Может кто-то знает, существует ли софтина для протоколирования действий определенного пользователя. Под Лину, естессно. Из самопала первое, что валится в голову - Дазука + самопальный демон.

В свете всякой паршывой хлодрыщавной кузявой заразы на флешках предприняли политику проверки при автоматическом монтировании.
Монтируется через autofs5 в каталог /media/<devicename>
Тайм-аут прописаный в /etc/auto.staff - 15 секунд.

А вот вспомогательный скрипт, работающий постоянно.

[code=bash]#!/bin/bash
[ -d /tmp/mnt_chk ] || mkdir /tmp/mnt_chk
while true
do
cat /etc/auto.staff| grep -v '#'| sed 's/://'| awk '{print $1" «$3}'|
while read path_1 path_2
do
if [ »${path_1}" != «» -a «${path_2}» != «» ]
then
path_3=`echo ${path_2}| sed 's/\/dev\///'`
if [ -b ${path_2} ]
then
if [ -f /tmp/mnt_chk/${path_3} ]
then
ls /media/${path_1} 1>/dev/null 2>/dev/null
else
rez_ck=`/usr/bin/clamscan -r --remove --max-dir-recursion=2 /media/${path_1}| grep FOUND`
if [ «${rez_ck}» != «» ]
then
echo `date`  — ${rez_ck} >> /tmp/mnt_chk/log
fi
touch /tmp/mnt_chk/${path_3}
fi
else
[ -f /tmp/mnt_chk/${path_3} ] && rm -f /tmp/mnt_chk/${path_3}
fi
fi
done
sleep 22
done
[/code]

А, что если, в качестве рабочей среды использовать Progman из комплекта поставки Windows for Workgroups 3.11
?

Это же олдскул, черт побери!

Я нашел хорошый способ поддержки антивирусной безопасности на уровне.
Используем Дебиан Линукс.
Для защиты от злонамеренно принесенных разрушителей работы поставили антивирус vsafe с фронт-эндом MWAVTSR. Они запускаются через стартующие скрипты WDM.
Единственная сложность это некоторые проблемы в обновлении и добавлении новой детекции.
И для работы такой связкинадо выставлять mmap_min_addr в ноль, иначе вайн неидет.

Прилогаю скриншоты рабочей машинки.
http://img410.imageshack.us/img410/1401/pic003q.jpg
http://img171.imageshack.us/img171/2628/pic004c.jpg
http://img686.imageshack.us/img686/898/pic005.jpg