GNU/Linux >> Tutoriels Linux >  >> Linux

Comment puis-je empêcher un utilisateur de copier des fichiers sur un autre disque dur ?

Vous pouvez désactiver le stockage USB sous Linux en mettant le module sur liste noire.

modprobe -r usb-storage
echo blacklist usb-storage >> /etc/modprobe.d/10-usbstorage-blacklist.conf
echo blacklist uas >> /etc/modprobe.d/10-usbstorage-blacklist.conf

Si vos utilisateurs ont un accès physique à la machine et connaissent les clés de cryptage, le jeu est lancé, peu importe ce que vous faites en termes de logiciel.

Ma suggestion serait de limiter l'accès aux interfaces physiques de la machine. Verrouillez-le dans une boîte et ne laissez les utilisateurs interagir qu'avec un clavier, une souris et un écran.

Vous devez également noter que vous ne pouvez pas empêcher un utilisateur de copier quelque chose. Pire cas? Prenez le téléphone et prenez des photos de l'écran pendant qu'ils parcourent les fichiers. La prévention de la perte de données devrait à mon avis cibler l'arrêt accidentel copie vers des appareils non approuvés.


Architecture client-serveur

Il s'agit d'une autre approche qui pourrait rendre la copie de fichiers beaucoup plus difficile, mais elle nécessite plus d'efforts de votre part.

L'accès aux informations peut être configuré sur une base d'architecture client-serveur, les informations étant stockées dans une base de données (telle que MySQL ou PostgreSQL) sur un serveur distant dans un emplacement sécurisé.

Ensuite, fournissez des stations d'accès qui exécuteraient une application client qui récupère les informations du serveur et les affiche aux utilisateurs.

Ainsi, au lieu de laisser les utilisateurs accéder directement aux informations, vous les leur fournissez.

Vous pouvez compliquer la copie des données par les utilisateurs en limitant les capacités de l'environnement de bureau, en désactivant les ports USB, etc. De plus, votre application peut afficher les informations sous forme d'image plutôt que de texte, mais cela dépend si cela est ou non approprié du point de vue de la convivialité.

Mais tout cela suppose que les seuls hôtes pouvant accéder à la base de données sont des stations clientes verrouillées que vous fournir aux utilisateurs et qu'ils se trouvent dans un environnement contrôlé afin qu'ils ne puissent pas altérer les stations d'accès ou brancher leurs propres appareils au réseau.

Qu'il s'agisse ou non d'une bonne approche pour votre cas d'utilisation dépend de votre modèle de menace et de l'effort que vous êtes prêt à y investir.


En plus de bloquer l'USB (voir les autres réponses ci-dessus) :

Désactiver le réseau, car...

  • ... sinon l'utilisateur utilisera l'accès à distance à votre machine, par ex. via scp ou ftp , et copiez les fichiers depuis votre ordinateur.
  • ... sinon les utilisateurs connectés pourront transférer des fichiers via le net de votre machine vers une autre machine via scp , ftp , samba , http .

Linux
  1. Comment accéder (si possible) à l'espace noyau depuis l'espace utilisateur ?

  2. Comment puis-je créer un utilisateur avec un accès en lecture seule à tous les fichiers ? (c'est-à-dire root sans autorisations d'écriture)

  3. Comment puis-je récupérer/récupérer des fichiers d'une partition ext4 ?

  4. Combien de Load_cycle_count mon disque dur peut-il hypothétiquement supporter ?

  5. Comment accorder un accès utilisateur non root aux fichiers de l'appareil

Comment restreindre l'accès SSH à certains utilisateurs sous Linux

Comment accéder aux fichiers Windows à partir d'Ubuntu ?

Comment vérifier manuellement la version d'Ubuntu ? (par exemple depuis le disque dur)

Comment empêcher les utilisateurs sudo d'exécuter des commandes spécifiques ?

Comment empêcher un processus d'écrire des fichiers

Comment puis-je autoriser un utilisateur à su un autre sans autoriser l'accès root?