サーバーのセキュリティを強化する方法としては突飛な方法のように聞こえるかもしれませんが、キーボード、マウス、外付けドライブなどのUSBデバイスを一切使用しないなど、USBサポートを無効化することで、悪意のあるファイルがサーバーに侵入するのを防ぐための追加的な手段となります。もちろん、これはヘッドレスマシンでのみ機能するため、これらのサーバーにSSHで接続できることを確認してください。そうでないと、キーボードやマウスからの入力時に問題が発生する可能性があります。
ただし、Linuxサーバーがヘッドレスモードに設定されている場合、これはデータ漏洩を防ぐのに非常に便利な方法になります。USBを無効にする確実な方法が2つあります。もう1つの方法もありますが、これはUSBドライバーを削除してしまいます。個人的には、万が一何らかの理由で再びUSBが必要になった場合に備えて、USBサポートを簡単に追加できるようにしておきたいと考えています。それでは、まずヘッドレスLinuxサーバーのUSBサポートを無効にしてみましょう。Ubuntu Server 16.04でデモを行いますが、この手順は最近のほとんどのLinuxディストリビューションで機能します。
USBを無効にする
まず、システムを騙してUSBストレージモジュールをインストールさせないようにすることで、USBを無効にします。これは「フェイクインストール」と呼ばれます。これを行うには、ターミナルを開き、コマンドsudo nano /etc/modprobe.d/block_usb.confを実行します。この新しいファイルに、以下の内容を追加します。
install usb-storage /bin/true
ファイルを保存して閉じます。システムを再起動すると変更が有効になります。ユーザーがUSBデバイスを接続しても認識されません。例えば、接続されたUSBデバイスはGUIファイルマネージャーにもディレクトリ階層にも表示されません。ただし、USBデバイスはdmesgコマンドの出力に表示されます(図A)。
図A
次の方法は少し強引ですが、効果はあります。/media フォルダのパーミッションを変更し、外部デバイスがこのディレクトリにマウントできないようにします。これは最近の Linux ディストリビューションのデフォルト設定です。ただし、これは完璧ではありません。適切なスキルとユーザー権限を持つ人であれば、パーミッションを変更したり、USB ドライブを別の場所にマウントしたりできるからです。しかし、必要な Linux スキルを持たない人にとっては、確かに少し遅くなるでしょう。
まず最初に知っておくべきことは、 /mediaフォルダの元のパーミッションが755であるということです。このフォルダへのマウントを復元する必要がある場合、これは重要です。さて、ターミナルを開いて次のコマンドを実行してください。
sudo chmod 000 /media
このコマンドを実行した後、外付けUSBデバイスを接続してマウントしてみてください。動作しません。
/media ディレクトリへのマウント機能を復元する必要がある場合は、次のコマンドを発行します。
sudo chmod 755 /media
それをやれば、すべてうまくいきます。
セキュリティへの奇妙な追加
これらの方法は完璧ではなく、少し風変わりですが、誰でも外付けUSBデバイスを接続してLinuxサーバーに悪意のあるファイルを読み込んだり、データを盗んだりするのを防ぐのに役立ちます。従来の方法では得られないセキュリティ対策をお探しなら、これらの方法を試してみて、効果があるかどうかを確認してください。ただし、これは目的を達成するための手段ではなく、既に強化されているサーバーにさらなるセキュリティを追加するための、あくまでも可能な方法であることを覚えておいてください。
もちろん、他の方法がすべて失敗した場合は、ケンジントン ポート ロッカーのようなものを利用することもできます。
