Как мне отключить чтение с USB-накопителей, но по-прежнему иметь возможность писать на них? Причина в том, что это общедоступный компьютер с доступом в Интернет (более или менее киоск), но мы хотим, чтобы пользователь мог сохранять файлы на USB-накопитель, но не имел возможности сохранять файлы на машину или выполнять файлы с USB-накопителя.
Спасибо
Если вы не управляете USB-накопителями, только запись не будет работать. Вы столкнетесь со всевозможными проблемами поддержки и ворчаниями со стороны пользователей.
На вашем месте я бы настроил киоски так, чтобы они работали как тупые LTSP-терминалы, и запускал бы пользователей с полностью чистой средой при каждом сеансе. Есть много способов сделать это ... В моем колледже в 1994 году была лаборатория XTerminal, работающая на каком-то древнем Unix.
http://www.tuxfiles.org/linuxhelp/fstab.html
exec и noexec exec позволяет вам выполнять двоичные файлы, находящиеся в этом разделе, тогда как noexec не позволяет вам этого делать. noexec может быть полезен для раздела, содержащего двоичные файлы, которые вы не хотите запускать в вашей системе или которые даже не могут быть выполнены в вашей системе. Это может быть раздел Windows.
На вашем месте я бы оставил USB-накопитель для чтения и записи (поскольку это имеет большой смысл), но я бы установил разделы вашей машины только для чтения. Если вы достаточно заблокируете X (например, запретите кому-либо открывать оболочку через xterm), то это должно быть проще простого.
Некоторые примечания: монтировать / var как ramdisk? используйте noexec для предотвращения запуска двоичных файлов
Возможно, будет проще запустить браузер с помощью chroot, установив USB-накопитель под chrooted jail.