LINUX.ORG.RU

Блокировать съемные накопители

 ,


1

1

Привет!
Возникла задача - «нужно сделать так, что бы на компьютерах пользователи не могли пользоваться флешками - блокировались все флешки, кроме одной пользовательской»
Заливать эпоксидкой порты - моветон. Отключение usb-контроллера средствами BIOS - моветон.
Т.е. задача в программном ограничении использования съемных накопителей - конкретный пользователь на конкретной машине может пользоваться только конкретной флешкой. Парк ПК - от древних pentium3 до более-менее современных i3-i5, debian-based
У кого-нибудь был опыт решения подобной задачи? Что посоветуете?


Я закрыл юзерам путь в /mount - делов то :)

anonymous ()
Ответ на: комментарий от anonymous

Как вариант полного блокирования всех съемных накопителей - да, возможно. Но при этом остается необходимость монтирования 1 флешки пользователя. В этом то вся загвоздка.

dmt ()
Ответ на: комментарий от dmt

Задача, видимо, гораздо глобальнее. Для начала нужно найти как идентифицировать конкретное устройство. На основании полученной информации разрешать только нужное устройство.
Если у кого-то есть опыт - буду благодарен за дельный совет.

dmt ()
Ответ на: комментарий от dmt

Как вариант полного блокирования всех съемных накопителей - да, возможно. Но при этом остается необходимость монтирования 1 флешки пользователя. В этом то вся загвоздка.

А пользовательскую флешку монтируй в другое место, отлавливая её по uuid.

iu0v1 ()

в fstab монтируй по ууиду нужную флэху. а монтирование других отключить

ionanahin ★★★ ()
Ответ на: комментарий от dmt

Средствами policykit запретить пользователю монтирование съёмных накопителей за исключением одного конкретного.

Удачи.

kostik87 ★★★★★ ()

Это невозможно, недавно обсуждалось.

anonymous ()
Ответ на: комментарий от ionanahin

в fstab монтируй по ууиду нужную флэху

Вставил флешку, перезагрузился? :D

iu0v1 ()
Ответ на: комментарий от iu0v1

В fstab можно добавит к параметрам user, чтобы можно было монтировать от пользователя. Но сейчас принято решать такое правилами udev.

anonymous ()

А с какой целью нужно заблокировать любые флешки кроме одной? И нужно ли блокировать другие устройства, например, USB-клавиатуры?

proud_anon ★★★★★ ()

Найди флешки с серийниками. Обычно у флешек в поле iSerial Device descriptor'а прописано что-то типа 000000 или вообще ничего, но есть и с настоящими серийниками, типа

iSerial                 3 3EQY953F
Поискать такие флешки можно у более-менее пристойных производителей, типа Transcend или Kingston, с большей вероятностью серийник будет у флешек на которых он же выгравирован где-нибудь на корпусе.

Ну и в рулесы udev на подключение usb storage пихни запуск скрипта который будет проверять соответствие серийника залогиненому юзеру согласно табличке розданных юзерам флешек и монтировать флешку под этим юзером куда-нибудь в юзерский home. Штатное автомонтирование отключить, из fstab опцию user, да и вообще всё что относится к монтированию флешек убрать.

ЗЫ: UUID - говно, тем кто его придумал, советует и пользует надо морду бить, да и переписать его на флешке - как 2 пальца об асфальт.

Stanson ★★★★★ ()
Последнее исправление: Stanson (всего исправлений: 2)
Ответ на: комментарий от Stanson

переписать его (UUID) на флешке - как 2 пальца об асфальт.

А какая, собственно, разница, оригинальная ли это флешка или «перебитая», если пользователь может втыкать заданную флешку с произвольными данными на ней. Хотя это в первую очередь вопрос к автору темы.

Krieger_Od ★★ ()

нужно сделать так, что бы на компьютерах пользователи не могли пользоваться флешками - блокировались все флешки, кроме одной пользовательской

У флешек есть SerialNumber. Добавить правило udev, которое отслеживаем номер у подключенной и монтирует разрешенные номера. Остальные без админских прав всеравно примонтировать не смогут.

Deleted ()
Ответ на: комментарий от Krieger_Od

А какая, собственно, разница, оригинальная ли это флешка или «перебитая», если пользователь может втыкать заданную флешку с произвольными данными на ней.

Например - как дополнительная аутентификация пользователя. Чтобы закосить под какого-то юзера нужно не только его пароль спереть, но и его флешку.

Stanson ★★★★★ ()
Ответ на: комментарий от proud_anon

за тем, что по требованиям безопасности только «хозяин» ПК может сливать на накопитель и с накопителя инфу. Сосед «хозяина» не может подойти и скажем слить квартальный отчет в сеть и из сети скачать от имени ничего не подозревающего, забывшего заблокировать ПК, пользователя. Как-то так.

dmt ()
Ответ на: комментарий от proud_anon

Остальные устройства, не имеющие возможности сохранять на себе информацию - мы их трогать не должны. Смотрю во всю используются машины без ps/2 портов.

dmt ()
Ответ на: комментарий от Stanson

Вот это ближе к делу. Благодарю! на сколько мне известно, флешки закупались аккурат из перечисленых Вами.

dmt ()

Похоже что касперский на офтопе тоже идет по пути привязки устройства с серийным номером, значит верной дорогой иду. Всем спасибо!

dmt ()

Писать правила для udev, и раскидывать их через ansible

DALDON ★★★★★ ()
Ответ на: комментарий от iu0v1

ну а че, вспомним com-мышку в досе %)

по делу - можно закрыть монтирование юзеру вообще и в udev накатать скрипт, выполняемый с uid с возможностью монтирования, который будет с сверять uuid флешки с содержимым, скажем, csv-файла на сервере. После чего давать права на запись/чтение директории после монтирования

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 3)

GrSecurity, вернее, их патчи в ядро, предоставляет такую фичу при конфигураци ядра.

DeadEye ★★★★★ ()
Ответ на: комментарий от dmt

Непонял, как сливу в сеть помешает отсутствие возможности монтирования любой флэшки?

Deleted ()

Привет. Перестань страдать херней и займись лучше делом.

Deleted ()
Ответ на: комментарий от Deleted

Ни как не помешает. Но поможет найти от куда ноги растут в случае слива. Ну и опять же требования безопасности.

dmt ()
Ответ на: комментарий от Stanson

Например - как дополнительная аутентификация пользователя. Чтобы закосить под какого-то юзера нужно не только его пароль спереть, но и его флешку.

pam_usb тогда.

Krieger_Od ★★ ()
Ответ на: комментарий от iu0v1

в fstab монтируй по ууиду нужную флэху

Вставил флешку, перезагрузился? :D

или увольняйся, или бегом читать

man mount

novitchok ★★★★★ ()
Ответ на: комментарий от novitchok

Если не ошибаюсь, mount -a. Но я же исходил из того, что у пользователя нету рута.

iu0v1 ()
Ответ на: комментарий от novitchok

Если ты о user, тогда да, довыделовался. Мой прокол.

iu0v1 ()
Ответ на: комментарий от ionanahin

невозможно, случайно взгляд пал на последуещее!?

Как в фильмеце про батьмена®, план из симпьль, килл да бэтмен!?? Просто использовать «другую» флеш, ну кой нить eSATA; новомодные «перекидухи» для смартовОнли(таких, с таким железом?); 16-е, кои нить??

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.