控制台=tty0控制台=ttyS1,19200n8 nousb
保存并关闭文件。完成后只需重新启动系统:
重启