Re: Evitar l'automuntatge
El 23/01/14 09:44, Jordi Mallach ha escrit: En Debian sid: /usr/share/polkit-1/actions/org.freedesktop.udisks*.policy (* perquè jo tinc UDisks i UDisks2 instal·lats en paral·lel; en wheezy s'emprava UDisks 1). Veuràs que hi ha una primera acció org.freedesktop.udisks.filesystem-mount amb: defaults allow_anyno/allow_any allow_inactiveno/allow_inactive allow_activeyes/allow_active /defaults Si canvies aquesta secció en un fitxer override en /etc, hauries d'aconseguir-ho. That did the trick!! Thanks a lot. -- Atentament, cubells. -- -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52e3b0a8.7050...@vcubells.net
Re: Evitar l'automuntatge
El dc 22 de 01 de 2014 a les 12:13 +0100, en/na cubells va escriure: Hola: Volia restringir el muntatge de dispositus usb als usuaris d'una debian wheezy i no hi ha manera. Deu ser fàcil però avui estic espés. He provat a eliminar els usuaris del grup plugdev i es munten igualment. Els grups ja no s'utilitzen als escriptoris més moderns. Mira't les eines de PolicyKit, hauràs de crear una regla per a evitar que els usuaris puguen muntar res quan arriba un senyal pel D-Bus. No et pose cap exemple perquè no ho he fet mai. :) -- Jordi Mallach Pérez -- Debian developer http://www.debian.org/ jo...@sindominio.net jo...@debian.org http://www.sindominio.net/ GnuPG public key information available at http://oskuro.net/ -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1390465898.18753.1.ca...@penyagolosa.oskuro.net
Re: Evitar l'automuntatge
El dj 23 de 01 de 2014 a les 09:31 +0100, en/na Jordi Mallach va escriure: El dc 22 de 01 de 2014 a les 12:13 +0100, en/na cubells va escriure: Hola: Volia restringir el muntatge de dispositus usb als usuaris d'una debian wheezy i no hi ha manera. Deu ser fàcil però avui estic espés. He provat a eliminar els usuaris del grup plugdev i es munten igualment. Els grups ja no s'utilitzen als escriptoris més moderns. Mira't les eines de PolicyKit, hauràs de crear una regla per a evitar que els usuaris puguen muntar res quan arriba un senyal pel D-Bus. No et pose cap exemple perquè no ho he fet mai. :) Bah, i després em passe 10 minuts mirant-ho. :) En Debian sid: /usr/share/polkit-1/actions/org.freedesktop.udisks*.policy (* perquè jo tinc UDisks i UDisks2 instal·lats en paral·lel; en wheezy s'emprava UDisks 1). Veuràs que hi ha una primera acció org.freedesktop.udisks.filesystem-mount amb: defaults allow_anyno/allow_any allow_inactiveno/allow_inactive allow_activeyes/allow_active /defaults Si canvies aquesta secció en un fitxer override en /etc, hauries d'aconseguir-ho. -- Jordi Mallach Pérez -- Debian developer http://www.debian.org/ jo...@sindominio.net jo...@debian.org http://www.sindominio.net/ GnuPG public key information available at http://oskuro.net/ -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1390466641.18753.5.ca...@penyagolosa.oskuro.net
Evitar l'automuntatge
Hola: Volia restringir el muntatge de dispositus usb als usuaris d'una debian wheezy i no hi ha manera. Deu ser fàcil però avui estic espés. He provat a eliminar els usuaris del grup plugdev i es munten igualment. He modificat els valors automount i automount-open de la clau media-handling i tampoc. Alguna idea? -- Atentament, cubells. -- -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52dfa7c7.3090...@vcubells.net
Re: Evitar l'automuntatge
El 22/01/14 12:13, cubells ha escrit: Hola: Volia restringir el muntatge de dispositus usb als usuaris d'una debian wheezy i no hi ha manera. Deu ser fàcil però avui estic espés. He provat a eliminar els usuaris del grup plugdev i es munten igualment. He modificat els valors automount i automount-open de la clau media-handling i tampoc. Alguna idea? he creat una regla udev amb el següent contingut SUBSYSTEM==usb, ENV{UDISKS_AUTO}=0 i també poden muntar. -- Atentament, cubells. -- -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52dfab14.6020...@vcubells.net
Re: Evitar l'automuntatge
A Dimecres, 22 de gener de 2014, cubells va escriure: El 22/01/14 12:13, cubells ha escrit: Hola: Volia restringir el muntatge de dispositus usb als usuaris d'una debian wheezy i no hi ha manera. Deu ser fàcil però avui estic espés. He provat a eliminar els usuaris del grup plugdev i es munten igualment. He modificat els valors automount i automount-open de la clau media-handling i tampoc. Alguna idea? he creat una regla udev amb el següent contingut SUBSYSTEM==usb, ENV{UDISKS_AUTO}=0 i també poden muntar. fes una entrada al fstab. A mi em va passar el contrari, i no podia fer que els usuaris poguessin muntar, i era pq l'instal·lador l'havia afegit. Leo -- -- Linux User 152692 Catalonia signature.asc Description: This is a digitally signed message part.
Re: Evitar l'automuntatge
Al 22/01/14 12:27, En/na cubells ha escrit: El 22/01/14 12:13, cubells ha escrit: Hola: Volia restringir el muntatge de dispositus usb als usuaris d'una debian wheezy i no hi ha manera. Deu ser fàcil però avui estic espés. He provat a eliminar els usuaris del grup plugdev i es munten igualment. He modificat els valors automount i automount-open de la clau media-handling i tampoc. Alguna idea? he creat una regla udev amb el següent contingut SUBSYSTEM==usb, ENV{UDISKS_AUTO}=0 i també poden muntar. En principi, només els usuaris al grup plugdev haurien de poder muntar-los. Però no ho he comprovat. -- Francesc Gordillo i Cortínez fran...@frangor.info signature.asc Description: OpenPGP digital signature
Re: Evitar l'automuntatge
El 23/01/14 00:11, Francesc Gordillo i Cortínez ha escrit: Al 22/01/14 12:27, En/na cubells ha escrit: En principi, només els usuaris al grup plugdev haurien de poder muntar-los. Però no ho he comprovat. A la wheezy, amb el gnome-fallback instal·lat no funciona. Ho he provat. Alguna idea més? -- Atentament, cubells. -- -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52e09284.6010...@vcubells.net
Re: Evitar l'automuntatge
A 2014-01-22 12:13, cubells escrigué: Hola: Volia restringir el muntatge de dispositus usb als usuaris d'una debian wheezy i no hi ha manera. Deu ser fàcil però avui estic espés. He provat a eliminar els usuaris del grup plugdev i es munten igualment. He modificat els valors automount i automount-open de la clau media-handling i tampoc. Alguna idea? -- Atentament, cubells. Tinc uns text i enllaços que fa molts anys vaig trobar per uns alumnes de FP que intentaven fer el mateix. No sé si funciona ni si és ben bé el que busques ni sabria interpretar molt bé el que t'envio. Ho tenia al disc dur des de fa anys però ja no m'enrecordo de que va: #ACTION==add, SUBSYSTEMS==usb, RUN+=/bin/sh -c 'echo 0 /sys$DEVPATH/authorized' ACTION==add, SUBSYSTEMS==usb, RUN+=/bin/sh -c 'for host in /sys/bus/usb/devices/usb*; do echo 0 $host/authorized_default; done' http://www.mjmwired.net/kernel/Documentation/usb/authorization.txt Based on kernel version 2.6.36. Page generated on 2010-10-22 13:21 EST. Authorizing (or not) your USB devices to connect to the system (C) 2007 Inaky Perez-Gonzalez in...@linux.intel.com Intel Corporation This feature allows you to control if a USB device can be used (or not) in a system. This feature will allow you to implement a lock-down of USB devices, fully controlled by user space. As of now, when a USB device is connected it is configured and its interfaces are immediately made available to the users. With this modification, only if root authorizes the device to be configured will then it be possible to use it. Usage: Authorize a device to connect: $ echo 1 /sys/bus/usb/devices/DEVICE/authorized Deauthorize a device: $ echo 0 /sys/bus/usb/devices/DEVICE/authorized Set new devices connected to hostX to be deauthorized by default (ie: lock down): $ echo 0 /sys/bus/usb/devices/usbX/authorized_default Remove the lock down: $ echo 1 /sys/bus/usb/devices/usbX/authorized_default By default, Wired USB devices are authorized by default to connect. Wireless USB hosts deauthorize by default all new connected devices (this is so because we need to do an authentication phase before authorizing). Example system lockdown (lame) --- Imagine you want to implement a lockdown so only devices of type XYZ can be connected (for example, it is a kiosk machine with a visible USB port): boot up rc.local - for host in /sys/bus/usb/devices/usb* do echo 0 $host/authorized_default done Hookup an script to udev, for new USB devices if device_is_my_type $DEV then echo 1 $device_path/authorized done Now, device_is_my_type() is where the juice for a lockdown is. Just checking if the class, type and protocol match something is the worse security verification you can make (or the best, for someone willing to break it). If you need something secure, use crypto and Certificate Authentication or stuff like that. Something simple for an storage key could be: function device_is_my_type() { echo 1 authorized # temporarily authorize it # FIXME: make sure none can mount it mount DEVICENODE /mntpoint sum=$(md5sum /mntpoint/.signature) if [ $sum = $(cat /etc/lockdown/keysum) ] then echo We are good, connected umount /mntpoint # Other stuff so others can use it else echo 0 authorized fi } Of course, this is lame, you'd want to do a real certificate verification stuff with PKI, so you don't depend on a shared secret, etc, but you get the idea. Anybody with access to a device gadget kit can fake descriptors and device info. Don't trust that. You are welcome. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/dd18f813183301532a216018c935a...@probeta.net