Запретить доступ к usb носителям [решено]

[Dfg]

Разобрался, hal кладет прибор на базовую подсистему безопасности линупса, что в общемто хренова. Вот такие они нововведения.
Плюс некорретно прописываются права на подключаемые блочные устройства.

Автомонтирование hal прибил?

Создай в /etc/udev/rules.d файлик 99-flash.rules со следующим содержанием.

BUS=="usb", SUBSYSTEM=="block", KERNEL=="sd*", ACTION=="add", GROUP="plugdev", MODE="660"

Это отключит ручное монтирование, для всех кто не в plugdev.

[lemonDD]

Разобрался, hal кладет прибор на базовую подсистему безопасности линупса, что в общемто хренова. Вот такие они нововведения.
Плюс некорретно прописываются права на подключаемые блочные устройства.

Автомонтирование hal прибил?

Создай в /etc/udev/rules.d файлик 99-flash.rules со следующим содержанием.

BUS=="usb", SUBSYSTEM=="block", KERNEL=="sd*", ACTION=="add", GROUP="plugdev", MODE="660"

Это отключит ручное монтирование, для всех кто не в plugdev.

не работает автоматически не монтируется, но руками монтируется.
в порядке эксперимента прописывал даже
BUS=="usb", SUBSYSTEM=="block", KERNEL=="sdb0", ACTION=="add", GROUP="plugdev", MODE="660"
А система точно обращается к этому файлу? может где еще прописать надо?

[Dfg]

1. Воткни флешку, посмотри какое устройство появится в /dev это sd* (sdb0 у тебя?), теперь посмотри в какой группе оказалось устройство  и права доступа.
 Группа должна быть "plugdev", права 660 - чтение,запись для владельца и группы, отлуп для остальных.

cat /dev/sd* должен давать отлуп.

У тебя какая там группа?

2. Дай список файлов /etc/udev/rules.d

[lemonDD]

Я прописывал
BUS=="usb", SUBSYSTEM=="block", KERNEL=="sdb0", ACTION=="add", GROUP="plugdev", MODE="660"
...
BUS=="usb", SUBSYSTEM=="block", KERNEL=="sdb6", ACTION=="add", GROUP="plugdev", MODE="660"
У файла sdb  группа disk
у sdb1 группа plugdev остальные доступ нет
в etc/udev/rules.d
70-persistent-cd.rules 70-persistent-net.rules  99-flash.rules READMIN

[Dfg]

Права применяются.
sdb тоже должен быть в plugdev.

Вариант KERNEL=="sd*" накатывает права? Попробуй.

KERNEL="sd[a-z][0-9]" - альтернативный вариант написания.

[lemonDD]

да. sdb тожее стал в группе plugdev
но флешка продолжает открываться
Я сам понимаю что не может этого быть, тк прав нету. но факт.

Убрал админа из группы plugdev, и у админа тож флешка открывается. Может ли система "запоминать" устройства?
Может кто знает какой демон ответственен за монтирование флешнакопителей?
mount не подходит. я с помощью него закрыл доступ к сидирому и лопу, но флешки работают.

[I23]

Стоит задача ограничить доступ пользователей к съемным usb номителям (flash, hdd, картридеры, телефоны) при этом не отключая поддержку usb портов полностью тк в сети используются usb принтеры.
Собственно есть пользователи:
admin-создавался при установке ОС, права по максимуму
user1-создавал с профилем desktop user, в привилегиях - активно только использовать видео устройства, настраивать принтеры, публиковать папки в сети
user2-создавался с профилем unprivileged, в привилегиях - активно использовать видео устройства, настраивать принтеры, публиковать папки в сети
Поправил у пользователей gconf-editor, просто не запускает авторан.

Задача в том чтобы user1 и user2 не могли вообще подключать usb флешки.
НО, по непонятной мне причине флешки продолжают монтироваться.

Ось Ubuntu 9.10 russian remix, она же бывшая runtu

Пересобрать ядро только с поддержкой usb-принтеров, или просто убираешь из загрузки ненужные модули(спроси у гуру, ибо я не силён в модульных ядрах)

[K_E_S_T]

может быть написать скрипт который будет раз в N секунд проверять не примонтировал ли пользователь чего лишнего и отключать это?

[Dfg]

Дай вывод команды ps aux, либо сюда, либо в личку.
И чем конкретно монтируешь напомни.
Соберу такое же системное окружение, попробую.

[lemonDD]

Я бы и сам хотел знать чем это монтируется)
Я уже описывал вариант который также бы помог если графически перекрыть пользователю допуск в computer:\

Глянуть бы на скриптик который бы заработал, если не трудно напишите.


Еще вопрос:

Внес в fstab строку вида
/dev/sdb1/   /media/flash0 auto rw,plugdev,noauto,exec,utf8 0   0
Флешки не открываются.  Permission denied. Хотя созданной папке flash0 дал права группы plugdev
По идее можно оставить этот вариант, хотя он достаточно дуболомен.
Можно ли в fstab прописать как нибудь sd[a-z][0-9] или sd* или както по другому? Или необходимо прописывать какждое как sdb1, sdb2 и тд?

/dev/sdb* и /dev/sdb[0-9] не подошли
Пользователь решил продолжить мысль 25 Ноября 2009, 10:43:28:Пока единственное работающее решение это добавить в fstab строки вида
/dev/sdb1/   /media/flash0 auto rw,plugdev,noauto,exec,utf8 0   0
/dev/sdс1/   /media/flash0 auto rw,plugdev,noauto,exec,utf8 0   0
и тд
может кто нибудь предоложить более подходящее решение или оптимизировать вариант предложенный мной?

[Dfg]

Мда.
Загрузил Ubuntu 9.10 в виртуалку, стал копаться.

Прописал запрет автомонтирования в hal, флешки упорно монтируются (?).
Стал искать gnome-volume-manager, а нету такого (?).
Грохнул hald  к чертям. Флешки монтируются.

И тут после вдумчивого изучения текущих процессов наконец дозрел.

Теперь hald с приблудами объявлен устаревшим, балом рулит (сюрприз) DeviceKit, а именно процесс devkit-disk-daemon. Все ранее расписанные рецептики идут в корзину

Грохаем devkit-disk-daemon, монтирование наконец вырубается.
Пока ненашел тутора как рулить Devkit-ом, в поиске. Правда по последним новостям и Devkit будет RIP, тк станет подсистемой udev. Так что незнаю есть ли смысл лезть в дебри текущей реализации девкита. (да здравствует бешенно развивающийся линупс )

lemonDD не забуть еще с уюзеров снять права на sudo, а то тупо вручную подмонтируют все что надо.

[lemonDD]

А можно ли его грохнуть по аналогии с mount?

Я доступ к CD и floppy перекрыл применив  права
chmod 700 /bin/mount

Если что можно руками от sudo примонтировать

Если не трудно дай пожалуйста команду как аналогично положить DeviceKit

[Dfg]

Ну для начала посмотри его PID, и грохни вручную kill-ом, проблемма решилась? Ищи в /etc/rc*.d где он там запускается.

[lemonDD]

Убить процесс не вариант, а тем более навсегда не вариант. вот применить бы к нему права, чтоб он запускался, но под пользователем не выполнялся 
Это я и спрашиваю.

[Dfg]

Ну так выгрузка декита помогла?
Как им рулить ищи в инете, я не нашел.)