【信创】Linux终端禁用USB存储 _ 统信 _ 麒麟 _ 方德

原文链接：【信创】Linux终端禁用USB存储 | 统信 | 麒麟 | 方德
Hello，大家好啊！今天给大家带来一篇关于在Linux终端下禁用USB存储设备的文章。禁用USB存储设备可以提高系统的安全性，防止未经授权的人员将数据拷贝到外部存储设备或从USB设备导入恶意软件。本文将介绍如何通过修改系统配置禁用USB存储，确保系统的安全。欢迎大家分享转发，点个关注和在看吧！关注公众号回复“USB”，获取文章脚本。

禁用USB存储的几种方法

在Linux系统中，可以通过多种方法禁用USB存储设备。以下几种方法可以根据不同的需求选择使用：

通过modprobe禁用USB存储模块。

通过udev规则阻止USB存储设备的挂载。

通过设置blacklist禁用USB存储驱动程序。

1.查看系统信息

pdsyw@pdsyw1024:~/Desktop$ cat /etc/os-release 
NAME="Kylin"
VERSION="银河麒麟桌面操作系统V10 (SP1)"
VERSION_US="Kylin Linux Desktop V10 (SP1)"
ID=kylin
ID_LIKE=debian
PRETTY_NAME="Kylin V10 SP1"
VERSION_ID="v10"
HOME_URL="http://www.kylinos.cn/"
SUPPORT_URL="http://www.kylinos.cn/support/technology.html"
BUG_REPORT_URL="http://www.kylinos.cn/"
PRIVACY_POLICY_URL="http://www.kylinos.cn"
VERSION_CODENAME=kylin
UBUNTU_CODENAME=kylin
PROJECT_CODENAME=V10SP1
KYLIN_RELEASE_ID="2303"
pdsyw@pdsyw1024:~/Desktop$ uname -a
Linux pdsyw1024 4.19.71-42-kr990 #39-KYLINOS SMP PREEMPT Wed Jun 5 10:46:59 UTC 2024 aarch64 aarch64 aarch64 GNU/Linux
pdsyw@pdsyw1024:~/Desktop$ 	

2.查看CPU信息

pdsyw@pdsyw1024:~/Desktop$ lscpu
架构：           aarch64
CPU 运行模式：   32-bit, 64-bit
字节序：         Little Endian
CPU:             8
在线 CPU 列表：  0-7
每个核的线程数： 1
每个座的核数：   2
座：             3
厂商 ID：        ARM
型号：           0
型号名称：       HUAWEI Kirin 990
步进：           r1p0
CPU 最大 MHz：   2861.0000
CPU 最小 MHz：   554.0000
标记：           fp asimd evtstrm aes pmull sha1 sha2 crc32 atomics fphp asimdhpcpuid asimdrdm lrcpc dcpop asimddp
pdsyw@pdsyw1024:~/Desktop$ 

3.编写USB存储移除脚本

pdsyw@pdsyw1024:~/Desktop$ vim setup-usb-autoremove.sh 
pdsyw@pdsyw1024:~/Desktop$ 
pdsyw@pdsyw1024:~/Desktop$ cat setup-usb-autoremove.sh 
#!/bin/bash
# Step 1: 创建自动移除的脚本
cat << 'EOF' | sudo tee /usr/local/bin/remove-usb.sh > /dev/null
#!/bin/bash
# 提取传递的设备节点
device_path="/sys$DEVPATH"
# 查找设备并解除绑定
if [ -e "$device_path/driver/unbind" ]; thenbasename $device_path | tee $device_path/driver/unbind
fi
EOF
# 赋予脚本可执行权限
sudo chmod +x /usr/local/bin/remove-usb.sh
# Step 2: 创建 udev 规则
cat << 'EOF' | sudo tee /etc/udev/rules.d/99-usb-autoremove.rules > /dev/null
ACTION=="add", SUBSYSTEMS=="usb", ATTR{bInterfaceClass}=="08", RUN+="/usr/local/bin/remove-usb.sh"
EOF
# Step 3: 重载 udev 规则
udevadm control --reload-rules
pdsyw@pdsyw1024:~/Desktop$

这个脚本的目的是自动设置一个机制，当插入 USB 存储设备时，系统会立即检测并自动移除该设备。脚本通过创建一个自动移除脚本、配置 udev 规则，以及重载规则来实现这个功能。以下是脚本的详细解释：

# Step 1: 创建自动移除的脚本
cat << 'EOF' | sudo tee /usr/local/bin/remove-usb.sh > /dev/null
#!/bin/bash
# 提取传递的设备节点
device_path="/sys$DEVPATH"
# 查找设备并解除绑定
if [ -e "$device_path/driver/unbind" ]; thenbasename $device_path | tee $device_path/driver/unbind
fi
EOF

这部分代码会在系统的 /usr/local/bin/ 目录下创建一个名为 remove-usb.sh 的脚本。

脚本中使用 $DEVPATH环境变量，它会由udev在USB设备插入时自动传递。$DEVPATH 是设备路径。

该脚本会查找对应 USB 存储设备的路径并解除绑定（也就是从系统中移除设备）。通过 basename $device_path | tee $device_path/driver/unbind 来执行这个过程，basename 提取设备名，tee 将设备名写入到 unbind 文件以解除绑定。

sudo chmod +x /usr/local/bin/remove-usb.sh 

这部分代码将给刚刚创建的 remove-usb.sh 脚本赋予可执行权限，使其能够被 udev 调用并执行。

# Step 2: 创建 udev 规则
cat << 'EOF' | sudo tee /etc/udev/rules.d/99-usb-autoremove.rules > /dev/null
ACTION=="add", SUBSYSTEMS=="usb", ATTR{bInterfaceClass}=="08", RUN+="/usr/local/bin/remove-usb.sh"
EOF

这里会创建一个 udev 规则文件 /etc/udev/rules.d/99-usb-autoremove.rules。

udev 是 Linux 下的设备管理器，它可以检测到设备的插入/移除，并执行相应的操作。

ACTION==“add” 表示规则会在检测到设备插入时触发。

SUBSYSTEMS==“usb” 限定该规则只应用于 USB 设备。

ATTR{bInterfaceClass}==“08” 限定规则只匹配 USB 存储设备（大容量存储类设备，bInterfaceClass 为 08 对应的是大容量存储设备）。

RUN+=“/usr/local/bin/remove-usb.sh” 表示当插入符合条件的设备时，执行前面创建的 remove-usb.sh 脚本。

# Step 3: 重载 udev 规则
sudo udevadm control --reload-rules

这段代码会重载 udev 规则，使新添加的规则立即生效。

udevadm control --reload-rules 是 udev 的管理命令，它会重新读取所有的规则文件，以确保新添加的规则在设备插入时生效。

4.编写USB存储恢复识别脚本

pdsyw@pdsyw1024:~/Desktop$ vim setup-usb-autoadd.sh 
pdsyw@pdsyw1024:~/Desktop$ 
pdsyw@pdsyw1024:~/Desktop$ cat setup-usb-autoadd.sh 
#!/bin/bash
# Step 1: 移除脚本
rm  -rf  /usr/local/bin/remove-usb.sh
# Step 2: 移除 udev 规则
rm  -rf  /etc/udev/rules.d/99-usb-autoremove.rules 
# Step 3: 重载 udev 规则
udevadm control --reload-rules
pdsyw@pdsyw1024:~/Desktop$ 

这个脚本的作用是清理之前设置的自动移除 USB 设备的机制，具体解释如下：

# Step 1: 移除脚本
rm -rf /usr/local/bin/remove-usb.sh

这部分代码使用 rm -rf 命令删除 /usr/local/bin/ 目录下的 remove-usb.sh 脚本。

remove-usb.sh 是之前创建的用于移除 USB 存储设备的脚本。通过删除它，系统将不再执行该脚本来移除 USB 设备。

# Step 2: 移除 udev 规则
rm -rf /etc/udev/rules.d/99-usb-autoremove.rules

这部分代码删除 /etc/udev/rules.d/ 目录下的 99-usb-autoremove.rules 文件。

这个文件是之前创建的 udev 规则文件，它规定了当插入 USB 存储设备时，系统会执行 remove-usb.sh 脚本。删除该文件后，udev 将不再针对 USB 设备执行移除操作。

# Step 3: 重载 udev 规则
udevadm control --reload-rules

这部分代码使用 udevadm control --reload-rules 命令重载 udev 规则。

这是为了确保删除的 99-usb-autoremove.rules 文件立即生效。如果不重载规则，系统可能仍然会按照旧的规则工作，直到重启或手动重载规则。

5.测试USB存储移除脚本

pdsyw@pdsyw1024:~/Desktop$ sudo bash setup-usb-autoremove.sh 
输入密码
pdsyw@pdsyw1024:~/Desktop$

6.插入U盘不识别

7.测试USB存储恢复识别脚本

pdsyw@pdsyw1024:~/Desktop$ sudo bash setup-usb-autoadd.sh

8.插入USB识别

通过本文的介绍，您已经了解了如何在Linux终端下禁用USB存储设备。通过禁用USB存储模块或配置udev规则，可以有效地防止未经授权的USB存储设备接入系统，提升系统的安全性。如果您觉得这篇文章有用，请分享和转发，同时别忘了点个关注和在看，以便未来获取更多实用的技术信息和教程。感谢大家的阅读，我们下次再见！