私たちの会社のすべてのファイルを含むネットワーク共有にアクセスできるいくつかのワークステーションがあります。ユーザーが使用する必要があるため、これは正しいです。
しかし、私たちの上司は、誰かが(おそらく辞任した後)USBドライブを接続してこれらのファイルを家に持ち込むことができると心配しています。 USBドライブを禁止できないため(日常業務に必要な場合があります)、セキュリティを強化し、データ盗難をより困難にするために取ることができるいくつかの措置はありますか?
私はこのワークステーションの管理者であり、ユーザーにはroot権限がありません(明らかに)。
SELinux / AppArmorは特定のディレクトリから別のディレクトリへのコピーを無効にできますか?
答え1
それは非常に困難で技術的な決定ではなく、政策決定に近いようです。 「ある場所から別の場所にデータをインポートする」ソリューションは非常に多いです。コピーを無効にできますが、どのように回避できますかcat $file > /usb/$file?
徹底したことは不可能です。
私はできます。提案したがって、ワークステーションのファイルアクセスを無効にし、サーバーへのリモートログインを要求します。ユーザーは直接物理アクセスを持たず、通過できる項目を制限しますsudo。いいえ sudo suむしろ「十分に安全」と考えられる一連の命令です。
あるいは、リムーバブル記憶装置に対してより厳しい規制を採用したり、適切な監査証跡およびアクセスチェックなしでリムーバブル記憶装置を建物にインポートしたりすることは、懲戒違反となります。
しかし、基本的にこれは技術の問題ではなく、人間の安全上の問題です。信頼できない人を解雇するのは始めるのに最適な場所です!
答え2
いいえ、できません。ファイルを読み込めばコピーできます。
編集する:
私はあなたが何かをすることができるかもしれないと思っていました。これらのファイルがいくつかのプログラムからのみアクセスできる場合(CADファイルについて言及した場合)、プログラムの所有者を新しいユーザー(CADCADなど)に設定し、CADuserのみを読み取ることができるように、これらのファイルのすべての権限を変更できます。 。 CADプログラムで固定ビットを設定すると、プログラムを実行しているユーザーがプログラムの実行中にそのユーザーになり、ファイルにアクセスして使用できます。ただし、プログラムの実行を停止するとファイルにアクセスできなくなります。テストしませんでしたが、ファイルを別の場所に保存すると、権限がプログラムユーザーの権限になり、プログラムの外部からアクセスできないため、コピー操作が複雑になると確信しています。 USBに保存してください。