Una de las principales formas de distribución de malware es a través de dispositivos USB. En muchas ocasiones es posible que, por diversos motivos, no queramos que las unidades USB se monten en nuestro sistema y que no se puedan usar, aunque sí que funcionen para conectar un teclado USB, cargar un móvil y otras funciones.
Para ello debemos bloquear el montaje por defecto de las memorias USB en nuestro sistema Linux. Existen varias formas de hacerlo a nivel de kernel, grub, etc. Una de las formas más sencillas de bloquear toda conexión de memorias USB a un equipo ejecutando Linux se basa en el bloqueo del directorio de montaje por defecto cambiando los permisos del mismo. En Ubuntu, por ejemplo, cuando conectamos una memoria USB esta se monta automáticamente en el directorio /media/ (en otras distribuciones como Arch sería /run/media/). Este directorio puede variar en función de la distribución que utilicemos.
Cambiando los permisos de lectura y escritura de la carpeta donde se montan dichas unidades conseguiremos que al conectar una memoria a nuestro PC esta no se monte correctamente y no podamos utilizarla, quedando el uso de los puertos USB totalmente bloqueado.
Para ello abriremos un terminal y tecleamos:
sudo chmod 700 /media/
De esta manera asignamos a la carpeta donde se montan las memorias USB (en este caso /media/) únicamente permisos para root, es decir, que únicamente el superusuario podría montar unidades y tener acceso a ellas, quedando todos los demás sin poder acceder a las memorias USB que conecten.
Este método es totalmente efectivo y funcional, aunque cualquier usuario con permiso de root podría deshacer los cambios o simplemente montar las unidades que él desease manualmente mediante un terminal y los comandos adecuados, teniendo de nuevo únicamente él acceso a dicha unidad montada.
¿Conoces otras formas de evitar que se conecten memorias USB a un ordenador con Linux?
Os recomendamos leer el tutorial seguridad en las memorias USB consejos y precauciones de uso.