Encontrei uma solução para o meu problema.
Desativando USB
# mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /root
Desativando o CDROM
# mv /lib/modules/$(uname -r)/kernel/drivers/cdrom/cdrom.ko /root
Como o acesso ao CD-ROM e USB pode ser desativado para usuários normais no Linux?
Como parte da política de segurança, precisamos desativar o acesso a CD-ROM e USB para usuários normais. Somente usuários root devem ter acesso. Estamos usando principalmente o Ubuntu Linux.
Mais fácil é remover usuários dos grupos 'cdrom' e 'plugdev' em / etc / group.
O mais fácil que encontrei é simplesmente:
sudo chmod 700 /media
O Ubuntu monta mídia removível em / media, portanto, alterar permissões para / media é a maneira mais fácil de impedir o acesso. Essa é uma solução segura e facilmente reversível.
Que tal tentar
chkconfig haldaemon off
Isso impedirá que um usuário normal veja dispositivos de mídia removível. Apenas o root poderá acessar mídias removíveis.
Para uma proteção simples contra usuários não avançados, a lista negra do módulo usb-storage deve ser suficiente:
modprobe -r usb-storage
echo blacklist usb-storage >> /etc/modprobe.d/blacklist
Para verificar:
modprobe usb-storage
if ! lsmod | grep -q usb-storage; then echo Module is blacklisted; fi
Para o CD-ROM, basta remover o usuário do grupo 'cdrom'. Em seguida, o usuário não poderá acessá-lo (no gerenciamento de usuários, há uma guia avançada na qual você pode desmarcar essa opção).
Meu colega de trabalho e eu estávamos tentando isso no Ubuntu 10.04 64 bit Desktop.
Tivemos um usuário administrador e um usuário de área de trabalho. Nós tentamos remover o usuário desktop do cdrom e do plugdev em / etc / group, mas isso não funcionou.
Em seguida, criamos o administrador / mídia. Nós então chmodded / media para gostar:
chmod 700 / media
Isso parece funcionar. Além disso, não estou preocupado com a montagem manual do usuário de desktop porque ele não tem privilégios.
Isso faz sentido? Vocês veem alguma fraqueza?
Costumava ser que nos sistemas * nix você faria isso alterando as permissões de leitura / gravação nos nós de dispositivos. Eu suspeito que você precisará procurar algo mais envolvido no Ubuntu - talvez grupos de usuários que concedam acesso a classes de dispositivos, desabilitando serviços de hardware como o hal, ou talvez alterando o sistema de montagem automática para que as coisas sejam montadas apenas para usuários privilegiados. O USB será mais complicado que o CDROM, porque eu suponho que você não queira bloquear o barramento inteiro. Você quer que os mouses usb funcionem, mas os discos flash devem ser bloqueados corretamente?