Si está buscando un enfoque ligeramente diferente para reforzar la seguridad de su servidor Linux, puede intentar deshabilitar el soporte USB. Jack Wallen le muestra cómo en Ubuntu Server 16.04.

    Esto puede sonar como una manera loca de mejorar la seguridad en un servidor, pero si puede salirse con la suya, ya que no necesita ningún dispositivo USB como teclados, ratones, unidades externas, la compatibilidad con USB puede ser un medio adicional para garantizar que los archivos maliciosos no lleguen a sus servidores. Obviamente, esto sólo funcionará para máquinas sin cabeza, así que es mejor que te asegures de que puedes introducir SSH en esos servidores, de lo contrario, te encontrarás en problemas intentando introducir cualquier cosa a través del teclado o el ratón.

    Sin embargo, si su servidor Linux está configurado como headless, esta puede ser una forma bastante práctica de evitar las brechas de datos. Tengo dos formas fiables de desactivar el USB. Hay otro método, pero en realidad elimina el controlador USB. Personalmente, prefiero hacerlo de tal manera que el soporte USB pueda volver a añadirse fácilmente, por si acaso se necesite de nuevo por alguna razón. Dicho esto, primero deshabilitemos el soporte USB en nuestros servidores Linux sin cabeza. Voy a demostrar esto en Ubuntu Server 16.04, pero el proceso funciona en la mayoría de las distribuciones modernas de Linux.

    Desactivación de USB

    Primero deshabilitaremos el USB engañando al sistema para que no instale el módulo de almacenamiento usb. Esto se llama «Instalación falsa». Para ello, abra un terminal y ejecute el comando sudo nano /etc/modprobe.d/block_usb.conf. Dentro de ese nuevo archivo, agregue el siguiente contenido:

    instalar usb-storage /bin/true

    Guarde y cierre el archivo. Reinicie el sistema y el cambio tendrá efecto. Cuando un usuario conecta un dispositivo USB, no se reconoce. Por ejemplo, un dispositivo USB conectado no aparecerá ni en el administrador de archivos GUI ni en la jerarquía de directorios. La única advertencia es que el dispositivo USB aparecerá en la salida de comandos dmesg (.

    El siguiente método es un poco más duro, pero funciona. Lo que vamos a hacer es cambiar los permisos de la carpeta /media, de manera que un dispositivo externo simplemente no pueda ser montado en este directorio, que resulta ser el predeterminado para las distribuciones modernas de Linux. Esto no es perfecto, ya que alguien con las habilidades y privilegios de usuario adecuados podría simplemente cambiar los permisos o montar la unidad USB en otra ubicación. Pero para aquellos que no tienen las habilidades necesarias en Linux, esto ciertamente los ralentizará un poco.

    Lo primero que debe saber es que los permisos originales para la carpeta /media son 755. Esto es importante si necesita restaurar la capacidad de montaje en esa carpeta. Dicho esto, abra una terminal y emita el comando:

    sudo chmod 000 /media

    Después de emitir ese comando, conecte un dispositivo USB externo e intente montarlo. No funcionará.

    Si necesita restaurar la capacidad de montar en el directorio /media, ejecute el comando:

    sudo chmod 755 /media

    Una vez que lo hayas hecho, todo estará bien.

    Una adición estrafalaria a la seguridad

    Estos métodos no son perfectos, y son un poco extravagantes, pero ayudarán a evitar que cualquiera conecte un dispositivo USB externo y cargue archivos maliciosos en sus servidores Linux o tome datos de ellos. Si está buscando un medio de seguridad que no se encuentra en las rutas tradicionales, pruebe estos métodos y vea si no le ayudan. Sólo recuerde, esto no es un medio para un fin, es sólo un método posible para añadir seguridad adicional a un servidor que ya debería estar endurecido.

    Por supuesto, si todo lo demás falla, usted podría emplear algo como estos armarios del puerto de Kensington.

    Boletín informativo de consejotecnologico.com

    Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves

    mismo

    Vea también