モジュールをブラックリストに登録することで、Linux で USB ストレージを無効にすることができます。
modprobe -r usb-storage
echo blacklist usb-storage >> /etc/modprobe.d/10-usbstorage-blacklist.conf
echo blacklist uas >> /etc/modprobe.d/10-usbstorage-blacklist.conf
ユーザーがマシンに物理的にアクセスでき、暗号化キーを知っている場合は、ソフトウェアに関して何をしても問題ありません。
私の提案は、マシンの物理インターフェイスへのアクセスを制限することです。ボックス内にロックし、ユーザーがキーボード、マウス、および画面を介してのみ操作できるようにします。
また、ユーザーが何かをコピーするのを止めることはできないことに注意してください。最悪の場合?電話を取り、ファイルをふるいにかけながら画面の写真を撮ります。 私の考えでは、データ損失防止はすべきです 偶然止めることを目標とする 信頼できないデバイスへのコピー。
クライアント サーバー アーキテクチャ
これは、ファイルのコピーをはるかに困難にする可能性のある別のアプローチですが、より多くの労力を費やす必要があります。
情報へのアクセスは、安全な場所にあるリモート サーバー上のデータベース (MySQL や PostgreSQL など) に格納されている情報を使用して、クライアント サーバー アーキテクチャ ベースでセットアップできます。
次に、サーバーから情報を取得してユーザーに表示するクライアント アプリケーションを実行するアクセス ステーションを提供します。
したがって、ユーザーが情報に直接アクセスできるようにするのではなく、ユーザーに提供します。
デスクトップ環境の機能を制限したり、USB ポートを無効にしたりすることで、ユーザーがデータをコピーしにくくすることができます。また、アプリで情報をテキストではなく画像として表示することもできますが、これは、使いやすさの観点から適切です。
ただし、これはすべて、データベースにアクセスできるホストがロックダウンされたクライアント ステーションのみであることを前提としています。 ユーザーがアクセス ステーションを改ざんしたり、自分のデバイスをネットワークに接続したりできないように、制御された環境にいることをユーザーに提供します。
これがユース ケースに適したアプローチであるかどうかは、脅威モデルと、これにどれだけの労力を投資する準備ができているかによって異なります。
USB のブロックに加えて (上記の他の回答を参照):
ネットワークを無効にする理由は...
- ... そうしないと、ユーザーはマシンへのリモート アクセスを使用します。 scp経由 または ftp 、マシンからファイルをコピーします。
- ... そうしないと、ログインしているユーザーはネット経由で scp 経由であなたのマシンから他のマシンにファイルを転送できます 、ftp 、サンバ 、http .