我正在设置将在内部网络上运行的无盘客户端。我使用密码锁定的 BIOS 禁用了 SATA 和 USB 端口,但是通过使用跳线重置 BIOS 很容易解决此问题。
为了防止数据泄露,我想禁用每个客户端上的 SATA 和 USB 端口,以便没有驱动器可以连接到它们。
如何创建禁用 SATA 和 USB 端口的自定义内核?
答案1
获取当前版本config.gz并将其部署在源代码树中,如下所述在这个答案中。
启动make menuconfig并进入“设备驱动程序”子菜单。确保禁用“串行 ATA 和并行 ATA 驱动程序 (libata)”。向下滚动到“USB 支持”子菜单并确保“USB 海量存储”已禁用。如果需要,您也可以完全禁用 USB。
如果没有其他事情,您就完成了配置并可以构建内核。
不过,根据我对这个问题的评论,如果您在这种环境中严重担心有人可能会打开盒子来重置 BIOS,那么这样的人也会找到解决此问题的方法 - 您无法使用操作系统来保护硬件。如果您确实需要这样做,请断开并移除 USB 插孔。对于 SATA 端口,您可能无能为力,除非您想拆焊它们或进行其他操作。 你需要锁上箱子。 如果有人可以访问主板并不受惩罚地闲逛,那么这种设置就是不安全的。
即使如此,如果机器从网络启动,我想我可以带一台笔记本电脑并交换一些电缆......我猜这取决于您想要完成的任务。