GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Wie kann ich verhindern, dass ein Benutzer Dateien auf eine andere Festplatte kopiert?

Sie können den USB-Speicher unter Linux deaktivieren, indem Sie das Modul auf die schwarze Liste setzen. 

modprobe -r usb-storage
echo blacklist usb-storage >> /etc/modprobe.d/10-usbstorage-blacklist.conf
echo blacklist uas >> /etc/modprobe.d/10-usbstorage-blacklist.conf

Wenn Ihre Benutzer physischen Zugriff auf den Computer haben und die Verschlüsselungsschlüssel kennen, ist das Spiel aus, egal was Sie softwaremäßig tun.

Mein Vorschlag wäre, den Zugriff auf physische Schnittstellen der Maschine zu beschränken. Sperren Sie es in einer Box ein und lassen Sie Benutzer nur über Tastatur, Maus und Bildschirm interagieren.

Sie sollten auch beachten, dass Sie einen Benutzer nicht daran hindern können, etwas zu kopieren. Schlimmsten Fall? Nehmen Sie das Telefon in die Hand und machen Sie Fotos vom Bildschirm, während sie die Dateien durchforsten. Data Loss Prevention sollte meiner Meinung nach darauf abzielen, versehentlich zu stoppen Kopieren auf nicht vertrauenswürdige Geräte.


Client-Server-Architektur

Dies ist ein weiterer Ansatz, der das Kopieren von Dateien viel schwieriger machen könnte, aber es erfordert mehr Aufwand von Ihrer Seite.

Der Zugriff auf die Informationen könnte auf Basis einer Client-Server-Architektur eingerichtet werden, wobei die Informationen in einer Datenbank (wie MySQL oder PostgreSQL) auf einem entfernten Server an einem sicheren Ort gespeichert werden.

Stellen Sie dann Zugriffsstationen bereit, die eine Client-Anwendung ausführen, die Informationen vom Server abruft und sie den Benutzern anzeigt.

Anstatt den Benutzern also direkten Zugriff auf die Informationen zu gewähren, füttern Sie sie damit.

Sie können es Benutzern erschweren, die Daten zu kopieren, indem Sie die Funktionen der Desktop-Umgebung einschränken, USB-Ports deaktivieren usw. Außerdem könnte Ihre App die Informationen als Bild statt als Text anzeigen, aber das hängt davon ab, ob dies der Fall ist oder nicht aus Usability-Gesichtspunkten angemessen.

All dies setzt jedoch voraus, dass die einzigen Hosts, die auf die Datenbank zugreifen können, gesperrte Client-Stationen sind, die Sie für Benutzer bereitstellen und dass sie sich in einer kontrollierten Umgebung befinden, sodass sie Zugangsstationen nicht manipulieren oder ihre eigenen Geräte an das Netzwerk anschließen können.

Ob dies ein guter Ansatz für Ihren Anwendungsfall ist oder nicht, hängt von Ihrem Bedrohungsmodell ab und davon, wie viel Aufwand Sie bereit sind, dafür zu investieren.


Zusätzlich zum Blockieren von USB (siehe andere Antworten oben):

Netzwerk deaktivieren, weil...

  • ... andernfalls verwendet der Benutzer den Fernzugriff auf Ihren Computer, z. über scp oder ftp , und kopieren Sie Dateien von Ihrem Computer.
  • ... andernfalls können eingeloggte Benutzer per scp Dateien über das Netz von Ihrem Rechner auf einen anderen Rechner übertragen , ftp , Samba , http .

Linux

  1. So schließen Sie Dateien bestimmter Größe vom Kopieren in Linux aus

  2. Wie verschiebt man alle Dateien (einschließlich versteckter) von einem Verzeichnis in ein anderes?

  3. Wie ändere ich die Berechtigungen vom Root-Benutzer auf alle Benutzer?

  4. Wie entferne ich die Zeilen, die in Datei B erscheinen, aus einer anderen Datei A?

  5. Löschen der Verzeichnisse eines anderen Benutzers aus meinen eigenen

So beschränken Sie den SSH-Zugriff auf bestimmte Benutzer in Linux

Wie greife ich von Ubuntu auf Windows-Dateien zu?

So verhindern Sie, dass ein Prozess Dateien schreibt

So gewähren Sie Nicht-Root-Benutzern Zugriff auf Gerätedateien

Wie kann ich verhindern, dass sich ein Benutzer anmeldet, aber su - Benutzer in Linux zulassen?

Wie kann ich verhindern, dass Tintenfisch entdeckt wird?