我正在创建一个可启动的 Linux CD,以便向可在多台 PC 上运行的客户分发沙盒环境。
此环境的一个要求是,我们不希望用户对计算机中的底层硬盘有任何访问权限,以防止任何意外和/或恶意损坏。我可以使用一些 udev 自定义规则来阻止磁盘自动挂载,但有没有什么方法可以阻止/阻止用户在启动后手动挂载硬盘。
答案1
通常,挂载需要 root 权限。只要他们没有被授予 visudo 访问权限,也不属于具有运行权限的组mount,就没问题。某些系统会“自动”挂载驱动器。确保您尝试分发的驱动器不会这样做(或者您对其进行修改和“自定义”,使其不会这样做)。
测试这一点的一个简单方法是ls -l在挂载目录中发出命令并检查权限。如果他们没有权限,你就没问题了。如果他们有权限,那么你需要编辑一些组的权限。
答案2
在 Live CD 上自定义内核,取出 pata、sata 和 scsi 控制器的驱动程序。如果没有驱动程序,无论是否拥有 root 权限,都无法安装它。如果您非常谨慎,还可以编译没有加载模块功能的内核,这样即使他们在其他地方为磁盘控制器构建了模块,他们也无法在启动后加载它。或者根本不使用模块,只需将所有内容编译到内核中。