> Сколько понаписали и только один человек догадался написать простое решение. Как вариант
> можно вообще составить список основных модулей ядра, а потом
> sysctl -w kernel.modules_disabled=1 В authorized в некотором смысле более жёсткое разграничение - можно запретить порт для конкретного подключения, даже если драйвер уже загружен. Т.е. если известно, что драйвер бажный, но у вас есть доверенная железка, то можно вручную её разрешить. Но когда втыкается недоверенная железяка с тем же ассоциированным драйвером, если в sysfs ничего не писать, то компрометации не будет. В отличие от modules_disabled, где все устройства с тем же ID равны.
> p.s.
> У меня почему-то нет Documentation/usb/authorization.txt
Если у кого-то ещё нет :)
http://www.mjmwired.net/kernel/Documentation/usb/authorizati...