Запретить доступ к usb носителям [решено]

[lemonDD]

/usr/lib/devicekit-power/devkit-power-daemon
/usr/lib/devicekit-disks/devkit-disks-daemon

kill'ом убил эти и еще один процесс devkit-disks-daemon
А флешка монтируются

[SGB]

Проверил на себе

нажимаешь alt+f2
вводишь команду
gksu gedit /usr/share/polkit-1/actions/org.freedesktop.devicekit.disks.policy

меняешь строки
<allow_any>*****</allow_any>
<allow_inactive>*****</allow_inactive>
на
<allow_any>no</allow_any>
<allow_inactive>no</allow_inactive>

строку
<allow_active>*****</allow_active>
на один из вариантов

-- Запретить монтирование
<allow_active>no</allow_active>
-- Запрос админ пароля
<allow_active>auth_admin_keep</allow_active>
-- Пока не понял
<allow_active>auth_admin</allow_active>



а вообще стоит все-таки залезть на
http://hal.freedesktop.org/docs/polkit/

Пользователь решил продолжить мысль 25 Ноября 2009, 03:51:00:А вот и значения которые может принимать

 Each of the allow_any, allow_inactive  and allow_active elements can contain the following values:
no - Not authorized.
yes - Authorized.
auth_self - Authentication by the owner of the session that the client originates from is required.
auth_admin - Authentication by an administrative user is required.
auth_self_keep - Like auth_self but the authorization is kept for a brief period.
auth_admin_keep - Like auth_admin but the authorization is kept for a brief period.

source : http://hal.freedesktop.org/docs/polkit/polkit.8.html
Пользователь решил продолжить мысль 25 Ноября 2009, 05:56:03:Для более тонкой настройки читайте
http://hal.freedesktop.org/docs/DeviceKit-disks/index.html

Пользователь решил продолжить мысль 25 Ноября 2009, 07:59:31:Ну и на последок.
1. прочти мой пост с 1-й страницы.
2. Ох не люблю я так делать: рекомендую
http://lmgtfy.com/?hl=ru&client=firefox-a&rls=com.ubuntu%3Aru%3Aunofficial&newwindow=1&q=devicekit.disks.filesystem-mount+site%3Ahttp%3A%2F%2Ffreedesktop.org%2F&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=&aq=f&oq=
Пользователь решил продолжить мысль 25 Ноября 2009, 10:09:40:Вот еще довесок, с сайта gnome.org

3.8. PolicyKit

GDM may be configured to use PolicyKit to allow the system administrator to control whether the login screen should provide the shutdown and restart buttons on the greeter screen.

These buttons are controlled by the org.freedesktop.consolekit.system.stop-multiple-users and org.freedesktop.consolekit.system.restart-multiple-users actions respectively. Policy for these actions can be set up using the polkit-gnome-authorization tool, or the polkit-auth command line program.

[
Пользователь решил продолжить мысль 25 Ноября 2009, 12:19:20:Любопытно... есть оказывается баг на лаунчпаде

https://bugs.launchpad.net/ubuntu/+source/policykit-gnome/+bug/421800
Пользователь решил продолжить мысль 26 Ноября 2009, 08:26:24:Получилось?

[Dfg]

Еще вариантик подвернулся, более глобальный. Можно сказать dbus-у держать не пущать к системному процессу юзеров не входящих в определенную группу.

Для девайскита например
/etc/dbus-1/system.d/org.freedesktop.DeviceKit.Disks.conf
Находим там <policy context="default">
И меняем все allow на deny

Затем создаем раздел <policy group="disk">  (plugdev)
И прописываем туда все allow

Получается

<?xml version="1.0" encoding="UTF-8"?> <!-- -*- XML -*- -->

<!DOCTYPE busconfig PUBLIC
 "-//freedesktop//DTD D-BUS Bus Configuration 1.0//EN"
 "http://www.freedesktop.org/standards/dbus/1.0/busconfig.dtd">
<busconfig>
  <!-- Only root can own the service -->
  <policy user="root">
    <allow own="org.freedesktop.DeviceKit.Disks"/>
  </policy>

  <policy context="default">
    <deny send_destination="org.freedesktop.DeviceKit.Disks"/>

    <deny send_destination="org.freedesktop.DeviceKit.Disks"
           send_interface="org.freedesktop.DBus.Properties"/>
    <deny send_destination="org.freedesktop.DeviceKit.Disks"
           send_interface="org.freedesktop.DBus.Introspectable"/>
    <deny send_destination="org.freedesktop.DeviceKit.Disks"
           send_interface="org.freedesktop.DeviceKit.Disks"/>
    <deny send_destination="org.freedesktop.DeviceKit.Disks"
           send_interface="org.freedesktop.DeviceKit.Disks.Device"/>
  </policy>

<policy group="disk">
<allow send_destination="org.freedesktop.DeviceKit.Disks"/>

    <allow send_destination="org.freedesktop.DeviceKit.Disks"
           send_interface="org.freedesktop.DBus.Properties"/>
    <allow send_destination="org.freedesktop.DeviceKit.Disks"
           send_interface="org.freedesktop.DBus.Introspectable"/>
    <allow send_destination="org.freedesktop.DeviceKit.Disks"
           send_interface="org.freedesktop.DeviceKit.Disks"/>
    <allow send_destination="org.freedesktop.DeviceKit.Disks"
           send_interface="org.freedesktop.DeviceKit.Disks.Device"/>
</policy>

</busconfig>


Таким образом можно ограничить сеть, питание, обычный хал и тд

[lemonDD]

<allow_active>auth_admin_keep</allow_active>
Работает!!!!!!!!!!!!! запрашивает под любым пользователем запрос пароля!! ААа!
Спасибо чел что разобрался и дал правильный совет.

[SGB]

Отлично... Тему в [решено][solved] переименуй

[tsifra]

Народ, огроменное спасибо! Уже несколько дней по сети лазаю в поисках решения этой проблемы.
Даже на официальной убунте не нашел вариантов.
Если станет не влом надо статейку написавть в help.ubuntu.com

[graddata]

tsifra
будем рады, если вы нам поможете её написать

[SGB]

статья уже есть.

http://comnote.blogspot.com/2009/11/usb.html

Или нужна более расширенная?