Настройка ubuntu для использования доверенных и недоверенных usb накопителей

[Dzhoser]

Стоит задача ограничить пользователя на использование флешек. У каждого пользователя есть доверенное устройство. На доверенный usb он может копировать удалять и создаваь файлы. C недоверенном usb соответственно не должен работать. Пару подобных статей читал на форуме, но они все устарели.
Всем спасибо...

[www777]

То есть вас не беспокоит, что через доверенное устройство человек может принести в систему любое програмное обеспечение? Тогда в чём же смысл ограничивать на использование других USB устройств? Опасаетесь аппаратного бекдора?

[Dzhoser]

Смысл, что если сольют инфу у которой был тоступ у Иванова,то виноват Иванов. Так как Петров не мог ее слить.
Пользователь добавил сообщение 07 Декабря 2018, 14:44:50:Также да защита от бэкдоров...
Пользователь добавил сообщение 07 Декабря 2018, 14:47:03:Человек не может принести программное обеспечение. Он работает под ограниченной учеткой плюс регламентные меры...

[www777]

Пару подобных статей читал на форуме, но они все устарели.

Боюсь, пока буду набирать сообщение, оно уже успеет устареть. Немного теории, я не уверен, но сомневаюсь, что флеш накопители уникальны, наверное в рамках какой то партии, или модели они "очень" похожи, а если это так, значит невозможно сделать то, что вы хотите. Остаётся только программный ключ, на самой флешке, но если её пользователь сотрёт, флешка тоже будет "недоверенной". Да и при желании Петров может украсть ключ у Иванова, достаточно лишь отвлечь Иванова от работы... На это всё, а то вдруг сообщение устареет...

[Dzhoser]

Я думал идентифицировать их по серийным номерам производителя
Пользователь добавил сообщение 07 Декабря 2018, 14:55:53:

Боюсь, пока буду набирать сообщение, оно уже успеет устареть. Немного теории, я не уверен, но сомневаюсь, что флеш накопители уникальны, наверное в рамках какой то партии, или модели они "очень" похожи, а если это так, значит невозможно сделать то, что вы хотите. Остаётся только программный ключ, на самой флешке, но если её пользователь сотрёт, флешка тоже будет "недоверенной". Да и при желании Петров может украсть ключ у Иванова, достаточно лишь отвлечь Иванова от работы... На это всё, а то вдруг сообщение устареет...

Не стоит утрировать последнее сообщение 2006 год за это время многое изменилось. Например hal

[oermolaev]

Я думал идентифицировать их по серийным номерам производителя

По ID ? Они повторяются. Порой даже на разных по объёму и конструкции флешках одного и того же производителя.

PS. usbkill

[Dzhoser]

Если выполнить
 

Код: [Выделить]

sudo lsusb -vПараметр iSerial у всех флешек разный. Рекурсию в учет не беру очень маленькая вероятность.

[snowin]

autofs? не

[Dzhoser]

autofs? не

Можно поподробнее как автомонтирование мне поможет?

[snowin]

Можно поподробнее как автомонтирование мне поможет?

насколько я помню, там можно жестко задать куда, какой диск и с какой файлухой монтироватьостальные в игнор

[oermolaev]

Параметр iSerial у всех флешек разный

Проверил. Нет.

[Dzhoser]

Проверил. Нет.

Можно пруф?

Пока решил так

(Нажмите, чтобы показать/скрыть)

При помощи udevadm info -q all -p <путь относительно /sys>определяем все необходимые параметры устройств, затем создаём файл вида /etc/udev/rules.d/99-remove-unauthorized-usb.rules:

ACTION!="add", GOTO="dont_remove_usb" ENV{ID_BUS}!="usb", GOTO="dont_remove_usb" ENV{ID_SERIAL}=="...", GOTO="dont_remove_usb" ENV{ID_SERIAL}=="...", GOTO="dont_remove_usb" ENV{ID_SERIAL}=="...", GOTO="dont_remove_usb" ... ENV{ID_BUS}=="usb", RUN+="/usr/local/sbin/remove-usb.sh %E{DEVPATH}" # это правило выполнится, если не выполнится ни один из GOTO выше LABEL="dont_remove_usb" # здесь окажутся доверенные и не-usb устройства

Где remove-usb.sh - это скрипт, который по DEVPATH (путь относительно /sys) находит в дереве директорий файл remove (например, для одного из моих жёстких дисков из DEVPATH=/devices/pci0000:00/0000:00:1d.7/usb7/7-3/7-3:1.0/host10/target10:0:0/10:0:0:0/block/sdc получилось /sys/devices/pci0000:00/0000:00:1d.7/usb7/7-3/remove) и записывает туда 1.

Вроде бы, должно работать.

[AnrDaemon]

Можно пруф?

Прошить можно любой VID:PID, Serial, что угодно.

[www777]

Если вам нужна защита для галочки, а не для дела, то вариант с серийным номером может и пойдёт. Для дела же идея так себе, по мимо того, что можно перепрошить, самое важное, это то что вы просто надеятесь на то, что каждая флешка будет уникальной, но при этом ни как не можете это гарантировать, и уж тем более повлиять на это.

[Dzhoser]

Если вам нужна защита для галочки, а не для дела, то вариант с серийным номером может и пойдёт. Для дела же идея так себе, по мимо того, что можно перепрошить, самое важное, это то что вы просто надеятесь на то, что каждая флешка будет уникальной, но при этом ни как не можете это гарантировать, и уж тем более повлиять на это.

Тогда справедливо и другое утверждение.
1. Любую флешку можно сделать уникальной
2. Для перепрошивки злоумышленник должен знать уникальные идентификаторы устойств.