內(nèi)網(wǎng)機器usb口控制權(quán)限請教

quaine

應(yīng)用場景：

• 單位內(nèi)部局域網(wǎng)有若干臺機器組成，其中大部分機器的USB口以及被物理遮蔽，但有一兩臺機器的usb口應(yīng)為要用硬件調(diào)試設(shè)備，所以無法關(guān)閉。
• 局域網(wǎng)的機器由xp的pc和centos4.8的服務(wù)器組成
• 所有機器都要登陸服務(wù)器工作，包括開了usb口的那兩臺pc
• 不定時的需要從服務(wù)器上下載個別文件到開放usb口的pc，用于在硬件調(diào)試設(shè)備上調(diào)試
  

問題是：
怎么樣才能防止服務(wù)器上的其他數(shù)據(jù)被從這兩臺開放了usb口的pc上下載泄露呢？
如果不考慮規(guī)章制度的話，單純從技術(shù)上貌似很難實現(xiàn)？

補充細節(jié)：
1. 經(jīng)常需要下載的是單個文件，大小在30M左右，而服務(wù)器上的關(guān)鍵數(shù)據(jù)容量在100G左右，幾乎都是不超過10M的小文件；

我想到的一些應(yīng)對辦法：
1. 首先ftp限定特定目錄內(nèi)進行數(shù)據(jù)交換
2. 限定該ftp目錄的容量大小控制在40M下
3. 修改split、甚至tar命令的權(quán)限，限制應(yīng)用

漏洞還在于：
1. 用戶可以上傳自帶的split、tar等命令到服務(wù)器開展應(yīng)用
2. 用戶可以采用螞蟻搬家的方式逐步復制下載關(guān)鍵數(shù)據(jù)

疑問是：
linux一旦開放了rx權(quán)限，是否就已經(jīng)無法阻止打包、復制等操作了？有沒有好的方法可以來規(guī)避這類風險？謝謝！

*其實可以還在開發(fā)usb口的兩個pc上定制一個機箱外殼，隔絕用戶對于usb口的手工動作（即人機分離），即無法在主板usb口上更換設(shè)備、線或者u盤等，另一端也如此，還是物理的限制usb口的使用范圍，但這個不太好推廣，而且定制機箱殼也比較麻煩。

q1208c

刀可以殺雞, 也可以切菜. 如何讓刀只切菜, 不殺雞 ?

Shell_HAT

其實可以還在開發(fā)usb口的兩個pc上定制一個機箱外殼

就用這個方法吧