우리 회사의 모든 파일이 포함된 네트워크 공유에 액세스할 수 있는 몇 대의 워크스테이션이 있습니다. 사용자가 사용해야 할 수도 있으므로 이는 맞습니다.
그러나 우리 상사는 누군가(아마도 사임한 후) USB 드라이브를 연결하여 이러한 파일을 집으로 가져갈 수도 있다고 우려합니다. USB 드라이브를 금지할 수 없으므로(일상 업무에 필요할 수 있음) 보안을 강화하고 데이터 도난을 더 어렵게 만들기 위해 취할 수 있는 몇 가지 조치가 있습니까?
나는 이 워크스테이션의 관리자이고 사용자에게는 루트 권한이 없습니다(분명히).
SELinux/AppArmor가 특정 디렉터리에서 다른 디렉터리로의 복사를 비활성화할 수 있을까요?
답변1
그것은 매우 어렵고 기술적인 결정이라기보다는 정책적인 결정에 더 가까운 것 같습니다. "한 곳에서 다른 곳으로 데이터를 가져오는" 솔루션은 매우 많습니다. 복사를 비활성화할 수 있지만 어떻게 방지합니까 cat $file > /usb/$file?
철저한 것은 불가능합니다.
저 할 수 있어요제안따라서 워크스테이션의 파일 액세스를 비활성화하고 서버에 대한 원격 로그인을 요구합니다. 사용자는 직접적인 물리적 액세스가 없으며 통과할 수 있는 항목을 제한합니다 sudo.아니요 sudo su오히려 "충분히 안전하다"고 간주되는 명령 집합입니다.
또는 이동식 저장 장치에 대해 더 엄격한 규정을 채택하거나 적절한 감사 추적 및 출입 검사 없이 이동식 저장 장치를 건물에 가져오는 것은 징계 위반이 됩니다.
그러나 근본적으로 이는 기술의 문제가 아니라 인간의 안전 문제입니다. 신뢰하지 않는 사람을 해고하는 것은 시작하기 좋은 곳입니다!
답변2
아니 당신은 할 수 없습니다. 파일을 읽을 수 있으면 복사할 수 있습니다.
편집하다:
나는 당신이 뭔가를 할 수 있을지도 모른다고 생각하고 있었어요. 이러한 파일이 몇 가지 프로그램에서만 액세스할 수 있는 경우(CAD 파일에 대해 언급한 경우) 프로그램 소유자를 새 사용자(예: CADuser)로 설정하고 CADuser만 읽을 수 있도록 이러한 모든 파일에 대한 권한을 변경할 수 있습니다. . CAD 프로그램에서 고정 비트를 설정하면 프로그램을 실행하는 사용자가 프로그램이 실행되는 동안 해당 사용자가 되어 파일에 액세스하고 사용할 수 있습니다. 그러나 프로그램 실행을 중지하면 파일에 액세스할 수 없습니다. 테스트하지는 않았지만 파일을 다른 위치에 저장하면 권한이 프로그램 사용자의 권한이 되어 프로그램 외부에서 액세스할 수 없으므로 복사 작업이 복잡해질 것이라고 확신합니다. USB에 저장하세요.