LINUX.ORG.RU
ФорумAdmin

Вопрос контроля использования флешек в организации

 , ,


2

3

Здравствуйте! Решил использовать возможности udev, bash, xmpp для контроля использования флеш носителей в организации.

В результате всё получилось и при подключении флешки не входящей в «белый список» мне приходит сообщение на psi.

Однако возник вопрос размещения файла с белым списком. Понимаю, что размещать его на каждом компьютере сети не рационально - нужно сделать, так, чтобы он размещался на сервере.

Однако пока не понимаю, как это лучше реализовать. Думаю в следующих направлениях:

1) Использовать Samba и файловую шару (минус в том, подключение к ней происходит при входе в учётную запись пользователя, а флешку могут подключить и до входа).

2) Использовать OpenLDAP (пока в нём слабо разбираюсь, читаю примеры, книги, статьи - и разобраться сходу не выходит. Нужна практическая необходимость - может сейчас это она и есть?).

3) Размещение локально на каждом ПК (минус - обновление файла. На мой взгляд самое нерациональное использование возможностей сети).

Буду рад Вашим советам!

Самое простое третье и синхронизация по расписанию с сервером. Ты же не каждую минуту список обновляешь.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от anonymous

timer это вроде называется, а не сервис. Но чем крон не угодил? Да и шинда там на клиентах возможно.

mandala ★★★★★
()

монтирование по nfs, если нет файла со списком, то доступ к usb ограничить

Samamy ★★★
()

А сам контроль как организовал?

Хотелось бы глянуть структуру правил udev, без серийников конечно. Далее можно без bash через syslog-ng следить за тем кто что сует и разбрасывать по разным местам логи.

С обновлением сложность, это в /lib/udev/ruses.d/ - системные файлы которые доступны только для чтения. Сделай символично ссылкой куда-то в var и там хоть scp хоть rsync обновляй дерганием скрипта, после добавления нового USB устройства, с административной машины.

anonymous
()

Это типа usbguard, только вместо защиты рассылается уведомление о том, что поздно пить боржоми?

t184256 ★★★★★
()

man эпоксидка.

Deleted
()

Это прекрасно, в битве за безопасность локальную, открывать дополнительно на компе потенциально небезопасные сетевые порты, фиг знает конечно, но мне кажется так себе вариант.

irton ★★★★★
()
Последнее исправление: irton (всего исправлений: 1)
Ответ на: комментарий от t184256

Нет) Там Astra Linux стоит, и флешки непрописанные и так не заработают. Просто в политике нашей организации не рассматривают, получилось организовать факт НСД или нет. Если не провёл служебную проверку при наличии в журналах записей о простом подключении (без монтирования) накажут тебя.

Sandro331k
() автор топика
Ответ на: комментарий от irton

А что вы имеете ввиду под «небезопасными сетевыми портами». Если jabber, то он и так используется для общения пользователями. В любом случае сеть не имеет выходов в Интернет, поэтому проблем здесь не вижу.

Sandro331k
() автор топика
Ответ на: комментарий от Sandro331k

На Astra Linux встроенные средства защиты,

Скопипасти, если не секрет, их правила для резки USB, без своих серийников. Правила должны лежать в /lib/udev/rules.d/...

У меня защита организована по доке с gentoo wiki плюс правила для энергосохранения с suspend добавил, новые ядра без них не работают.

anonymous
()
Ответ на: комментарий от irton

Каждая флешка оставляет следы в реестре. Самый действенный метод - периодически проверять и наказывать за использование «левых» флешек.

Moskvazovet
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin