запрет usb-дисков

0

0

Цель: Есть пользователь которому нужно запретить пользоваться usb-дисками, остальным пользователям нужно оставить возможность пользоваться usb-дисками.
У меня OpenSuse 11.3

Но сначала решил сделать у всех юзеров запрет на usb-диски.

1. Можно сделать через /etc/fslab, но там проблема с отмонтированием дисков, что не совсем удобно.

2. Поигрался с группами, но это не каким образом не помогло. Все равно у всех было автомонтирование.

3. Залез в политику, сначала посмотрел папку:
/usr/share/PolicyKit , но она также не как не помогла.
Убирая эту папку, все равно происходит автомонтирование.

потом залез:

/usr/share/polkit-1/actions/org.freedesktop.udisks.policy
Убирая этот файл не происходит автомонтирование, полез внутрь, поставил все no. Но автомонтирование все равно у юзеров работает.

4. Пошел в /etc/udev/rules.d/81-mount.rules
Убирая этот файл все равно происходит автомонтирование.

Я уже ума не приложу, как можно отключитm это монтирование. Помогите пожалуйста.

Ссылка

←	postgres, права на функции и действия внутри функций

запретить команду юзеру

→

/apps/nautilus/preferences/media_automount

If set to true, then Nautilus will automatically mount media such as user-visible hard disks and removable media on start-up and media insertion.

Ключ гномового «реестра». С помощью gconf-editor его значение можно сделать «mandatory»

annoynimous ★★★★★
(29.08.10 20:49:04 MSD)

Ответ на: комментарий от annoynimous 29.08.10 20:49:04 MSD

Спасибо, это та получилось. Потом пришел юзер и включил автозагрузку.

Как сделать, чтобы настройки Grome не мог запустить обычный юзер, а мог только root?

Shining_ninja
(29.08.10 20:53:53 MSD) автор топика

/usr/share/polkit-1/actions/org.freedesktop.udisks.policy

Убирая этот файл не происходит автомонтирование, полез внутрь, поставил все no. Но автомонтирование все равно у юзеров работает.

Там есть локальные политики в /var/lib/polkit-1/localauthority, скорее всего в них где-то что-то разрешено, но там дистростроители прописывают, поэтому я не знаю, что там в сусе. В них как-раз происходит настройка действий на группы, там можно настроить, что именно для группы admin разрешить все с оrg.freedesktop.udisks, а для user - не разрешать.

vga ★★
(29.08.10 21:49:36 MSD)

Ссылка

Ответ на: комментарий от Shining_ninja 29.08.10 20:53:53 MSD

> Как сделать, чтобы настройки Grome не мог запустить обычный юзер, а мог только root?

С помощью gconf-editor его значение можно сделать «mandatory»

правой клавишей по ключу — Set mandatory

вам выдадут запрос на ввод рутового пароля. После этого значения ключа изменять нельзя

annoynimous ★★★★★
(29.08.10 21:52:08 MSD)

Ответ на: комментарий от annoynimous 29.08.10 21:52:08 MSD

Не совсем понятно, что это даст. Это же отключит _авто_монтирование. Право смонтировать у юзера останется, кликом в наутилусе, или udisks --mount /dev/флешка.

vga ★★
(29.08.10 21:55:16 MSD)

Ответ на: комментарий от annoynimous 29.08.10 21:52:08 MSD

Ставил , все равно можно изменить. А как запретить пользователю использовать команду - gconf-editor ? Я её добавил в судо, но все равно, пользователь может её использовать

Shining_ninja
(29.08.10 21:59:19 MSD) автор топика

Ссылка

Ответ на: комментарий от vga 29.08.10 21:55:16 MSD

кликом в наутисе, он уже ничего не сделает или сделает - поясни, как он сможет это сделать?

Shining_ninja
(29.08.10 22:03:29 MSD) автор топика

Ответ на: комментарий от Shining_ninja 29.08.10 22:03:29 MSD

эээ, ну возможно и так, я точно не знаю, как наутилус автомонтирует, показывает он флешку или нет, если запрещено. А вот udisks --mount вполне себе сработает, если в полиси разрешено.

vga ★★
(29.08.10 22:05:48 MSD)

Ответ на: комментарий от vga 29.08.10 22:05:48 MSD

если запрещено, то показывает, но не дает заходить(хотя может тут и политики мои вмешали, я их правил). Можешь привести пример команды udisks --mount, которая должна по идеи сработать?

Shining_ninja
(29.08.10 22:09:26 MSD) автор топика

Ответ на: комментарий от Shining_ninja 29.08.10 22:09:26 MSD

я ж ее написал выше

udisks --mount /dev/sdb1 или что там флешка у тебя. Но если политики поправил - то может уже и не даст.

vga ★★
(29.08.10 22:13:08 MSD)

Ответ на: комментарий от vga 29.08.10 22:13:08 MSD

команда не сработала, все норм

Shining_ninja
(29.08.10 22:19:44 MSD) автор топика

Ответ на: комментарий от Shining_ninja 29.08.10 22:19:44 MSD

Ну значит политики поправил. Тогда еще одно -в /usr файлы править нехорошо, они апдейтом укроются скорее всего. Теоретически должно хватать /etc/polkit-1 или /var/lib/polkit-1, но как это сделать - я не знаю, с полкитом детально не разбирался, так, почитал чуть про архитектуру.

vga ★★
(29.08.10 22:27:06 MSD)

Ответ на: комментарий от vga 29.08.10 22:27:06 MSD

Может подскажешь, как запретить использовать команду юзеру (gconf-editor), то есть перевести эту команду на использование только от root?

Shining_ninja
(29.08.10 22:33:53 MSD) автор топика

Ответ на: комментарий от vga 29.08.10 22:27:06 MSD

http://hal.freedesktop.org/docs/polkit/pklocalauthority.8.html - дока. Настраиваить в /etc, /var - для пакетов, а не админа.

vga ★★
(29.08.10 22:34:08 MSD)

Ссылка

Ответ на: комментарий от Shining_ninja 29.08.10 22:33:53 MSD

как запретить использовать команду юзеру

Не знаю. Да и не понимаю, зачем это, хай себе настраивает, файлы то его, лежат в .gconf, права на запись все равно у него будут.

vga ★★
(29.08.10 22:36:03 MSD)

Ответ на: комментарий от vga 29.08.10 22:36:03 MSD

Это да, но запретив редактор, он не сможет запустить автозагрузку, а так может. Тут кто-то писал,что в редакторе можно запретить изменять настройки, но у меня не получается

Shining_ninja
(29.08.10 22:38:51 MSD) автор топика