[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Bloquer péripheriques Usb



Je me permets de revenir sur la problématique d'une solution pour la gestion des périphériques usb en mode lecture seule.

La configuration matérielle sur laquelle je dois travailler se base sur Debian Jessie avec le gestionnaire de bureau Xfce.

Première solution :
Commande mount au sein d'une règle udev (avec le paramètre MODE= "0500"). Cette règle fait apparaître, dans le gestionnaire de fichier Thunar , deux accès différents vers la même clé Usb.

Deuxième solution :
Règle udev et référence, dans fstab, du point de montage indiqué dans la règle udev. Cette solution me paraît moins souple que la première.

Avez-vous d'autres solution ?
Merci.

Le 27 décembre 2016 à 22:43, Gian Luca Dequecker <gianluca.dequecker@gmail.com> a écrit :
Avant de vous demander conseil, j'avais désactivé l'accès au stockage usb avec Modprobe: "install usb-storage /bin/true" dans le fichier /etc/modprobe.d/usb-storage.conf (un peut trop radical). Je vais donc explorer udev. Merci a vous, bonnes fêtes.

Le 26 décembre 2016 à 22:35, BERBAR Florian <florian.berbar@free.fr> a écrit :
On 26/12/2016 18:08, jerome wrote:
> Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
>> Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
>> périphériques connectés sur les ports USB (écriture sur le disque
>> dur, ssd,
>> pendrive), mais laisser la possibilité de connecter un appareil photo
>> numérique (décharger les photos). Pouvez-vous m'indiquer comment
>> procéder?
>> Merci pour votre aide.
>
> Bloquer je sais, bloquer sans bloquer... peut être simplement en
> utilisant des règles UDEV, mais il y aura quand même un accès sur le

Je complète la proposition de jerome en confirmant que UDEV peut
permettre de filtrer les périphériques USB. UDEV repose sur des règles
qui sont définies dans le répertoire de configuration de UDEV.

Sur la debian que j'utilise pour écrire ce message :
$ ls -l /etc/udev/rules.d/
total 20
-rw-r--r-- 1 root root 1468 sept.  2  2014 56-hpmud.rules
-rw-r--r-- 1 root root  755 août  25 20:15 60-vboxdrv.rules
-rw-r--r-- 1 root root  788 janv.  9  2013 70-persistent-cd.rules
-rw-r--r-- 1 root root  832 déc.  17  2015 70-persistent-net.rules
-rw-r--r-- 1 root root  223 juil. 31 19:01 70-persistent-usb.rules

Les règles concernant les périphérique USB sont dans le fichier
"70-persistent-usb.rules".

Voici un exemple de règle :

SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=""> RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"

Pour procéder à un filtrage, il est possible de définir un script qui
sera appelé lors qu'un périphérique USB sera inséré. Ce script ce
chargera de l'action à réaliser lors de l'insertion : montage ou rejet
d'un périphérique.

Dans la continuité de l'exemple précédant la règle est en écoute des
événements "usb" (SUBSYSTEMS=="usb") qui créera un "device" nommé "sd*"
(* sera remplacé par la dernière lettre disponible) dans le répertoire
/dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
périphérique (ACTION="" exécutera le script "/usr/local/bin/add.sh"
avec comme paramètres le nom du périphérique inséré (%E{DEVNAME}) et et
sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb '%E{DEVNAME}'
'%E{ID_FS_UUID}'").

A partir de la, tu peux facilement imaginé un script qui parcours une
liste de périphérique représentant les périphériques USB autorisé afin
compare le périphérique inséré au périphérique USB autorisé (ton
appareil photo).

Certes cette solution nécessite un peu d'assurance en programmation de
script, mais elle n'est pas irréalisable.

Voici la documentation officielle pour plus d'informations :
https://www.freedesktop.org/software/systemd/man/udev.html

> périphérique au moment de l'identification.
>

Affectivement les périphérique présent lors de la phase de démarrage
semble être montés automatiquement malgré la règle UDEV. Peut-être que
la désactivation du support USB lors de la phase de peut être une solution.

Cordialement,

Florian



Reply to: