Anda dapat menonaktifkan penyimpanan USB di Linux dengan memasukkan modul ke dalam daftar hitam.
modprobe -r usb-storage
echo blacklist usb-storage >> /etc/modprobe.d/10-usbstorage-blacklist.conf
echo blacklist uas >> /etc/modprobe.d/10-usbstorage-blacklist.conf
Jika pengguna Anda memiliki akses fisik ke mesin, dan mengetahui kunci enkripsi, permainan akan selesai, apa pun yang Anda lakukan dari segi perangkat lunak.
Saran saya adalah membatasi akses ke antarmuka fisik mesin. Kunci di dalam kotak, dan hanya izinkan pengguna berinteraksi melalui keyboard, mouse, dan layar.
Anda juga harus mencatat bahwa Anda tidak dapat menghentikan pengguna menyalin sesuatu. Kasus terburuk? Angkat telepon, dan ambil gambar layar saat mereka menyaring file. Pencegahan kehilangan data harus menurut saya ditargetkan untuk menghentikan kebetulan menyalin ke perangkat yang tidak dipercaya.
Arsitektur klien-server
Ini adalah pendekatan lain yang dapat mempersulit penyalinan file, tetapi memerlukan upaya yang lebih besar dari pihak Anda.
Akses ke informasi dapat diatur berdasarkan arsitektur klien-server dengan informasi yang disimpan dalam database (seperti MySQL atau PostgreSQL) di server jarak jauh di lokasi yang aman.
Kemudian, sediakan stasiun akses yang akan menjalankan aplikasi klien yang mengambil informasi dari server dan menampilkannya kepada pengguna.
Jadi, alih-alih membiarkan pengguna mengakses informasi secara langsung, Anda memberikannya kepada mereka.
Anda dapat mempersulit pengguna untuk menyalin data dengan membatasi kemampuan lingkungan desktop, menonaktifkan port USB, dll. Selain itu, aplikasi Anda dapat menampilkan informasi sebagai gambar dan bukan teks, tetapi ini bergantung pada apakah ini benar atau tidak. sesuai dari aspek kegunaan.
Namun semua ini mengasumsikan bahwa satu-satunya host yang dapat mengakses database adalah stasiun klien yang terkunci yang Anda disediakan untuk pengguna dan bahwa mereka berada dalam lingkungan yang terkontrol sehingga mereka tidak dapat mengutak-atik stasiun akses atau menyambungkan perangkat mereka sendiri ke jaringan.
Baik atau tidaknya pendekatan ini untuk kasus penggunaan Anda bergantung pada model ancaman Anda, dan seberapa besar upaya yang siap Anda investasikan untuk ini.
Selain memblokir USB (lihat jawaban lain di atas):
Nonaktifkan jaringan, karena...
- ... jika tidak, pengguna akan menggunakan akses jarak jauh ke mesin Anda, mis. melalui skp atau ftp , dan salin file dari komputer Anda.
- ... jika tidak, pengguna yang masuk akan dapat mentransfer file melalui net dari mesin Anda ke mesin lain melalui scp , ftp , samba , http .