Re: Bloquer péripheriques Usb
On 03/01/2017 19:44, Gian Luca Dequecker wrote:
> Je me permets de revenir sur la problématique d'une solution pour la
> gestion des périphériques usb en mode lecture seule.
>
> La configuration matérielle sur laquelle je dois travailler se base sur
> Debian Jessie avec le gestionnaire de bureau Xfce.
>
> Première solution :
> Commande mount au sein d'une règle udev (avec le paramètre MODE=
> "0500"). Cette règle fait apparaître, dans le gestionnaire de fichier
> Thunar , deux accès différents vers la même clé Usb.
>
Les deux références à votre périphérique permettent-elles toutes les
deux d’accéder aux fichiers depuis l’explorateur de fichier 'thunar' ?
D'autre part, pourriez-vous copier-coller le code source de votre script
exécuté par udev sur un site comme pastebin ?
Pour ma part, je n'ai qu'une référence vers mes périphériques.
> Deuxième solution :
> Règle udev et référence, dans fstab, du point de montage indiqué dans la
> règle udev. Cette solution me paraît moins souple que la première.
>
Et je n'ai pas de référence relative à mes périphériques amovible dans
/etc/fstab.
> Avez-vous d'autres solution ?
Peut-être que la solution proposée par Sebastien (usbguard) pourrait
vous convenir ?
> Merci.
>
Cordialement,
Florian
> Le 27 décembre 2016 à 22:43, Gian Luca Dequecker
> <gianluca.dequecker@gmail.com <mailto:gianluca.dequecker@gmail.com>> a
> écrit :
>
> Avant de vous demander conseil, j'avais désactivé l'accès au
> stockage usb avec Modprobe: "install usb-storage /bin/true" dans le
> fichier /etc/modprobe.d/usb-storage.conf (un peut trop radical). Je
> vais donc explorer udev. Merci a vous, bonnes fêtes.
>
> Le 26 décembre 2016 à 22:35, BERBAR Florian <florian.berbar@free.fr
> <mailto:florian.berbar@free.fr>> a écrit :
>
> On 26/12/2016 18:08, jerome wrote:
> > Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
> >> Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
> >> périphériques connectés sur les ports USB (écriture sur le disque
> >> dur, ssd,
> >> pendrive), mais laisser la possibilité de connecter un appareil photo
> >> numérique (décharger les photos). Pouvez-vous m'indiquer comment
> >> procéder?
> >> Merci pour votre aide.
> >
> > Bloquer je sais, bloquer sans bloquer... peut être simplement en
> > utilisant des règles UDEV, mais il y aura quand même un accès sur le
>
> Je complète la proposition de jerome en confirmant que UDEV peut
> permettre de filtrer les périphériques USB. UDEV repose sur des
> règles
> qui sont définies dans le répertoire de configuration de UDEV.
>
> Sur la debian que j'utilise pour écrire ce message :
> $ ls -l /etc/udev/rules.d/
> total 20
> -rw-r--r-- 1 root root 1468 sept. 2 2014 56-hpmud.rules
> -rw-r--r-- 1 root root 755 août 25 20:15 60-vboxdrv.rules
> -rw-r--r-- 1 root root 788 janv. 9 2013 70-persistent-cd.rules
> -rw-r--r-- 1 root root 832 déc. 17 2015 70-persistent-net.rules
> -rw-r--r-- 1 root root 223 juil. 31 19:01 70-persistent-usb.rules
>
> Les règles concernant les périphérique USB sont dans le fichier
> "70-persistent-usb.rules".
>
> Voici un exemple de règle :
>
> SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add",
> RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"
>
> Pour procéder à un filtrage, il est possible de définir un
> script qui
> sera appelé lors qu'un périphérique USB sera inséré. Ce script ce
> chargera de l'action à réaliser lors de l'insertion : montage ou
> rejet
> d'un périphérique.
>
> Dans la continuité de l'exemple précédant la règle est en écoute des
> événements "usb" (SUBSYSTEMS=="usb") qui créera un "device"
> nommé "sd*"
> (* sera remplacé par la dernière lettre disponible) dans le
> répertoire
> /dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
> périphérique (ACTION=="add") exécutera le script
> "/usr/local/bin/add.sh"
> avec comme paramètres le nom du périphérique inséré
> (%E{DEVNAME}) et et
> sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb
> '%E{DEVNAME}'
> '%E{ID_FS_UUID}'").
>
> A partir de la, tu peux facilement imaginé un script qui
> parcours une
> liste de périphérique représentant les périphériques USB
> autorisé afin
> compare le périphérique inséré au périphérique USB autorisé (ton
> appareil photo).
>
> Certes cette solution nécessite un peu d'assurance en
> programmation de
> script, mais elle n'est pas irréalisable.
>
> Voici la documentation officielle pour plus d'informations :
> https://www.freedesktop.org/software/systemd/man/udev.html
> <https://www.freedesktop.org/software/systemd/man/udev.html>
>
> > périphérique au moment de l'identification.
> >
>
> Affectivement les périphérique présent lors de la phase de démarrage
> semble être montés automatiquement malgré la règle UDEV.
> Peut-être que
> la désactivation du support USB lors de la phase de peut être
> une solution.
>
> Cordialement,
>
> Florian
>
>
>
Reply to: