Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Права на монтирование разделов  (Прочитано 1065 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн tommytnt

  • Автор темы
  • Новичок
  • *
  • Сообщений: 21
  • desu
    • Просмотр профиля
    • my home
Права на монтирование разделов
« : 17 Сентябрь 2017, 00:25:25 »
Всем привет. Ситуация: есть ubuntu 16.04, на ней два юзера. Один из них с правами админа, другой без. Юзер без прав админа вставляет флешку, она сама монтируется. Как можно забрать права на это и вообще на монтирование ему?

Оффлайн maks05

  • Старожил
  • *
  • Сообщений: 6780
    • Просмотр профиля
Re: Права на монтирование разделов
« Ответ #1 : 17 Сентябрь 2017, 00:39:19 »
tommytnt, а надо? Даже "гость" (гостевая учётка, у которой нет никаких прав) и то может монтировать свою флэшку и работать с ней (но не с данными на винте) и сохранять туда потом свои файлы. Так задумано создателями системы - со свой флэшкой работай сколько угодно, а данные на винте не трогай.
В чём причина и необходимость столь жёсткого ограничения второго пользователя?
« Последнее редактирование: 17 Сентябрь 2017, 15:48:34 от maks05 »

Оффлайн tommytnt

  • Автор темы
  • Новичок
  • *
  • Сообщений: 21
  • desu
    • Просмотр профиля
    • my home
Re: Права на монтирование разделов
« Ответ #2 : 17 Сентябрь 2017, 01:47:14 »
Гость отключается же. Причина - безопасность данных :)

Оффлайн maks05

  • Старожил
  • *
  • Сообщений: 6780
    • Просмотр профиля
Re: Права на монтирование разделов
« Ответ #3 : 17 Сентябрь 2017, 03:27:11 »
tommytnt, я не понял. Если вы имели ввиду, что в гостевой учётке заблокированы права, то да, ради безопасности данных. А вот если вы отключили гостевую учётку ради "безопасности данных", то вы явно сделали что-то противоположное необходимому и задуманному создателями системы.

Но вы не ответили на вопрос: зачем отключать монтирование флэшки второму полноценному пользователю (не админу)? И монтирование чего вы ещё хотите ему отключить? И почему?

Оффлайн tommytnt

  • Автор темы
  • Новичок
  • *
  • Сообщений: 21
  • desu
    • Просмотр профиля
    • my home
Re: Права на монтирование разделов
« Ответ #4 : 17 Сентябрь 2017, 12:41:58 »
Но вы не ответили на вопрос: зачем отключать монтирование флэшки второму полноценному пользователю (не админу)?
Я, собственно, на это и отвечал: безопасность данных. Системник закрыт, биос и загрузка с флешек на пароле, в интернеты (и сеть) можно ходить только туда, куда можно. Гость отключен. Остается вопрос: как не дать юзеру выгрузить данные не флешку.

Цитировать
И монтирование чего вы ещё хотите ему отключить? И почему?
Я толком не пользовался MTP, но если устройства через него подключаются не монтированием раздела, а как-то иначе, то его тоже стоит прикрыть.
« Последнее редактирование: 17 Сентябрь 2017, 12:44:21 от tommytnt »

Оффлайн ARTGALGANO

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 1936
    • Просмотр профиля
Re: Права на монтирование разделов
« Ответ #5 : 17 Сентябрь 2017, 12:51:06 »
tommytnt, подобное провернуть возможно, но есть и побочный эффект. Монтировать сможет тока разрешенный юзер, и то при вводе своего пароля.

Оффлайн tommytnt

  • Автор темы
  • Новичок
  • *
  • Сообщений: 21
  • desu
    • Просмотр профиля
    • my home
Re: Права на монтирование разделов
« Ответ #6 : 17 Сентябрь 2017, 12:52:19 »
tommytnt, подобное провернуть возможно, но есть и побочный эффект. Монтировать сможет тока разрешенный юзер, и то при вводе своего пароля.
Буду благодарен за пояснение как провернуть

Оффлайн ARTGALGANO

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 1936
    • Просмотр профиля
Re: Права на монтирование разделов
« Ответ #7 : 17 Сентябрь 2017, 13:00:08 »

sudo nano /var/lib/polkit-1/localauthority/50-local.d/10-flash-mounting-policy.pkla

Копируем туда следующее:


[Disable mounting removable disks to all]
Identity=unix-group:*
Action=org.freedesktop.udisks2.filesystem-mount
ResultAny=no
ResultInactive=no
ResultActive=no




[Enable mounting removable disks to some users]
Identity=unix-user:<user>:
Action=org.freedesktop.udisks2.filesystem-mount
ResultAny=no
ResultInactive=no
ResultActive=auth_self


где <user>:  список разрешенных юзеров через :
сохраняем. Ребут не нужн - политики применяются сразу же

Оффлайн maks05

  • Старожил
  • *
  • Сообщений: 6780
    • Просмотр профиля
Re: Права на монтирование разделов
« Ответ #8 : 17 Сентябрь 2017, 16:29:57 »
tommytnt, это похоже на паранойю. Да, реализовать в linux можно почти всё что угодно. Однако, по-моему, почти всё, что вам надо, уже реализовано.

1) Любой пользователь может подключить флэшку только к своему домашнему каталогу, и получить доступ с другой учётки к этой флэшке просто так уже не получиться даже у админа (ему придётся делать лишние телодвижения). Но и второй пользователь не получит доступа к чужим флэшкам.
2) Системные каталоги возможно и можно просмотреть, но даже админ не может их изменить не воспользовавшись sudo. Не админу же sudo вообще не доступно.
3) Вы, видимо, не поняли, в чём смысл учётки "гость". А смысл именно в том, что через эту учёту вообще ничего нельзя кардинально поменять. Права  там очень ограничены: доступа к sudo нет, доступа к данным нормальных учёток нет, даже доступ к "общим" данным, доступным "для всех" по-умолчанию перекрыт и для доступа гостя права на эти папки должны быть специально изменены на "777". Даже рабочий стол, история браузера и т.д. при выходе из гостевой учётки обнуляются и возвращаются к дефолтному состоянию. В принципе, "гостевая учётка" - это то, что вам нужно. Не надо её отключать, надо ею пользоваться.

И так, вышеперечисленное уже работает и реализует как минимум половину того, что вам нужно. Теперь о дополнительной настройке.
1.Единственным неудобным моментом раньше было, что второй пользователь мог через Nautulus зайти в домашний каталог первого и просмотреть там файлы, но не мог их открыть и изменить. Этот вопрос решался просто: Nautulus открывался с правами Суперпользователя, и на "Домашний каталог" по правой клавиши мыши в "Свойствах" немного ужесточались права - просмотр (и вообще, любой доступ) ставился только для его владельца.
2. Права на доступ к устройствам, например, сканеру, CD-приводу и т.д. ограничиваются через управление группами. Ищите информацию в нашей wiki. Смысл в том, что каждый пользователь может входить в несколько групп, а каждая группа может содержать несколько пользователей. Права на устройства обычно назначены группам, и если пользователь не входит в эту группу, то и прав на пользование устройством у него нет. Кстати, таким же способом можно и второго пользователя сделать админом, включив его в группы sudo и adm.
3. За доступ в интернете "только туда куда можно" - не скажу, не делал. Но, насколько я понимаю, это делается настройками файрвола. Впрочем, ещё можно посмотреть в сторону расширений браузеров: среди них бывают подобные - класса "родительский доступ". Но эту информацию надо проверять, я тут не заморачивался.

Ну и в главных. Ещё раз, не вижу смысла блокировать второму полноценному (!) пользователю возможность подключения флэшек. Никакой заразы он на компьютер не принесёт (linux - неуловимый Джо), я если и принесёт (о чудо!) - запустить не сможет - нет у него таких прав изначально. Выкачать информацию с помощью live-режима не выйдет, так как вы уже заблокировали доступ к BIOS, да и к настройкам пользователя в системе это не относиться. Остальное решается через права доступа к каталогам других пользователей и через настройку групп. Ну а если вы так не доверяете "второму пользователю", то удалите его учётку и пусть будет "гостем" - уж там-то ему система не даст развернуться.
« Последнее редактирование: 17 Сентябрь 2017, 16:36:45 от maks05 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27443
    • Просмотр профиля
Re: Права на монтирование разделов
« Ответ #9 : 17 Сентябрь 2017, 17:54:10 »
sudo nano /var/lib/polkit-1/localauthority/
Не стоит так делать. Все пользовательские изменения вносите в /etc/polkit-1/localauthority/
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Peter_I

  • Старожил
  • *
  • Сообщений: 2155
    • Просмотр профиля
Re: Права на монтирование разделов
« Ответ #10 : 17 Сентябрь 2017, 23:44:38 »
ARTGALGANO, А нельзя ли более ограниченно, через правило udev, чтобы пользователь мог монтировать
только конкретную usb-flash, указанную в правиле?
Как добавку или замену к правилу в /lib/udev/rules.d/60-persistent-storage.rules?
Пётр.

Оффлайн ARTGALGANO

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 1936
    • Просмотр профиля
Re: Права на монтирование разделов
« Ответ #11 : 18 Сентябрь 2017, 00:04:29 »
Peter_I,  может и возможно,  но тогда надо  id флехи привязать к конкретному юзеру. Как?
ага, есть параметр OWNER=
« Последнее редактирование: 18 Сентябрь 2017, 00:25:09 от ARTGALGANO »

Оффлайн Peter_I

  • Старожил
  • *
  • Сообщений: 2155
    • Просмотр профиля
Re: Права на монтирование разделов
« Ответ #12 : 18 Сентябрь 2017, 20:46:17 »
ARTGALGANO, Да, возможно, попробуем, но это ещё большее ограничение.
Я неточно выразился, имелся в виду не пользователь, а данный компьютер.
Пётр.

Оффлайн tommytnt

  • Автор темы
  • Новичок
  • *
  • Сообщений: 21
  • desu
    • Просмотр профиля
    • my home
Re: Права на монтирование разделов
« Ответ #13 : 19 Сентябрь 2017, 00:12:54 »
1) Любой пользователь может подключить флэшку только к своему домашнему каталогу, и получить доступ с другой учётки к этой флэшке просто так уже не получиться даже у админа (ему придётся делать лишние телодвижения). Но и второй пользователь не получит доступа к чужим флэшкам.
2) Системные каталоги возможно и можно просмотреть, но даже админ не может их изменить не воспользовавшись sudo. Не админу же sudo вообще не доступно.
3) Вы, видимо, не поняли, в чём смысл учётки "гость". А смысл именно в том, что через эту учёту вообще ничего нельзя кардинально поменять. Права  там очень ограничены: доступа к sudo нет, доступа к данным нормальных учёток нет, даже доступ к "общим" данным, доступным "для всех" по-умолчанию перекрыт и для доступа гостя права на эти папки должны быть специально изменены на "777". Даже рабочий стол, история браузера и т.д. при выходе из гостевой учётки обнуляются и возвращаются к дефолтному состоянию. В принципе, "гостевая учётка" - это то, что вам нужно. Не надо её отключать, надо ею пользоваться.
Вся эта информация мне известна, спасибо конечно, но во-первых у меня пачка скриптов в кронтабе, которые привязаны к имени юзера, во-вторых есть софт, настройки которого хранятся в ~/.config и ~/.local.

Peter_I,  может и возможно,  но тогда надо  id флехи привязать к конкретному юзеру. Как?
ага, есть параметр OWNER=
Вот за это - вообще большое спасибо. Вайтлист для флешек - это круто :)

Оффлайн maks05

  • Старожил
  • *
  • Сообщений: 6780
    • Просмотр профиля
Re: Права на монтирование разделов
« Ответ #14 : 19 Сентябрь 2017, 01:37:52 »
Вся эта информация мне известна, спасибо конечно, но во-первых у меня пачка скриптов в кронтабе, которые привязаны к имени юзера, во-вторых есть софт, настройки которого хранятся в ~/.config и ~/.local.
Это прекрасно, что известно. Пожалуйста. Но тем более удивительно, что вы ещё что-то выдумываете. Если всё привязано к юзеру, в том числе и указанные вами папки, то всё нормально и нет проблем.

То есть, по логике:
1) Указанные скрипты и конфиги привязаны к первому пользователю (амину). Предположим, второй пользователь хочет их украсть. Но не может! Изначально. Хоть с флэшкой, хоть с диском, хоть по сети. Не помню, где храняться данные для кронтаб, но если в системных папках, до обычному пользователю туда вход закрыт (уж на копирование точно). Та же ситуация и с домашней папкой админа (в крайнем случае перекрыть доступ через Свойства/Права). Всё: админ с кронтабом отдельно, второй юзер с флэшкой - отдельно. Проблемы нет.
2) Указанные скрипты и конфиги привязаны ко второму пользователю (не амину). Ну так и на здоровье. Однако, и здесь можно перекрыть права через Свойства/Права, но уже на ~/.config и ~/.local второго юзера и сделать их доступными только для админа. Тогда, кстати, и поменять потом настройки чего-либо второй пользователь не сможет, ибо прав на запись данных в эти каталоги у него уже нет, и прав стать Суперпользователем тоже нет. В принципе, понять защиту этих папок (именно защиту, а не недопущение копирования) я могу -  нефиг ламеру менять настройки программ. Но, опять же, проблема (если она тут есть) лежит за пределами монтирования флэшек и разделов вообще.

Но хозяин - барин, делайте как хотите. Однако, это нереальная жесть - запретить пользователю, принести, например, свой текстовый файл и поработать над ним на данном компьютере, к которому у него официально есть доступ (собственная учётка с паролем). А потом пересохранить его на флэшку, и предположим, отнести на распечатку. Такое даже "гостю" позволено.
« Последнее редактирование: 19 Сентябрь 2017, 01:40:57 от maks05 »

 

Страница сгенерирована за 0.122 секунд. Запросов: 24.