内网机器usb口控制权限请教

quaine

应用场景：

• 单位内部局域网有若干台机器组成，其中大部分机器的USB口以及被物理遮蔽，但有一两台机器的usb口应为要用硬件调试设备，所以无法关闭。
• 局域网的机器由xp的pc和centos4.8的服务器组成
• 所有机器都要登陆服务器工作，包括开了usb口的那两台pc
• 不定时的需要从服务器上下载个别文件到开放usb口的pc，用于在硬件调试设备上调试
  

问题是：
怎么样才能防止服务器上的其他数据被从这两台开放了usb口的pc上下载泄露呢？
如果不考虑规章制度的话，单纯从技术上貌似很难实现？

补充细节：
1. 经常需要下载的是单个文件，大小在30M左右，而服务器上的关键数据容量在100G左右，几乎都是不超过10M的小文件；

我想到的一些应对办法：
1. 首先ftp限定特定目录内进行数据交换
2. 限定该ftp目录的容量大小控制在40M下
3. 修改split、甚至tar命令的权限，限制应用

漏洞还在于：
1. 用户可以上传自带的split、tar等命令到服务器开展应用
2. 用户可以采用蚂蚁搬家的方式逐步复制下载关键数据

疑问是：
linux一旦开放了rx权限，是否就已经无法阻止打包、复制等操作了？有没有好的方法可以来规避这类风险？谢谢！

*其实可以还在开发usb口的两个pc上定制一个机箱外壳，隔绝用户对于usb口的手工动作（即人机分离），即无法在主板usb口上更换设备、线或者u盘等，另一端也如此，还是物理的限制usb口的使用范围，但这个不太好推广，而且定制机箱壳也比较麻烦。

q1208c

刀可以杀鸡, 也可以切菜. 如何让刀只切菜, 不杀鸡 ?

Shell_HAT

其实可以还在开发usb口的两个pc上定制一个机箱外壳

就用这个方法吧