janeiro 11th, 2012 
Claudio Eden 
Continuando a saga de aprimoramento da imagem do S.O. baseado no UBUNTU para uso corporativo na empresa onde trabalho, fomos (eu e equipe) em busca de uma solução para impedir o uso de pendrive e CDROM nos micros com o Linux, uma vez que nos micros com Windows, o bloqueio é feito via GPO.
Como sempre, recorremos ao Pai Google e, inevitavelmente, vamos lendo uma série de sites, alguns mais respeitados pelo seu conteúdo e outros que vamos descobrindo que são apenas CTRL + C / CTRL + V de outras fontes (e até assim conseguem produzir texto com erro).
A dica mais clara e acertada para o bloqueio do uso de Pendrive encontramos aqui [Viva o Linux] que sugere impedir o carregamento do módulo usb_storage, porém não falava nada de como bloquear o uso do CDROM. Mas foi o ponto de partida, pois imaginamos (e constatamos) que a linha de raciocínio deveria ser a mesma, faltando apenas saber exatamente qual o módulo era responsável pelo CDROM.
Pois bem, partindo da sugestão do Thiago Marques, executamos o procedimento para impedir o uso do pendrive que transcrevo abaixo, me permitindo alterações e ajustes no texto.
Primeiramente vamos descarregar o módulo usb_storage do kernel. Para isso, vamos digitar a seguinte linha em um terminal:
NOTA: alguns autores indicam a remoção do módulo com o uso do “rmmod“, enquanto outros com o uso do “modprobe -r” o que, confesso, me deixou meio em dúvida de qual utilizar. Dando uma lida no man das duas funções, percebi que até a descrição é a mesma, logo, remova o módulo usando o que mais lhe convêm. Fica a dica.$ sudo rmmod usb_storage
Em seguida vamos editar o arquivo /etc/modprobe.d/blacklist.conf e inserir as seguintes linhas que servirão para impedir que outros processos iniciem este módulo:
OBS.: fique a vontade para editar o arquivo como você preferir, com gedit ou vim, porém lembre-se de fazê-lo como super-usuário.# bloqueio de dispositivos de armazenamentos removíveis USB (pendrive)
blacklist usb_storage
Agora uma reiniciada básica do S.O. e pronto. Pode tentar inserir qualquer dispositivo de armazenamento na porta USB e o mesmo não será reconhecido nem mesmo dada a condição para ser montado ainda que manualmente.
Para ver em tempo real o que está acontecendo, abra um terminal e digite o seguinte comando:
$tail -f /var/log/syslog
Você irá acompanhar que, diferentemente de antes do bloqueio, o USB não mais é montado.
Pois bem, aproveitando o terminal aberto, inseri um CD no desktop e percebi que igualmente ao processo que acontecia com a montagem do pendrive, acontecia a chamada a um módulo quando o CD era inserido (isofs). Imaginei que realizando o procedimento acima e inserindo o bloqueio deste módulo no blacklist.conf, resolveria meu problema. Eureka!! 
Voltei ao arquivo e alterei o trecho deixando-o assim:
# bloqueio de dispositivos de armazenamentos removíveis (pendrive e CDROM)
blacklist usb_storage
blacklist isofs
Outro reinicio e pronto. Nem pendrive nem CDROM o usuário comum consegue ter acesso. Alias, na verdade ninguém mais, porém para voltar a utilizar, basta remover essas entradas no arquivo blacklist.conf e tudo volta ao estado normal de uso.
Aproveitando o tema, deixo a dica para quem quiser dar uma consultada nos módulos que estão em uso no seu linux. Use o comando “lsmod” para ver uma listagem dos módulos carregados. Serão apresentados todos os módulos em uso, distribuídos em três colunas que são respectivamente:
1ª coluna: Nome do Módulo
2ª coluna: Tamanho
3ª coluna: Se está em uso ou não. Esta coluna é numérica, sendo 0 (zero) para quando não está em uso ou outro número para mostrar que está em uso 1 ou mais vezes e em alguns casos, por qual processo.
Posted in 
Tags: 
