Re: Bloquer péripheriques Usb

[BERBAR Florian <florian.berbar@free.fr>]

On 03/01/2017 19:44, Gian Luca Dequecker wrote:
> Je me permets de revenir sur la problématique d'une solution pour la
> gestion des périphériques usb en mode lecture seule.
> 
> La configuration matérielle sur laquelle je dois travailler se base sur
> Debian Jessie avec le gestionnaire de bureau Xfce.
> 
> Première solution :
> Commande mount au sein d'une règle udev (avec le paramètre MODE=
> "0500"). Cette règle fait apparaître, dans le gestionnaire de fichier
> Thunar , deux accès différents vers la même clé Usb.
> 
Les deux références à votre périphérique permettent-elles toutes les
deux d’accéder aux fichiers depuis l’explorateur de fichier 'thunar' ?

D'autre part, pourriez-vous copier-coller le code source de votre script
exécuté par udev sur un site comme pastebin ?

Pour ma part, je n'ai qu'une référence vers mes périphériques.

> Deuxième solution :
> Règle udev et référence, dans fstab, du point de montage indiqué dans la
> règle udev. Cette solution me paraît moins souple que la première.
> 
Et je n'ai pas de référence relative à mes périphériques amovible dans
/etc/fstab.


> Avez-vous d'autres solution ?

Peut-être que la solution proposée par Sebastien (usbguard) pourrait
vous convenir ?

> Merci.
> 
Cordialement,

Florian
> Le 27 décembre 2016 à 22:43, Gian Luca Dequecker
> <gianluca.dequecker@gmail.com <mailto:gianluca.dequecker@gmail.com>> a
> écrit :
> 
>     Avant de vous demander conseil, j'avais désactivé l'accès au
>     stockage usb avec Modprobe: "install usb-storage /bin/true" dans le
>     fichier /etc/modprobe.d/usb-storage.conf (un peut trop radical). Je
>     vais donc explorer udev. Merci a vous, bonnes fêtes.
> 
>     Le 26 décembre 2016 à 22:35, BERBAR Florian <florian.berbar@free.fr
>     <mailto:florian.berbar@free.fr>> a écrit :
> 
>         On 26/12/2016 18:08, jerome wrote:
>         > Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
>         >> Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
>         >> périphériques connectés sur les ports USB (écriture sur le disque
>         >> dur, ssd,
>         >> pendrive), mais laisser la possibilité de connecter un appareil photo
>         >> numérique (décharger les photos). Pouvez-vous m'indiquer comment
>         >> procéder?
>         >> Merci pour votre aide.
>         >
>         > Bloquer je sais, bloquer sans bloquer... peut être simplement en
>         > utilisant des règles UDEV, mais il y aura quand même un accès sur le
> 
>         Je complète la proposition de jerome en confirmant que UDEV peut
>         permettre de filtrer les périphériques USB. UDEV repose sur des
>         règles
>         qui sont définies dans le répertoire de configuration de UDEV.
> 
>         Sur la debian que j'utilise pour écrire ce message :
>         $ ls -l /etc/udev/rules.d/
>         total 20
>         -rw-r--r-- 1 root root 1468 sept.  2  2014 56-hpmud.rules
>         -rw-r--r-- 1 root root  755 août  25 20:15 60-vboxdrv.rules
>         -rw-r--r-- 1 root root  788 janv.  9  2013 70-persistent-cd.rules
>         -rw-r--r-- 1 root root  832 déc.  17  2015 70-persistent-net.rules
>         -rw-r--r-- 1 root root  223 juil. 31 19:01 70-persistent-usb.rules
> 
>         Les règles concernant les périphérique USB sont dans le fichier
>         "70-persistent-usb.rules".
> 
>         Voici un exemple de règle :
> 
>         SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add",
>         RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"
> 
>         Pour procéder à un filtrage, il est possible de définir un
>         script qui
>         sera appelé lors qu'un périphérique USB sera inséré. Ce script ce
>         chargera de l'action à réaliser lors de l'insertion : montage ou
>         rejet
>         d'un périphérique.
> 
>         Dans la continuité de l'exemple précédant la règle est en écoute des
>         événements "usb" (SUBSYSTEMS=="usb") qui créera un "device"
>         nommé "sd*"
>         (* sera remplacé par la dernière lettre disponible) dans le
>         répertoire
>         /dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
>         périphérique (ACTION=="add") exécutera le script
>         "/usr/local/bin/add.sh"
>         avec comme paramètres le nom du périphérique inséré
>         (%E{DEVNAME}) et et
>         sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb
>         '%E{DEVNAME}'
>         '%E{ID_FS_UUID}'").
> 
>         A partir de la, tu peux facilement imaginé un script qui
>         parcours une
>         liste de périphérique représentant les périphériques USB
>         autorisé afin
>         compare le périphérique inséré au périphérique USB autorisé (ton
>         appareil photo).
> 
>         Certes cette solution nécessite un peu d'assurance en
>         programmation de
>         script, mais elle n'est pas irréalisable.
> 
>         Voici la documentation officielle pour plus d'informations :
>         https://www.freedesktop.org/software/systemd/man/udev.html
>         <https://www.freedesktop.org/software/systemd/man/udev.html>
> 
>         > périphérique au moment de l'identification.
>         >
> 
>         Affectivement les périphérique présent lors de la phase de démarrage
>         semble être montés automatiquement malgré la règle UDEV.
>         Peut-être que
>         la désactivation du support USB lors de la phase de peut être
>         une solution.
> 
>         Cordialement,
> 
>         Florian
> 
> 
>