Андрей

https://github.com/wolfcw/libfaketime

У меня стояла похожая задача: кучка етокенов, иногда с одинаковыми vid и pid, расставлены по usb-портам и через usb-хаб в том числе. ОС Linux Debian 8.
Однозначно идентифицировать етокен нельзя, так как отсутствует уникальный серийный номер. Зато серийный номер присутствует у каждого usb root hub, встроенного в мат.плату. Значит можно жёстко определить для каждого root hub его busnum, и если не вытаскивать токены, то devnum у них будет постоянным.

Вытащил все токены и, используя lsusb, узнал, что у меня 8 usb root hub, каждый занимает устройство номер 1:

Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

После этого узнал серийный номер каждого root hub, меняя 005 в диапазоне от 001 до 008:

root@srv:~# udevadm info -a /dev/bus/usb/005/001 | grep serial
    ATTR{serial}=="0000:00:1a.2"

На основе серийников сделал правило для udev (создал файл в /etc/udev/rules.d/ файл 10-usb.rules):

SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.7", ATTR{busnum}="1"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.7", ATTR{busnum}="2"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.0", ATTR{busnum}="3"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.1", ATTR{busnum}="4"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.2", ATTR{busnum}="5"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.0", ATTR{busnum}="6"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.1", ATTR{busnum}="7"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.2", ATTR{busnum}="8"

Произвёл перезагрузку, токены остались на своих местах.
Вам ещё можно дописать правила на создание именных симлинков на основании busnum и devnum каждой камеры.

В современных и обновленных системах это практически ни чем не чревато. Злоумышленник слушать трафик сможет только, если у него есть доступ к локальной сети (man-in-the-middle). Снаружи не послушает. Да и с TLS даже из локалки много не послушает.

RDP в любом случае нужно дополнительно обезопасить:

- отключить запись Гостя и переименовать запись Администратора
- включением NLA (Network Level Authentication, какая-никакая защита от простого DDoS, включается в политиках)
- включением RDP over TLS (включается в политиках)
- ограниченным количеством неверно введенных паролей за определенный период времени (включается в политиках)
- ограничением одновременного количества подключений (политики)
- запретом входа по RDP с пустыми паролями (включается в политиках)
- использованием сложных (длинных) логинов
- использованием сложных паролей для тех аккаунтов, кому разрешен доступ по RDP
- запретом сохранения паролей на стороне клиента (политики)
- использованием шифрования на стороне клиента (также в политиках)
- по возможности ограничить фаерволом доступ с определенных IP либо только из VPN.

Все политики можно найти в gpedit > Конфигурация компьютера (Computer Configuration)\ Административные шаблоны (Administrative Templates)\ Компоненты Windows (Windows Components)\ Службы удаленных рабочих столов (Remote Desktop Services).

Конечно также можно дополнительно обезопасится сторонними сервисами типа ЭЦП, токенами или двухфакторной авторизацией по SMS, но это лишнее. Если нужен слишком защищенный RDP, то обычно его порт наружу просто не выставляют -- используют VPN.