Все зависит от того, что вы хотите заблокировать. Не существует готовых инструментов для настройки этого, и большинство способов ограничить это будут общесистемными ограничениями. Я поделюсь некоторой имеющейся у меня информацией о том, как заблокировать определенные вещи.
USB-накопители: блокировка всех USB-накопителей
Одна из хаотических вещей, с которыми я столкнулся с временной вещью на моей полной занятости, заключалась в том, что мы хотели отключить USB-накопители, за исключением нескольких устройств в системе. Адаптируя это решение, мы можем сделать так, чтобы USB-устройства хранения данных не работали, не монтировались и не отображались. Это также отвяжет вещь с sysfs, но также теоретически позволит использовать устройства, не являющиеся устройствами хранения (клавиатуры, мыши). На данный момент у меня нет дополнительной системы для проверки этих правил, и они были написаны примерно в эпоху 12.04, поэтому они могут больше не работать должным образом.
Создавать /etc/udev/rules.d/100-unbind-usb-storage.rules
Добавьте в новый файл следующие правила:
ЯДРА=="[1-9]*-[0-9]*", ПОДСИСТЕМА=="блок", ENV{ID_BUS}=="usb", ENV{IF_STORAGE_REMOVE_ME}="1"
ENV{IF_STORAGE_REMOVE_ME}=="1", RUN+="/bin/sh -c 'echo -n %k >/sys%p/driver/unbind'"
Перезагрузите систему, чтобы эти правила вступили в силу. Каждый раз, когда к вашему компьютеру подключено USB-устройство, которое является «блочным» устройством (хранилищем), оно запускает правило отмены привязки, которое в основном отключает USB-устройство. Любой, у кого нет суперпользователя, не сможет «повторно привязать» устройство, даже если он отключит и снова подключит устройство.
Правило блокировки USB-накопителей основано на ответах на мой шестилетний вопрос о подходе UDEV к блокировке USB-устройств. Правила udev разрешают использование USB-накопителей только одного производителя и модели, но не других.
CD/оптический носитель: запретить использование диска (т.е. удалить/отключить драйвер)
Если вашим пользователям не назначен суперпользователь в системе, вы можете просто удалить модуль ядра для подключенного SCSI (SATA, если вы хотите быть более современным) соединения для старший устройства, указанные в списке оптических носителей.
echo "черный список sr_mod" >> /etc/modprobe.d/blacklist-sr_mod.conf
Это внесет в черный список sr_mod модуль ядра, который должен сделать оптические приводы CD/DVD/Bluray непригодными для использования.
Я не проверял достоверность этого решения, поскольку у меня нет устройств с подключенными оптическими носителями, даже внешних устройств чтения/записи оптических носителей.
Источник ответа из черного списка ядра: https://serverfault.com/a/448725/74939
