Jak zablokować dostęp do zapisu do pendrive i cdrom?

szaybus · Post autor: **szaybus** » 03 sie 2008, 12:38

Witam

Szukałem i nie mogę znaleźć. Na potrzeby szkolenia muszę zablokować możliwość zapisu na pendrive i cdrom. Jak to najprościej zrobić na ubunciaku 8.04 32-bit.

Z cdrom sobie poradziłem. Wystarczyło dodać "ro" do parametrów montowania w fstab.

Co do pendrive to udało mi się znaleźć "chamską" metodę:
Pendrive montuje się jako /dev/sdx, gdzie x zależy od tego ile mamy dysków sda/scsi.
Dodajemy wpis do fstab gdzie definiujemy urządzenie /dev/sdx1 jako ro.
Jeśli ktoś ma jakiś lepszy pomysł to będę wdzięczny.

pepemelone · Post autor: **pepemelone** » 03 sie 2008, 14:16

Zobacz grupy: plugdev, cdrom
Wykonaj komende groups i pomysl :)

regards,
pepemelone

fnmirk · Post autor: **fnmirk** » 03 sie 2008, 14:20

A od czego masz grupy i związane z nimi odpowiednie uprawnienia.

Kod: Zaznacz cały

man group

szaybus · Post autor: **szaybus** » 03 sie 2008, 14:51

Hehe na to też wpadłem. Teoretycznie urządzenia usb podpadają pod plugdev.
Zmieniłem im grupę na root co teoretycznie powinno spowodować brak praw do montowania.
W praktyce i tak montuje.
Rozwiązanie to znalazłem wcześniej na necie i sprawdziłem.

fnmirk · Post autor: **fnmirk** » 03 sie 2008, 17:09

Źle rozumiesz grupy. Zakładasz grupę, która posiada określone uprawnia do obsługi danego urządzenia.
Zakładasz konto nowego użytkownika, który nie ma żadnych uprawnień z wyjątkiem swojego konta w systemie. Dodajesz go do wymienionej grupy.
Modyfikując plik /etc/fstab ,,tylko do odczytu'' ograniczasz dostęp nawet użytkownikowi sudo/root do zapisu na tych urządzeniach. W razie jakiejś interwencji wymagającej reakcji administratora, posiada on związane ręce i później może zareagować.

szaybus · Post autor: **szaybus** » 03 sie 2008, 18:56

Możesz troche jasniej? Mam problem ze zrozumieniem twojej wypowiedzi. Wydawało mi się, że wiem jak działają grupy. Co ciekawe grupa plugdev nie ma żadnych przypisanych userów.

Cały proces zacząłem od tego że przy pomocy System->Użytkownicy i grupy usunąłem użytkownikowi wszystkie prawa. Domyślam się, że jest to tylko ładny interfejs do systemowych grup (audio itp..). Mimo obcięcia mu _wszystkiego_ dalej można korzystać z cd-romu i innych teoretycznie zablokowanych rzeczy. Jedyna zmiana to usunięcie kilku pozycji z menu gnome'a

fnmirk · Post autor: **fnmirk** » 06 sie 2008, 00:48

Tworzysz nowego użytkownika.

Kod: Zaznacz cały

adduser nazwa

Użytkownik ten domyślnie nie może korzystać z niczego, z wyjątkiem własnego konta. Nie zamontuje dysku usb i nie uruchomi nagrywarki. Prawa do obsługi tych urządzeń nadajesz przez dodanie go do odpowiednich grup. Nie będzie miał dostępu do urządzeń dźwiękowych itp.
Więcej w:

Kod: Zaznacz cały

 man adduser

Próbowałeś zmieniać przynależność swojego konta do różnych grup i to nie działało ponieważ po zmianach dokonanych w pliku /etc/group nie wykonałeś restartu systemu.

Jak zablokować dostęp do zapisu do pendrive i cdrom?

Jak zablokować dostęp do zapisu do pendrive i cdrom?

Odp: Jak zablokować dostęp do zapisu do pendrive i cdrom?

Odp: Jak zablokować dostęp do zapisu do pendrive i cdrom?

Odp: Jak zablokować dostęp do zapisu do pendrive i cdrom?

Odp: Jak zablokować dostęp do zapisu do pendrive i cdrom?

Odp: Jak zablokować dostęp do zapisu do pendrive i cdrom?

Odp: Jak zablokować dostęp do zapisu do pendrive i cdrom?

Kto jest online