Puede deshabilitar el almacenamiento USB en Linux poniendo el módulo en la lista negra.
modprobe -r usb-storage
echo blacklist usb-storage >> /etc/modprobe.d/10-usbstorage-blacklist.conf
echo blacklist uas >> /etc/modprobe.d/10-usbstorage-blacklist.conf
Si sus usuarios tienen acceso físico a la máquina y conocen las claves de cifrado, el juego está listo sin importar lo que haga en cuanto al software.
Mi sugerencia sería limitar el acceso a las interfaces físicas de la máquina. Ciérrelo dentro de una caja y solo permita que los usuarios interactúen a través de un teclado, un mouse y una pantalla.
También debe tener en cuenta que no puede evitar que un usuario copie algo. ¿Peor de los casos? Tome el teléfono y tome fotografías de la pantalla mientras revisan los archivos. La prevención de pérdida de datos debería en mi opinión tener como objetivo detener accidental copiando a dispositivos que no son de confianza.
Arquitectura cliente-servidor
Este es otro enfoque que podría dificultar mucho la copia de archivos, pero requiere invertir más esfuerzo de su parte.
El acceso a la información podría configurarse en una arquitectura cliente-servidor con la información almacenada en una base de datos (como MySQL o PostgreSQL) en un servidor remoto en una ubicación segura.
Luego, proporcione estaciones de acceso que ejecutarían una aplicación de cliente que recupera información del servidor y la muestra a los usuarios.
Entonces, en lugar de permitir que los usuarios accedan a la información directamente, se la proporcionas.
Puede dificultar que los usuarios copien los datos al limitar las capacidades del entorno de escritorio, deshabilitar los puertos USB, etc. Además, su aplicación podría mostrar la información como una imagen en lugar de texto, pero esto depende de si esto es o no. apropiado desde el punto de vista de la usabilidad.
Pero todo esto supone que los únicos hosts que pueden acceder a la base de datos son estaciones cliente bloqueadas que usted proporcionar a los usuarios y que se encuentren en un entorno controlado para que no puedan manipular las estaciones de acceso o conectar sus propios dispositivos a la red.
Si este es o no un buen enfoque para su caso de uso depende de su modelo de amenaza y de cuánto esfuerzo esté dispuesto a invertir en esto.
Además de bloquear USB (ver otras respuestas arriba):
Deshabilite la red, porque...
- ... de lo contrario, el usuario usará el acceso remoto a su máquina, p. a través de scp o ftp y copie los archivos de su máquina.
- ... de lo contrario, los usuarios registrados podrán transferir archivos a través de la red desde su máquina a otra máquina a través de scp , ftp , samba , http .