Totul depinde de ceea ce doriți să blocați. Nu există instrumente ieșite din cutie pentru a configura acest lucru și majoritatea modalităților de a restricționa acest lucru vor fi restricții la nivelul întregului sistem. Voi împărtăși câteva informații pe care le am despre cum să blochez anumite lucruri
Medii de stocare USB: blocarea tuturor dispozitivelor de stocare USB
Unul dintre lucrurile haotice pe care le-am întâlnit cu un lucru temporar la jobul meu Full Time a fost că am vrut să dezactivăm dispozitivele de stocare USB, cu excepția câtorva dispozitive din sistem. Adaptând această soluție, putem face ca dispozitivele de stocare USB să nu funcționeze și să nu fie montate sau vizibile. De asemenea, va dezlega lucrul cu sysfs, dar va permite și utilizarea dispozitivelor care nu sunt de stocare (tastaturi, șoareci) teoretic. Nu am un sistem suplimentar pentru a testa aceste reguli în acest moment și au fost scrise în jurul erei 12.04, așa că s-ar putea să nu mai funcționeze conform intenției.
Crea /etc/udev/rules.d/100-unbind-usb-storage.rules
Adăugați următoarele reguli la noul fișier:
KERNELS=="[1-9]*-[0-9]*", SUBSYSTEM=="bloc", ENV{ID_BUS}=="usb", ENV{IF_STORAGE_REMOVE_ME}="1"
ENV{IF_STORAGE_REMOVE_ME}=="1", RUN+="/bin/sh -c 'echo -n %k >/sys%p/driver/unbind'"
Reporniți sistemul pentru ca aceste reguli să intre în vigoare. De fiecare dată când computerul are un dispozitiv USB conectat la el, care este un dispozitiv „blocat” (stocare), acesta va declanșa o regulă de dezlegare care, practic, deconectează dispozitivul USB. Oricine nu are superutilizator nu va putea „relega” dispozitivul, chiar dacă va deconecta și reconecta dispozitivul.
Regula de blocare a suporturilor de stocare USB se bazează pe răspunsurile la întrebarea mea de șase ani despre abordarea UDEV pentru blocarea dispozitivelor USB - regulile udev pentru a permite un singur furnizor și model de unitate USB, dar nu altele
CD/Suport optic: Nu permiteți utilizarea unității (adică eliminați/dezactivați driverul)
Cu excepția cazului în care utilizatorii dvs. primesc un superutilizator pe sistem, puteți elimina pur și simplu modulul kernel pentru conexiunea SCSI conectată (SATA dacă doriți să fiți mai modern) pentru conexiunea sr dispozitivele pe care Optical Media listează ca.
echo "blacklist sr_mod" >> /etc/modprobe.d/blacklist-sr_mod.conf
Aceasta va pune pe lista neagră sr_mod modul kernel care ar trebui să facă inutilizabile unitățile optice CD/DVD/Bluray.
Nu am testat veridicitatea acestei soluții, deoarece nu am dispozitive cu medii optice atașate, chiar și dispozitive externe de citire/scriere de suporturi optice.
Sursa pentru răspunsul pe lista neagră a nucleului: https://serverfault.com/a/448725/74939
