Автомонтирование USB съемных дисков в режиме read-only

[wowagsm2]

Есть задача "запретить запись на внешние usb диски", при этом необходимо оставить возможность чтения с них. Возможно есть какие либо готовые решения? Пока нашел только как совсем запретить доступ к флэшкам, либо разрешить к конкретной. Здесь флэшки могут быть постоянно разные...

[Heider]

Самое простое, пожалуй, установить права на точку монтирования.

[wowagsm2]

Дело в том, что если сменить владельца у /media/user на root и выдать чтение, то user все равно не может попасть глубже, и в папку сменного накопителя, а если владельца сменить на user, то он может и записывать туда(

[Heider]

то user все равно не может попасть глубже

Не только чтение, чтобы видеть вложенные папки нужно дать разрешение на исполнение.

Код: [Выделить]

drwxr-xr-x   4 root root  4096 апр 19  2018 media

[wowagsm2]

в таком случае у user появляется возможность создавать файлы в /media/user/USB/
root@IVNUBASU021236:~# ls -l /media
drwxr-xr-x 2 root root 4096 июн 11 20:07 cdrom
drwxr-xr-x 3 root root 4096 ноя 20 09:01 user
root@IVNUBASU021236:~# ls -l /media/user
drwxr-xr-x 5 user user 4096 ноя 20 09:01 USB
т.е. устройство монтируется под владельцем текущего пользователя

[Heider]

у user появляется возможность создавать файлы

Если он является владельцем /media/user/USB/, то у него и так есть все права. Вернее, он может в любой момент их себе дать командой chmod. Поэтому, чтобы запретить ему это, нужно у него эту директорию забрать:

Код: [Выделить]

sudo chown root:root /media/user/USB/
А вообще, права на директорию wrx
w - можно менять содержимое (удалять и добавлять файлы)
r - можно читать содержимое (просматривать список файлов)
x - можно "исполнять" директорию, то есть делать текущей командой cd, ходить внутрь, иметь доступ к файлам и поддиректориям.

У Вас должно получиться что-то вроде:

Код: [Выделить]

drwxr-wxr-xr 5 root root 4096 ноя 20 09:01 USBЗдесь, root и его группа могут все, остальные могут только читать и ходить внутрь. Простое добавление пользователя в группу root позволит ему тоже делать все. По-моему, это то, что Вам нужно. Можно использовать другую какую-нибудь группу. Например, создать группу "usb".
Потратьте один вечер и разберитесь с правами, сами увидите, как все просто и удобно.

[wowagsm2]

про RWX я в курсе. В данном пути /media/user/USB/
USB - метка смонтированного тома, естественно у другого внешнего накопителя будет своя, и тк она будет монтироваться под пользователем user то и владелец будет у нее текущий пользователь. Это нужно каждый раз следить за директорией /media/user/ с помощью того же inotifi, из под root и править владельца чендж овнером, например, в скрипте по событию создания там директории. Я изначально ищу что-то проще, в стиле задать один раз права, либо прописал где-то режим автомонтирования внешних дисков в read-only.

[Heider]

wowagsm2, да, Вы правы. С автомонтированием сложнее. Это должно в рабочем окружении настраиваться. Где-нибудь в dconf-editor. К сожалению, нет гнома под рукой.