Linux 上如何禁用 USB 儲存設備

為了保護資料不被洩漏，我們使用軟體和硬體防火牆來限制外部未經授權的通路，但是資料洩露也可能發生在内部。 為了消除這種可能性，機構會限制和監測通路網際網路，同時禁用 USB 儲存設備。

在本教程中，我們将讨論三種不同的方法來禁用 Linux 機器上的 USB 儲存設備。所有這三種方法都在 CentOS 6＆7 機器上通過測試。那麼讓我們一一讨論這三種方法。

方法 1：僞安裝

在本方法中，我們往配置檔案中添加一行 <code>install usb-storage /bin/true</code>， 這會讓安裝 usb-storage 子產品的操作實際上變成運作 /bin/true， 這也是為什麼這種方法叫做僞安裝的原因。 具體來說就是，在檔案夾 /etc/modprobe.d 中建立并打開一個名為 block_usb.conf (也可能叫其他名字) ，

然後将下行内容添加進去：

最後儲存檔案并退出。

方法 2：删除 USB 驅動

這種方法要求我們将 USB 存儲的驅動程式（usb_storage.ko）删掉或者移走，進而達到無法再通路 USB 儲存設備的目的。 執行下面指令可以将驅動從它預設的位置移走：

現在在預設的位置上無法再找到驅動程式了，是以當 USB 存儲器連接配接到系統上時也就無法加載到驅動程式了，進而導緻磁盤不可用。 但是這個方法有一個小問題，那就是當系統核心更新的時候，usb-storage 子產品會再次出現在它的預設位置。

方法 3：将 USB 存儲器納入黑名單

我們也可以通過 /etc/modprobe.d/blacklist.conf 檔案将 usb-storage 納入黑名單。這個檔案在 RHEL/CentOS 6 是現成就有的，但在 7 上可能需要自己建立。 要将 USB 存儲列入黑名單，請使用 vim 打開/建立上述檔案：

并輸入以下行将 USB 納入黑名單：

儲存檔案并退出。usb-storage 就在就會被系統阻止加載，但這種方法有一個很大的缺點，即任何特權使用者都可以通過執行以下指令來加載 usb-storage 子產品，

這個問題使得這個方法不是那麼理想，但是對于非特權使用者來說，這個方法效果很好。

在更改完成後重新啟動系統，以使更改生效。請嘗試用這些方法來禁用 USB 存儲，如果您遇到任何問題或有什麼疑問，請告知我們。

原文釋出時間：2017-12-18