Siempre se hace todo lo posible para aumentar al máximo la seguridad de los dispositivos, pero lo cierto es que esto es verdaderamente difícil cuando hay acceso físico -esto es, hay personas que podrán estar sentadas frente a ellos- puesto que se puede extraer información de varias formas. Por ello hoy vamos a ver cómo evitar que se utilice el puerto USB de nuestros servidores GNU/Linux.

En nuestro sistema operativo esto es posible si primero identificamos que se ha cargado el módulo de almacenamiento que se utiliza en el kernel de Linux, y hacemos lo propio para obtener el nombre del mismo. El comando utilizado para esto es lsmod, que nos muestra los módulos que han sido cargados en el kernel en ejecución, y nos aprovechamos de la herramienta grep para filtrar y obtener únicamente información relacionada con ‘usb_storage’.

Abrimos una ventana de terminal e ingresamos:

# lsmod |grep usb_storage

Ello nos permite ver cual es el modulo del kernel que utiliza sub_storage, y luego de haberlo identificado lo que tenemos que hacer es descargarlo del kernel. Esto se hace con el comando modprobe junto con el parámetro “-r”  (por “remover”):

#modprobe -r usb_storage

#modprobe -r uas

#lsmod |grep usb

Ahora identificamos los directorios que alojan los módulos del kernel de GNU/Linux con el nombre de “usb-storage”:

# ls /lib/modules/’uname -r’/kernel/drivers/usb/storage/

Ahora, para impedir que estos módulos se carguen en el kernel, nos cambiamos al directorio de dichos módulos usb-storage y les agregamos el sufijo “blacklist”, con lo cual cambiamos su nombre a “usb-storage.ko.xz.blacklist”:

#cd /lib/modules/’uname -r’/kernel/drivers/usb/storage/

#ls

#mv usb-storage.ko.xz usb-storage.ko.xz.blacklist

En el caso de distribuciones basadas en Debian, el nombre de los módulos es ligeramente diferente, por lo cual los comandos anteriores serían como sigue:

#cd /lib/modules/’uname -r’/kernel/drivers/usb/storage/

#ls

#mv usb-storage.ko usb-storage.ko.blacklist

Eso es todo, a partir de ahora cuando se inserte un pendrive en el servidor los módulos relacionados fallarán al cargar, y no será posible leer su contenido ni copiar o mover archivos hacia allí. Y si en algún momento nos arrepentimos y queremos deshacer esto, simplemente hay que volver a dejar el nombre de los módulos como estaba al principio, es decir quitando la extensión o sufijo “blacklist”.

El artículo Cómo impedir el acceso a puertos USB de tu servidor ha sido originalmente publicado en Linux Adictos.