Права на монтирование разделов

[tommytnt]

Всем привет. Ситуация: есть ubuntu 16.04, на ней два юзера. Один из них с правами админа, другой без. Юзер без прав админа вставляет флешку, она сама монтируется. Как можно забрать права на это и вообще на монтирование ему?

[maks05]

tommytnt, а надо? Даже "гость" (гостевая учётка, у которой нет никаких прав) и то может монтировать свою флэшку и работать с ней (но не с данными на винте) и сохранять туда потом свои файлы. Так задумано создателями системы - со свой флэшкой работай сколько угодно, а данные на винте не трогай.
В чём причина и необходимость столь жёсткого ограничения второго пользователя?

[tommytnt]

Гость отключается же. Причина - безопасность данных

[maks05]

tommytnt, я не понял. Если вы имели ввиду, что в гостевой учётке заблокированы права, то да, ради безопасности данных. А вот если вы отключили гостевую учётку ради "безопасности данных", то вы явно сделали что-то противоположное необходимому и задуманному создателями системы.

Но вы не ответили на вопрос: зачем отключать монтирование флэшки второму полноценному пользователю (не админу)? И монтирование чего вы ещё хотите ему отключить? И почему?

[tommytnt]

Но вы не ответили на вопрос: зачем отключать монтирование флэшки второму полноценному пользователю (не админу)?

Я, собственно, на это и отвечал: безопасность данных. Системник закрыт, биос и загрузка с флешек на пароле, в интернеты (и сеть) можно ходить только туда, куда можно. Гость отключен. Остается вопрос: как не дать юзеру выгрузить данные не флешку.

И монтирование чего вы ещё хотите ему отключить? И почему?

Я толком не пользовался MTP, но если устройства через него подключаются не монтированием раздела, а как-то иначе, то его тоже стоит прикрыть.

[ARTGALGANO]

tommytnt, подобное провернуть возможно, но есть и побочный эффект. Монтировать сможет тока разрешенный юзер, и то при вводе своего пароля.

[tommytnt]

tommytnt, подобное провернуть возможно, но есть и побочный эффект. Монтировать сможет тока разрешенный юзер, и то при вводе своего пароля.

Буду благодарен за пояснение как провернуть

[ARTGALGANO]

Код: [Выделить]

sudo nano /var/lib/polkit-1/localauthority/50-local.d/10-flash-mounting-policy.pkla

Копируем туда следующее:

Код: [Выделить]

[Disable mounting removable disks to all]
Identity=unix-group:*
Action=org.freedesktop.udisks2.filesystem-mount
ResultAny=no
ResultInactive=no
ResultActive=no




[Enable mounting removable disks to some users]
Identity=unix-user:<user>:
Action=org.freedesktop.udisks2.filesystem-mount
ResultAny=no
ResultInactive=no
ResultActive=auth_self

где <user>:  список разрешенных юзеров через :
сохраняем. Ребут не нужн - политики применяются сразу же

[maks05]

tommytnt, это похоже на паранойю. Да, реализовать в linux можно почти всё что угодно. Однако, по-моему, почти всё, что вам надо, уже реализовано.

1) Любой пользователь может подключить флэшку только к своему домашнему каталогу, и получить доступ с другой учётки к этой флэшке просто так уже не получиться даже у админа (ему придётся делать лишние телодвижения). Но и второй пользователь не получит доступа к чужим флэшкам.
2) Системные каталоги возможно и можно просмотреть, но даже админ не может их изменить не воспользовавшись sudo. Не админу же sudo вообще не доступно.
3) Вы, видимо, не поняли, в чём смысл учётки "гость". А смысл именно в том, что через эту учёту вообще ничего нельзя кардинально поменять. Права  там очень ограничены: доступа к sudo нет, доступа к данным нормальных учёток нет, даже доступ к "общим" данным, доступным "для всех" по-умолчанию перекрыт и для доступа гостя права на эти папки должны быть специально изменены на "777". Даже рабочий стол, история браузера и т.д. при выходе из гостевой учётки обнуляются и возвращаются к дефолтному состоянию. В принципе, "гостевая учётка" - это то, что вам нужно. Не надо её отключать, надо ею пользоваться.

И так, вышеперечисленное уже работает и реализует как минимум половину того, что вам нужно. Теперь о дополнительной настройке.
1.Единственным неудобным моментом раньше было, что второй пользователь мог через Nautulus зайти в домашний каталог первого и просмотреть там файлы, но не мог их открыть и изменить. Этот вопрос решался просто: Nautulus открывался с правами Суперпользователя, и на "Домашний каталог" по правой клавиши мыши в "Свойствах" немного ужесточались права - просмотр (и вообще, любой доступ) ставился только для его владельца.
2. Права на доступ к устройствам, например, сканеру, CD-приводу и т.д. ограничиваются через управление группами. Ищите информацию в нашей wiki. Смысл в том, что каждый пользователь может входить в несколько групп, а каждая группа может содержать несколько пользователей. Права на устройства обычно назначены группам, и если пользователь не входит в эту группу, то и прав на пользование устройством у него нет. Кстати, таким же способом можно и второго пользователя сделать админом, включив его в группы sudo и adm.
3. За доступ в интернете "только туда куда можно" - не скажу, не делал. Но, насколько я понимаю, это делается настройками файрвола. Впрочем, ещё можно посмотреть в сторону расширений браузеров: среди них бывают подобные - класса "родительский доступ". Но эту информацию надо проверять, я тут не заморачивался.

Ну и в главных. Ещё раз, не вижу смысла блокировать второму полноценному (!) пользователю возможность подключения флэшек. Никакой заразы он на компьютер не принесёт (linux - неуловимый Джо), я если и принесёт (о чудо!) - запустить не сможет - нет у него таких прав изначально. Выкачать информацию с помощью live-режима не выйдет, так как вы уже заблокировали доступ к BIOS, да и к настройкам пользователя в системе это не относиться. Остальное решается через права доступа к каталогам других пользователей и через настройку групп. Ну а если вы так не доверяете "второму пользователю", то удалите его учётку и пусть будет "гостем" - уж там-то ему система не даст развернуться.

[AnrDaemon]

sudo nano /var/lib/polkit-1/localauthority/

Не стоит так делать. Все пользовательские изменения вносите в /etc/polkit-1/localauthority/

[Peter_I]

ARTGALGANO, А нельзя ли более ограниченно, через правило udev, чтобы пользователь мог монтировать
только конкретную usb-flash, указанную в правиле?
Как добавку или замену к правилу в /lib/udev/rules.d/60-persistent-storage.rules?

[ARTGALGANO]

Peter_I,  может и возможно,  но тогда надо  id флехи привязать к конкретному юзеру. Как?
ага, есть параметр OWNER=

[Peter_I]

ARTGALGANO, Да, возможно, попробуем, но это ещё большее ограничение.
Я неточно выразился, имелся в виду не пользователь, а данный компьютер.

[tommytnt]

1) Любой пользователь может подключить флэшку только к своему домашнему каталогу, и получить доступ с другой учётки к этой флэшке просто так уже не получиться даже у админа (ему придётся делать лишние телодвижения). Но и второй пользователь не получит доступа к чужим флэшкам.
2) Системные каталоги возможно и можно просмотреть, но даже админ не может их изменить не воспользовавшись sudo. Не админу же sudo вообще не доступно.
3) Вы, видимо, не поняли, в чём смысл учётки "гость". А смысл именно в том, что через эту учёту вообще ничего нельзя кардинально поменять. Права  там очень ограничены: доступа к sudo нет, доступа к данным нормальных учёток нет, даже доступ к "общим" данным, доступным "для всех" по-умолчанию перекрыт и для доступа гостя права на эти папки должны быть специально изменены на "777". Даже рабочий стол, история браузера и т.д. при выходе из гостевой учётки обнуляются и возвращаются к дефолтному состоянию. В принципе, "гостевая учётка" - это то, что вам нужно. Не надо её отключать, надо ею пользоваться.

Вся эта информация мне известна, спасибо конечно, но во-первых у меня пачка скриптов в кронтабе, которые привязаны к имени юзера, во-вторых есть софт, настройки которого хранятся в ~/.config и ~/.local.

Peter_I,  может и возможно,  но тогда надо  id флехи привязать к конкретному юзеру. Как?
ага, есть параметр OWNER=

Вот за это - вообще большое спасибо. Вайтлист для флешек - это круто

[maks05]

Вся эта информация мне известна, спасибо конечно, но во-первых у меня пачка скриптов в кронтабе, которые привязаны к имени юзера, во-вторых есть софт, настройки которого хранятся в ~/.config и ~/.local.

Это прекрасно, что известно. Пожалуйста. Но тем более удивительно, что вы ещё что-то выдумываете. Если всё привязано к юзеру, в том числе и указанные вами папки, то всё нормально и нет проблем.

То есть, по логике:
1) Указанные скрипты и конфиги привязаны к первому пользователю (амину). Предположим, второй пользователь хочет их украсть. Но не может! Изначально. Хоть с флэшкой, хоть с диском, хоть по сети. Не помню, где храняться данные для кронтаб, но если в системных папках, до обычному пользователю туда вход закрыт (уж на копирование точно). Та же ситуация и с домашней папкой админа (в крайнем случае перекрыть доступ через Свойства/Права). Всё: админ с кронтабом отдельно, второй юзер с флэшкой - отдельно. Проблемы нет.
2) Указанные скрипты и конфиги привязаны ко второму пользователю (не амину). Ну так и на здоровье. Однако, и здесь можно перекрыть права через Свойства/Права, но уже на ~/.config и ~/.local второго юзера и сделать их доступными только для админа. Тогда, кстати, и поменять потом настройки чего-либо второй пользователь не сможет, ибо прав на запись данных в эти каталоги у него уже нет, и прав стать Суперпользователем тоже нет. В принципе, понять защиту этих папок (именно защиту, а не недопущение копирования) я могу -  нефиг ламеру менять настройки программ. Но, опять же, проблема (если она тут есть) лежит за пределами монтирования флэшек и разделов вообще.

Но хозяин - барин, делайте как хотите. Однако, это нереальная жесть - запретить пользователю, принести, например, свой текстовый файл и поработать над ним на данном компьютере, к которому у него официально есть доступ (собственная учётка с паролем). А потом пересохранить его на флэшку, и предположим, отнести на распечатку. Такое даже "гостю" позволено.