[Résolu]Interdire l'écriture sur les supports USB

Amo-jpt · Le 23/02/2015, à 16:03

Bonjour à tous,

J'aimerais interdire les droits en écritures sur tous les supports USB, cd-rom afin qu'aucun fichier ne puisse être exporté de l'ordinateur mais il faut que l"utilisateur puisse importer ces propres données grâce à sa clé USB. Il faut interdire les droits en écritures sur les médias.

Avez-vous une idée pour réaliser cette action ? Je ne suis pas sur de moi, je pense qu'il faut jouer avec la commande chmod sur le dossier /media/.

Cordialement,

Modération : cette discussion a été déplacée, la section "accessibilité" est prévue pour échanger sur les questions liées l'accès à l'ordinateur par des personnes ayant des difficultés de toutes sortes.

Dernière modification par Ayral (Le 30/11/2015, à 11:55)

Braun · Le 23/02/2015, à 18:58

Bonjour,
Sur le dossier /media j'ai un doute, par contre sur chaque dossier correspondant à un périphérique, éventuellement jouer sur chown et chmod est une idée. Sinon voir aussi du côté de /etc/fstab.

xabilon · Le 24/02/2015, à 04:55

Salut

Pour la gravure CD/DVD, la solution la plus pratique mes semble de créer un groupe autorisé à exécuter le binaire du logiciel de gravure, et interdire l'exécution à ceux qui n'en font pas partie. L'utilisateur pourra toujours installer un logiciel de gravure dans son /home, mais il me semble qu'il lui faut les droits d'admin pour accéder au graveur.

Pour les disques/clés USB, ça me parait plus compliqué... depuis l'arrivée de udisks2, les media amovibles montés par USER sont montés dans /media/USER

Le bidouillage dans fstab peut marcher jusqu'à un certain point, mais il aura du mal à s'adapter à toutes les circonstances (plusieurs disques externes ou plusieurs partitions, système de fichiers différents...).
Il faudrait peut-être regarder du côté de la routine de montage automatique avec udisks ou udisksctl, pour qu'il passe les options appropriées lors du montage (umask=0222), mais je trouve pas d'infos sur les fichiers de config...

Dernière modification par xabilon (Le 24/02/2015, à 05:02)

Amo-jpt · Le 24/02/2015, à 15:34

Je vois, merci. Je n'ai pas encore trouvé la solution mais au moins il y a des pistes à voir comme /etc/fstab ou udisk.

xabilon · Le 24/02/2015, à 17:27

Le problème avec la solution du fstab, c'est que qu'il faut utiliser un nom de périphérique, donc :

- soit tu utilises le UUID d'une clé USB, mais dans ce cas l'astuce ne fonctionne que avec cette clé bien précise, les autres seront montées normalement.
- soit, si tu as par exemple 2 disques durs internes, tu sais que la prochaine partition montée sera sdc1, donc tu peux renseigner /dev/sdc1 dans le fstab. Mais si tu montes une autre clé, ce sera sdd1 (ou si c'est une clé à 2 partitions, sdc2), et là ça marchera plus

En plus ça pose problème avec les différents systèmes de fichier ext, fat et ntfs. Cette solution est préconisée lorsqu'on veut monter une clé/disque externe particulier en lecture seule, et uniquement celui-là.

Braun · Le 24/02/2015, à 17:30

Je crains que le problème soit le même avec toutes les méthodes : il est difficile d'être exhaustif.

xabilon · Le 24/02/2015, à 17:37

Avec udisksctl (la commande de contrôle de udisks), par exemple, si tu branches une clé USB sans la monter, puis en terminal :

udisksctl mount -b /dev/sdc1 -o ro

la partition sdc1 de la clé sera montée en lecture seule.
À mon avis c'est la piste à privilégier, mais c'est pas facile de trouver des infos précises sur les fichiers de config... il faudrait trouver d'où est appelée cette commande (ou udisks) lors du montage d'une partition externe, et y ajouter l'option adéquate.

Dernière modification par xabilon (Le 24/02/2015, à 17:39)

maxire · Le 24/02/2015, à 17:42

Salut,

Une piste, comme les clefs USB sont montées automatiquement (ou non, il est possible de désactiver ce montage) dans l'espace utilisateur par fuse voir comment paramétrer /etc/fuse.conf pour arriver à ton but.

Extrait de la page man 8 fuse:

fuse(8)                     System Manager's Manual                    fuse(8)

NAME
       fuse - format and options for the fuse file systems

DESCRIPTION
       FUSE (Filesystem in Userspace) is a simple interface for userspace pro‐
       grams to export a virtual filesystem to the  Linux  kernel.  FUSE  also
       aims  to provide a secure method for non privileged users to create and
       mount their own filesystem implementations.

CONFIGURATION
       Some  options  regarding  mount  policy  can  be  set   in   the   file
       /etc/fuse.conf. Currently these options are:

       mount_max = NNN
              Set the maximum number of FUSE mounts allowed to non-root users.
              The default is 1000.

       user_allow_other
              Allow non-root users to specify the  allow_other  or  allow_root
              mount options (see below).

Dernière modification par maxire (Le 24/02/2015, à 17:42)

maxire · Le 24/02/2015, à 17:54

Extrait de man fuse:

 umask=M
              Override  the  permission bits in st_mode set by the filesystem.
              The resulting permission bits are  the  ones  missing  from  the
              given umask value.  The value is given in octal representation.

       uid=N  Override the st_uid field set by the filesystem (N is numeric).

       gid=N  Override the st_gid field set by the filesystem (N is numeric).

Il devrait être possible de jouer dans /etc/fuse,conf avec le paramètre umask

Amo-jpt · Le 24/02/2015, à 18:47

J'ai trouvé aussi ce sujet parlant des permissions pour des cles USB : Cliquez-ici
Le seul problème, c'est que le poste sur udev date de 2006 et donc il y a eu des mises à jours entre temps. Je vais aussi regarder aussi fuse, merci.

Braun · Le 24/02/2015, à 22:22

Pour faire monter le schmillblick tu peux googler ceci : « udev usb key read only », il y a du monde.

maxire · Le 25/02/2015, à 10:11

Oublies fuse, tu auras beau modifié /etc/fuse.conf, le démon utilisateur gvfsd-fuse qui réalise le montage sous le contrôle de gvfsd ne semble pas en tenir compte.
La solution, si elle existe est à trouver dans une règle udev.

Amo-jpt · Le 26/03/2015, à 18:47

La solution existe belle et bien, elle se trouve dans les règles de Udev. J'ai réussi grâce à Ce Site. Il suffit d'adapter ce code à son besoin et le tour est joué.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 23/02/2015, à 16:03

[Résolu]Interdire l'écriture sur les supports USB

#2 Le 23/02/2015, à 18:58

Re : [Résolu]Interdire l'écriture sur les supports USB

#3 Le 24/02/2015, à 04:55

Re : [Résolu]Interdire l'écriture sur les supports USB

#4 Le 24/02/2015, à 15:34

Re : [Résolu]Interdire l'écriture sur les supports USB

#5 Le 24/02/2015, à 17:27

Re : [Résolu]Interdire l'écriture sur les supports USB

#6 Le 24/02/2015, à 17:30

Re : [Résolu]Interdire l'écriture sur les supports USB

#7 Le 24/02/2015, à 17:37

Re : [Résolu]Interdire l'écriture sur les supports USB

#8 Le 24/02/2015, à 17:42

Re : [Résolu]Interdire l'écriture sur les supports USB

#9 Le 24/02/2015, à 17:54

Re : [Résolu]Interdire l'écriture sur les supports USB

#10 Le 24/02/2015, à 18:47

Re : [Résolu]Interdire l'écriture sur les supports USB

#11 Le 24/02/2015, à 22:22

Re : [Résolu]Interdire l'écriture sur les supports USB

#12 Le 25/02/2015, à 10:11

Re : [Résolu]Interdire l'écriture sur les supports USB

#13 Le 26/03/2015, à 18:47

Re : [Résolu]Interdire l'écriture sur les supports USB

Pied de page des forums