Úložiště USB v systému Linux můžete zakázat umístěním modulu na černou listinu.
modprobe -r usb-storage
echo blacklist usb-storage >> /etc/modprobe.d/10-usbstorage-blacklist.conf
echo blacklist uas >> /etc/modprobe.d/10-usbstorage-blacklist.conf
Pokud mají vaši uživatelé fyzický přístup k počítači a znají šifrovací klíče, hra funguje bez ohledu na to, co děláte softwarově.
Můj návrh by byl omezit přístup k fyzickým rozhraním stroje. Uzamkněte jej v krabici a umožněte uživatelům komunikovat pouze prostřednictvím klávesnice, myši a obrazovky.
Měli byste si také uvědomit, že nemůžete uživateli zabránit v kopírování něčeho. Nejhorší případ? Vezměte telefon a vyfoťte obrazovku, která prochází soubory. Prevence ztráty dat by podle mého názoru měla být zaměřen na zastavení náhodného kopírování do nedůvěryhodných zařízení.
Architektura klient-server
Toto je další přístup, který by mohl značně ztížit kopírování souborů, ale vyžaduje z vaší strany více úsilí.
Přístup k informacím by mohl být nastaven na bázi architektury klient-server s informacemi uloženými v databázi (jako je MySQL nebo PostgreSQL) na vzdáleném serveru na bezpečném místě.
Poté poskytněte přístupové stanice, které by spouštěly klientskou aplikaci, která získává informace ze serveru a zobrazuje je uživatelům.
Místo toho, abyste uživatelům umožnili přístup k informacím přímo, jim je poskytnete.
Uživatelům můžete ztížit kopírování dat omezením možností desktopového prostředí, deaktivací USB portů atd. Vaše aplikace by také mohla zobrazovat informace jako obrázek, nikoli text, ale záleží na tom, zda je to vhodné z hlediska použitelnosti.
To vše ale předpokládá, že jedinými hostiteli, kteří mají přístup k databázi, jsou uzamčené klientské stanice, které vy poskytovat uživatelům a že jsou v kontrolovaném prostředí, aby nemohli manipulovat s přístupovými stanicemi nebo připojovat svá vlastní zařízení k síti.
Zda je to dobrý přístup pro váš případ použití, závisí na vašem modelu hrozby a na tom, kolik úsilí jste připraveni do toho investovat.
Kromě blokování USB (viz další odpovědi výše):
Zakázat práci v síti, protože...
- ... jinak uživatel použije vzdálený přístup k vašemu počítači, např. přes scp nebo ftp a zkopírujte soubory ze svého počítače.
- ... jinak přihlášení uživatelé budou moci přenášet soubor přes síť z vašeho počítače do jiného počítače pomocí scp , ftp , samba , http .