Re: Evitar l'automuntatge
El 23/01/14 09:44, Jordi Mallach ha escrit: En Debian sid: /usr/share/polkit-1/actions/org.freedesktop.udisks*.policy (* perquè jo tinc UDisks i UDisks2 instal·lats en paral·lel; en wheezy s'emprava UDisks 1). Veuràs que hi ha una primera acció org.freedesktop.udisks.filesystem-mount amb: defaults allow_anyno/allow_any allow_inactiveno/allow_inactive allow_activeyes/allow_active /defaults Si canvies aquesta secció en un fitxer override en /etc, hauries d'aconseguir-ho. That did the trick!! Thanks a lot. -- Atentament, cubells. -- -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52e3b0a8.7050...@vcubells.net
Re: Evitar l'automuntatge
El dc 22 de 01 de 2014 a les 12:13 +0100, en/na cubells va escriure: Hola: Volia restringir el muntatge de dispositus usb als usuaris d'una debian wheezy i no hi ha manera. Deu ser fàcil però avui estic espés. He provat a eliminar els usuaris del grup plugdev i es munten igualment. Els grups ja no s'utilitzen als escriptoris més moderns. Mira't les eines de PolicyKit, hauràs de crear una regla per a evitar que els usuaris puguen muntar res quan arriba un senyal pel D-Bus. No et pose cap exemple perquè no ho he fet mai. :) -- Jordi Mallach Pérez -- Debian developer http://www.debian.org/ jo...@sindominio.net jo...@debian.org http://www.sindominio.net/ GnuPG public key information available at http://oskuro.net/ -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1390465898.18753.1.ca...@penyagolosa.oskuro.net
Re: Evitar l'automuntatge
El dj 23 de 01 de 2014 a les 09:31 +0100, en/na Jordi Mallach va escriure: El dc 22 de 01 de 2014 a les 12:13 +0100, en/na cubells va escriure: Hola: Volia restringir el muntatge de dispositus usb als usuaris d'una debian wheezy i no hi ha manera. Deu ser fàcil però avui estic espés. He provat a eliminar els usuaris del grup plugdev i es munten igualment. Els grups ja no s'utilitzen als escriptoris més moderns. Mira't les eines de PolicyKit, hauràs de crear una regla per a evitar que els usuaris puguen muntar res quan arriba un senyal pel D-Bus. No et pose cap exemple perquè no ho he fet mai. :) Bah, i després em passe 10 minuts mirant-ho. :) En Debian sid: /usr/share/polkit-1/actions/org.freedesktop.udisks*.policy (* perquè jo tinc UDisks i UDisks2 instal·lats en paral·lel; en wheezy s'emprava UDisks 1). Veuràs que hi ha una primera acció org.freedesktop.udisks.filesystem-mount amb: defaults allow_anyno/allow_any allow_inactiveno/allow_inactive allow_activeyes/allow_active /defaults Si canvies aquesta secció en un fitxer override en /etc, hauries d'aconseguir-ho. -- Jordi Mallach Pérez -- Debian developer http://www.debian.org/ jo...@sindominio.net jo...@debian.org http://www.sindominio.net/ GnuPG public key information available at http://oskuro.net/ -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1390466641.18753.5.ca...@penyagolosa.oskuro.net
Evitar l'automuntatge
Hola: Volia restringir el muntatge de dispositus usb als usuaris d'una debian wheezy i no hi ha manera. Deu ser fàcil però avui estic espés. He provat a eliminar els usuaris del grup plugdev i es munten igualment. He modificat els valors automount i automount-open de la clau media-handling i tampoc. Alguna idea? -- Atentament, cubells. -- -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52dfa7c7.3090...@vcubells.net
Re: Evitar l'automuntatge
El 22/01/14 12:13, cubells ha escrit:
Hola:
Volia restringir el muntatge de dispositus usb als usuaris d'una debian
wheezy i no hi ha manera.
Deu ser fàcil però avui estic espés.
He provat a eliminar els usuaris del grup plugdev i es munten igualment.
He modificat els valors automount i automount-open de la clau
media-handling i tampoc.
Alguna idea?
he creat una regla udev amb el següent contingut
SUBSYSTEM==usb, ENV{UDISKS_AUTO}=0
i també poden muntar.
--
Atentament, cubells.
--
--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52dfab14.6020...@vcubells.net
Re: Evitar l'automuntatge
A Dimecres, 22 de gener de 2014, cubells va escriure:
El 22/01/14 12:13, cubells ha escrit:
Hola:
Volia restringir el muntatge de dispositus usb als usuaris d'una debian
wheezy i no hi ha manera.
Deu ser fàcil però avui estic espés.
He provat a eliminar els usuaris del grup plugdev i es munten igualment.
He modificat els valors automount i automount-open de la clau
media-handling i tampoc.
Alguna idea?
he creat una regla udev amb el següent contingut
SUBSYSTEM==usb, ENV{UDISKS_AUTO}=0
i també poden muntar.
fes una entrada al fstab. A mi em va passar el contrari, i no podia fer que
els usuaris poguessin muntar, i era pq l'instal·lador l'havia afegit.
Leo
--
--
Linux User 152692
Catalonia
signature.asc
Description: This is a digitally signed message part.
Re: Evitar l'automuntatge
Al 22/01/14 12:27, En/na cubells ha escrit:
El 22/01/14 12:13, cubells ha escrit:
Hola:
Volia restringir el muntatge de dispositus usb als usuaris d'una debian
wheezy i no hi ha manera.
Deu ser fàcil però avui estic espés.
He provat a eliminar els usuaris del grup plugdev i es munten igualment.
He modificat els valors automount i automount-open de la clau
media-handling i tampoc.
Alguna idea?
he creat una regla udev amb el següent contingut
SUBSYSTEM==usb, ENV{UDISKS_AUTO}=0
i també poden muntar.
En principi, només els usuaris al grup plugdev haurien de poder
muntar-los. Però no ho he comprovat.
--
Francesc Gordillo i Cortínez fran...@frangor.info
signature.asc
Description: OpenPGP digital signature
Re: Evitar l'automuntatge
El 23/01/14 00:11, Francesc Gordillo i Cortínez ha escrit: Al 22/01/14 12:27, En/na cubells ha escrit: En principi, només els usuaris al grup plugdev haurien de poder muntar-los. Però no ho he comprovat. A la wheezy, amb el gnome-fallback instal·lat no funciona. Ho he provat. Alguna idea més? -- Atentament, cubells. -- -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52e09284.6010...@vcubells.net
Re: Evitar l'automuntatge
A 2014-01-22 12:13, cubells escrigué:
Hola:
Volia restringir el muntatge de dispositus usb als usuaris d'una
debian wheezy i no hi ha manera.
Deu ser fàcil però avui estic espés.
He provat a eliminar els usuaris del grup plugdev i es munten
igualment.
He modificat els valors automount i automount-open de la clau
media-handling i tampoc.
Alguna idea?
--
Atentament, cubells.
Tinc uns text i enllaços que fa molts anys vaig trobar per uns alumnes
de FP que intentaven fer el mateix. No sé si funciona ni si és ben bé el
que busques ni sabria interpretar molt bé el que t'envio. Ho tenia al
disc dur des de fa anys però ja no m'enrecordo de que va:
#ACTION==add, SUBSYSTEMS==usb, RUN+=/bin/sh -c 'echo 0
/sys$DEVPATH/authorized'
ACTION==add, SUBSYSTEMS==usb, RUN+=/bin/sh -c 'for host in
/sys/bus/usb/devices/usb*; do echo 0 $host/authorized_default; done'
http://www.mjmwired.net/kernel/Documentation/usb/authorization.txt
Based on kernel version 2.6.36. Page generated on 2010-10-22 13:21 EST.
Authorizing (or not) your USB devices to connect to the system
(C) 2007 Inaky Perez-Gonzalez in...@linux.intel.com Intel Corporation
This feature allows you to control if a USB device can be used (or
not) in a system. This feature will allow you to implement a lock-down
of USB devices, fully controlled by user space.
As of now, when a USB device is connected it is configured and
its interfaces are immediately made available to the users. With this
modification, only if root authorizes the device to be configured will
then it be possible to use it.
Usage:
Authorize a device to connect:
$ echo 1 /sys/bus/usb/devices/DEVICE/authorized
Deauthorize a device:
$ echo 0 /sys/bus/usb/devices/DEVICE/authorized
Set new devices connected to hostX to be deauthorized by default (ie:
lock down):
$ echo 0 /sys/bus/usb/devices/usbX/authorized_default
Remove the lock down:
$ echo 1 /sys/bus/usb/devices/usbX/authorized_default
By default, Wired USB devices are authorized by default to
connect. Wireless USB hosts deauthorize by default all new connected
devices (this is so because we need to do an authentication phase
before authorizing).
Example system lockdown (lame)
---
Imagine you want to implement a lockdown so only devices of type XYZ
can be connected (for example, it is a kiosk machine with a visible
USB port):
boot up
rc.local -
for host in /sys/bus/usb/devices/usb*
do
echo 0 $host/authorized_default
done
Hookup an script to udev, for new USB devices
if device_is_my_type $DEV
then
echo 1 $device_path/authorized
done
Now, device_is_my_type() is where the juice for a lockdown is. Just
checking if the class, type and protocol match something is the worse
security verification you can make (or the best, for someone willing
to break it). If you need something secure, use crypto and Certificate
Authentication or stuff like that. Something simple for an storage key
could be:
function device_is_my_type()
{
echo 1 authorized # temporarily authorize it
# FIXME: make sure none can mount it
mount DEVICENODE /mntpoint
sum=$(md5sum /mntpoint/.signature)
if [ $sum = $(cat /etc/lockdown/keysum) ]
then
echo We are good, connected
umount /mntpoint
# Other stuff so others can use it
else
echo 0 authorized
fi
}
Of course, this is lame, you'd want to do a real certificate
verification stuff with PKI, so you don't depend on a shared secret,
etc, but you get the idea. Anybody with access to a device gadget kit
can fake descriptors and device info. Don't trust that. You are
welcome.
--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/dd18f813183301532a216018c935a...@probeta.net
