Linux禁用USB方法与安全设置技巧

本文系统介绍了五种在Linux系统中禁用USB存储设备的实用方法，从配置modprobe伪安装、模块黑名单、移除驱动文件，到基于udev规则的精准屏蔽，再到运行时临时禁用USB授权，覆盖了永久性与临时性、全局性与选择性等多种安全需求场景；这些操作不仅能有效防范数据泄露和恶意USB设备攻击，还兼顾了键盘、鼠标等必要外设的正常使用，是企业IT管理员和安全运维人员强化终端物理接口防护的必备技术指南。

如果您希望在Linux系统中限制USB设备的接入以提升安全性，则可能是由于需防止未经授权的数据拷贝或恶意设备接入。以下是禁用USB接口的具体操作方法：

一、通过modprobe配置伪安装usb-storage模块

该方法通过修改内核模块加载行为，使系统在尝试加载usb-storage驱动时实际执行空操作，从而阻止USB存储设备被识别和挂载。

1、使用root权限打开终端。

2、在/etc/modprobe.d/目录下创建新配置文件：sudo nano /etc/modprobe.d/block_usb.conf。

3、向文件中写入以下内容：install usb-storage /bin/true。

4、保存并退出编辑器。

5、执行sudo update-initramfs -u（Debian/Ubuntu系）或sudo dracut --force（RHEL/CentOS/Fedora系）更新初始内存盘。

二、将usb-storage模块加入黑名单

此方法通过禁止内核自动加载usb-storage模块，使系统启动后不响应USB存储设备的插入事件，但不阻止其他USB功能（如键盘、鼠标）正常工作。

1、以root身份编辑黑名单配置文件：sudo nano /etc/modprobe.d/blacklist.conf。

2、在文件末尾添加一行：blacklist usb-storage。

3、保存并退出。

4、执行sudo modprobe -r usb_storage立即卸载已加载模块（若正在运行）。

三、移除或重命名usb-storage内核模块文件

该方式直接从内核模块路径中移走驱动文件，使系统完全无法定位并加载usb-storage.ko，属于较彻底的禁用手段。

1、确认当前内核版本：uname -r。

2、执行命令将模块移出默认路径：sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /home/user/。

3、运行sudo depmod -a更新模块依赖关系。

4、重启系统生效。

四、通过udev规则屏蔽特定USB存储设备

该方法可实现按设备特征（如接口类、子类、协议）进行精准匹配与忽略，不影响其他USB设备，适合需要保留部分USB功能的场景。

1、以root权限创建udev规则文件：sudo nano /etc/udev/rules.d/99-disable-usb-storage.rules。

2、写入以下匹配规则：# Disable USB storage devices SUBSYSTEMS=="usb", ATTRS{bInterfaceClass}=="08", ATTRS{bInterfaceSubClass}=="06", ATTRS{bInterfaceProtocol}=="50", ENV{UDISKS_IGNORE}="1"。

3、保存并退出。

4、重新加载udev规则：sudo udevadm control --reload-rules。

5、触发规则更新：sudo udevadm trigger --subsystem-match=usb。

五、运行时禁用全部USB设备授权

该方法不修改系统配置，仅在当前会话中临时禁用所有USB端口的设备授权，适用于紧急隔离场景，重启后失效。

1、执行以下循环命令：for device in /sys/bus/usb/devices/*/authorized; do echo 0 > "$device" 2>/dev/null; done。

2、验证效果：插入USB存储设备后，dmesg | tail应无usb-storage相关加载日志。

3、如需恢复授权，将上述命令中的0替换为1即可重新启用。

以上就是《Linux禁用USB方法与安全设置技巧》的详细内容，更多关于的资料请关注golang学习网公众号！