检测
分析学
1.1.10 禁用USB存储
资讯类
USB存储提供传输和存储文件的手段,保证文件持久性并可用性与网络连接状态无关广受支持和实用性导致USB恶意软件成为网络渗透简单常用工具,并成为建立网络环境持久威胁的第一步原理性:
系统限制USB访问会减少设备物理攻击面并减少可能的向量引入恶意软件
撞击 :
禁用usb存储模块将禁用USB存储设备的任何使用
如果条件和本地网站策略允许使用这些设备,则应相应地配置其他解决方案常用解决办法的一个例子是USBGuard
求解
运行下列脚本禁用cramfs模块如果模块运行内核可用 :
创建文件并安装usb存储/bin/false
创建文件黑名单usb存储/etc/modrobe.d/
从内核卸载usb存储
内核安装后可用
创建文件黑名单usb存储/etc/modrobe.d/
如果系统内核模块不可用 :
无需修复
#!/sr/bin/envshart
{{
l_mname表示sb存储#集模块名
m类型表示驱动器#集模块类型
l_mpath='/lib/modules/**/kernel/$l_mtype'
l_mpname表示$(tr-)
l_mdir=$
module_loadable_fix()
{{
# 如果模块当前可加载,则在文件'/etc/modrobe.d'中添加'安装{MODULE_NAME}/bin/false'
l_可加载=$
United=$(grep-P-
万一grep-Pq-qh*安装/bin/并发
回声-e
设置模块 : '$l_mname'不可加载
-e安装$_mname/bin/false
斐族
}
module_loaded_fix()
{{
# 如果模块当前加载,卸载模块
smod 'grep'$l'mname>/dev/null2#并发
回声-e
卸载模块$lmname
modprobe-r '$l_mname'
斐族
}
module_deny_fix()
{{
# 如果模块不拒绝列表,拒绝列表模块
万一mdrobe-showconfig+grep-Pq-并发
回声-e
拒绝列单
-eblacklist$lmname+#/etc/modprobe.d/
斐族
}
#检查模块是否存在系统
mdir使用$mpath多做
mdir/mdir并发
回声-e
模块 : $l_mname
检查是否停机
模块_deny_fix
/lib/moules/$(uname-r)/内核/$并发
module_loadable_fix
module_loaded_fix
斐族
其余
回声-e
模块 : $l_mname不存在
'
斐族
完成后
回声-e
模块修复: '$l_mname'全
'
}
并见
项目细节
审核名称 :CIS Debian 10服务器L1v2.0
类别 :媒体保护
引用 :800-53+++7,CSCV7QQQY,CSCV7++13.7
插件 :ixix连接
控件标识符 :ead33f66b1ce48d269eb3279846533a78f72cacebf7d1a69fe5e362f3e589b27