Как можно отключить доступ к CD-ROM и USB для обычных пользователей в Linux?
В рамках политики безопасности нам необходимо отключить доступ к CD-ROM и USB для обычных пользователей. Только пользователи root должны иметь доступ. Мы в основном используем Ubuntu Linux.
решение1
Проще всего удалить пользователей из групп «cdrom» и «plugdev» в /etc/group.
решение2
Нашел решение своей проблемы.
Отключение USB
# mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /root
Отключение CD-ROM
# mv /lib/modules/$(uname -r)/kernel/drivers/cdrom/cdrom.ko /root
http://www.cyberciti.biz/faq/linux-disable-modprobe-loading-of-usb-storage-driver/
http://blog.ask4itsolutions.com/2010/05/07/disable-block-cddvd-rom-linux-rhel/
решение3
Самый простой из найденных мной способов:
sudo chmod 700 /media
Ubuntu монтирует съемные носители в /media, поэтому изменение прав доступа для /media — самый простой способ запретить доступ. Это безопасное и легко обратимое решение.
решение4
Для простой защиты от непродвинутых пользователей занесения в черный список модуля USB-накопителя должно быть достаточно:
modprobe -r usb-storage
echo blacklist usb-storage >> /etc/modprobe.d/blacklist
Проверять:
modprobe usb-storage
if ! lsmod | grep -q usb-storage; then echo Module is blacklisted; fi
Для CD-ROM просто удалите пользователя из группы 'cdrom'. Тогда пользователь не сможет получить к нему доступ (в управлении пользователями есть вкладка "Дополнительно", где можно снять отметку с этой опции).