linux系統(tǒng)之如何禁用usb口
為了保護(hù)數(shù)據(jù)不被泄漏,我們使用軟件和硬件防火墻來限制外部未經(jīng)授權(quán)的訪問,但是數(shù)據(jù)泄露也可能發(fā)生在內(nèi)部。
為了消除這種可能性,機(jī)構(gòu)會(huì)限制和監(jiān)測(cè)訪問互聯(lián)網(wǎng),同時(shí)禁用 USB 存儲(chǔ)設(shè)備。
在本教程中,我們將討論三種不同的方法來禁用 Linux 機(jī)器上的 USB 存儲(chǔ)設(shè)備。
所有這三種方法都在 CentOS 6&7 機(jī)器上通過測(cè)試。那么讓我們一一討論這三種方法。
方法 1 – 偽安裝在本方法中,我們往配置文件中添加一行 install usb-storage /bin/true, 這會(huì)讓安裝 usb-storage 模塊的操作實(shí)際上變成運(yùn)行 /bin/true, 這也是為什么這種方法叫做偽安裝的原因。
具體來說就是,在文件夾 /etc/modprobe.d 中創(chuàng)建并打開一個(gè)名為 block_usb.conf (也可能叫其他名字) ,
$ sudo vim /etc/modprobe.d/block_usb.conf然后將下行內(nèi)容添加進(jìn)去:
install usb-storage /bin/true最后保存文件并退出。
方法 2 – 刪除 USB 驅(qū)動(dòng)這種方法要求我們將 USB 存儲(chǔ)的驅(qū)動(dòng)程序(usb_storage.ko)刪掉或者移走,從而達(dá)到無法再訪問 USB 存儲(chǔ)設(shè)備的目的。 執(zhí)行下面命令可以將驅(qū)動(dòng)從它默認(rèn)的位置移走:
$ sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /home/user1現(xiàn)在在默認(rèn)的位置上無法再找到驅(qū)動(dòng)程序了,因此當(dāng) USB 存儲(chǔ)器連接到系統(tǒng)上時(shí)也就無法加載到驅(qū)動(dòng)程序了,從而導(dǎo)致磁盤不可用。
但是這個(gè)方法有一個(gè)小問題,那就是當(dāng)系統(tǒng)內(nèi)核更新的時(shí)候,usb-storage 模塊會(huì)再次出現(xiàn)在它的默認(rèn)位置。
方法 3 - 將 USB 存儲(chǔ)器納入黑名單我們也可以通過 /etc/modprobe.d/blacklist.conf 文件將 usb-storage 納入黑名單。
這個(gè)文件在 RHEL/CentOS 6 是現(xiàn)成就有的,但在 7 上可能需要自己創(chuàng)建。
要將 USB 存儲(chǔ)列入黑名單,請(qǐng)使用 vim 打開/創(chuàng)建上述文件:
$ sudo vim /etc/modprobe.d/blacklist.conf并輸入以下行將 USB 納入黑名單:
blacklist usb-storage保存文件并退出。usb-storage 就在就會(huì)被系統(tǒng)阻止加載,但這種方法有一個(gè)很大的缺點(diǎn),即任何特權(quán)用戶都可以通過執(zhí)行以下命令來加載 usb-storage 模塊,
$ sudo modprobe usb-storage這個(gè)問題使得這個(gè)方法不是那么理想,但是對(duì)于非特權(quán)用戶來說,這個(gè)方法效果很好。
linux USB 權(quán)限問題查看usb的權(quán)限
USB2出現(xiàn)權(quán)限問題,
有一下解決方法:
1.單次有效sudo chmod 777 /dev/ttyUSB2這樣會(huì)給ttyUSB2寫入和讀取的權(quán)限。但是這種方法是一次性的,重新連接或重啟,還會(huì)出現(xiàn)報(bào)錯(cuò)。
2.永久方法 - 1在/etc/udev/rules.d/ 創(chuàng)建my-newrule.rules
sudo vim my-newrule.rules添加下面的文本:
#add the following KERNEL=='ttyUSB0', MODE='777' KERNEL=='ttyUSB1', MODE='777' KERNEL=='ttyUSB2', MODE='777'保存文本,執(zhí)行下面文件。
sudo service udev reloadsudo service udev restart重新插上USB,執(zhí)行試試。
3.永久方法 - 2
因?yàn)槟J(rèn)情況下,只有root用戶和屬于dialout組的用戶會(huì)有讀寫權(quán)限,因此直接把自己的用戶加入到dialout組就可以了。
操作完命令后要logout一下,就永久生效了。或者USB拔掉,重新插上。
以后每次連接,都可以直接對(duì)設(shè)備進(jìn)行管理,不用做任何操作了。
總結(jié)以上為個(gè)人經(jīng)驗(yàn),希望能給大家一個(gè)參考,也希望大家多多支持好吧啦網(wǎng)。