Белый список флешек и принтеров

Вижу три проблемы:

1) Флешки часто не имеют серийного номера. То есть все флешки одной модели одного производителя будут выглядеть абсолютно идентично с точки зрения ОС.

2) Ну запретил ты левые флешки. Что мешает официальную флешку вставить в левый компьютер и залить/слить с неё данные?

3) Насчёт левого принтера вообще не понятно. Если у тебя люди могут пронести на работу принтер, то и фотоаппарат тем более. А между тем, если руки не из одного места растут и фотоаппарат нормальный (сейчас уже и телефоны подоспели и снимают тоже неплохо), то фотография экрана будет мало отличаться от отсканированной бумаги в плане пригодности для OCR и уж тем более читабельности.

Тут только полный запрет флешек (принтеры запрещать смысла нет из-за пункта 3), либо физически отключить USB-порты. И/или досмотр сотрудников с металлоискателями, чтобы они не могли пронести на работу левые флешки и принтеры.

Но при этом остальные usb устройства ты хочешь, чтобы работали?

И зачем их не видеть? Можно не давать не руту их монтировать.

Это бредово, ничто не мешает сделать из любой «черной» флешки «белую», к тому же в чипах уязвимостей дохера. Проще уже selinux вменяемо настроить.

флэшку можно перепрошить на идетификаторы из белого списка, или вовсе изготовить левое usb устройство на копеечном микроконтроллере. обосрамс

Такие требования руководства. Учтенные носители из «белого» списка вынести с территории предприятия невозможно. Серийный номер есть у каждой флешки и принтера. Даже устройства одной модели имеют разные номера. В Винде сторонними программами типа SecretNet и Zlock данный вопрос решался в 5 минут. Сейчас все компы переводят на Линукс и необходимо выполнить туже задачу.

Насчет возможности перепрошивки устройств под серийные номера «белого» списка мне известно. Сам так не раз делал. Но требования по настройке есть и от них никуда не деться. Если кто может дать реальный совет буду очень благодарен.

запускай свой софт под вайном

правда он скорее всего не булед работаь

Что такое selinux примерно понимаю, но никогда его не использовал. Как его можно настроить?

Само собой он работать не будет. Он же использует реестр винды.

https://ru.wikipedia.org/wiki/Udev

токены + данные в своем облаке. вынести ничего нельзя, потерять нельзя или очень сложно.

хотя это же распилгосконтора, так что им положено падать лицом в грязь

Astra Linux Special Edition — это еще шо за плесень подноготная?

не имеющая аналогов

http://www.astra-linux.com/products/new/193-new1-4.html

Еще раз уточняю поставленную передо мной задачу. Необходимо, чтобы ПЭВМ видел только учтенные официальные usb-устройства. На все прочее он не должен никак реагировать.

Тут разговор не про распил госденег, а про выполнение указаний и закрытие возможных каналов утечки информации. Если можешь что-либо действенное посоветовать, буду премного благодарен.

Напишите правила для udev (man 7 udev), которые сверяют ENV{ID_SERIAL} с белым списком и делают echo 1 > /sys/bus/usb/devices/.../remove, если совпадений не нашлось.

В понедельник на работе попробую. Можно поподробнее описать мои действия?

При помощи udevadm info -q all -p <путь относительно /sys> определяете все необходимые параметры устройств, затем создаёте файл вида /etc/udev/rules.d/99-remove-unauthorized-usb.rules:

ACTION!="add", GOTO="dont_remove_usb"
ENV{ID_BUS}!="usb", GOTO="dont_remove_usb"
ENV{ID_SERIAL}=="...", GOTO="dont_remove_usb"
ENV{ID_SERIAL}=="...", GOTO="dont_remove_usb"
ENV{ID_SERIAL}=="...", GOTO="dont_remove_usb"
...
ENV{ID_BUS}=="usb", RUN+="/usr/local/sbin/remove-usb.sh %E{DEVPATH}" # это правило выполнится, если не выполнится ни один из GOTO выше
LABEL="dont_remove_usb" # здесь окажутся доверенные и не-usb устройства

Вроде бы, должно работать.

ПЭВМ — шо это?

это они так заморские аппараты называют

Персональная электронно-вычислительная машина

Это условное наименование. А компы российского производства. Фирмы Kraftway.

Завтра попробую так сделать. Огромное спасибо.

Есть глупая идея - накатай скрипт и поставь в правила udev. Суть скрипта - на флешке создается рандомный байт-ряд в пару килобайт в определенном месте (не на партиции). Далее делаешь таблицу доверенных флешек где-нибудь и заставляешь скрипт ее проверять.

Если прав читать/писать девайс напрямую ни у кого нет и своими ноутами с такими праваи никто не пользует - норм.

Можно просто исключить флешки вообще, хранить данные в своем 'облаке', аутентификация по токенам.