#1 Le 30/03/2020, à 11:03
- shellxy
sécuriser un poste contre les médias USB via UDEV
Bonjour à tous,
Je souhaite autoriser sur mon system (kernel 4.19.0-8-amd64 x86_64) une seule clée USB : KINGSTON DATARAVELER50. (on est sur un parc de clée dédié qui ne sort pas de l'entreprise, nous sommes sur un réseaux SANS internet.)
Je souhaite supprimer toute autre type de clée (montage impossible par exemple).
Je me suis donc penché sur UDEV et je pense que je dois créé 2 règles:
première règle pour autoriser mon type de clée
deuxième règle pour bloquer le reste...
(dans un premier temps est-ce que cette démarche est OK pour vous?)
Ma création de règles vient ensuite :
# vi /etc/udev/rules.d/01-clee_usb_authorisees.rules
# vi /etc/udev/rules.d/02-clee_usb_refusees.rules
j'ai récupéré les informations de ma clée authorisée :
# udevadm info /dev/bus/usb/002/009
P: /devices/pci0000:00/0000:00:14.0/usb2/2-2
N: bus/usb/002/009
L: 0
E: DEVPATH=/devices/pci0000:00/0000:00:14.0/usb2/2-2
E: DEVNAME=/dev/bus/usb/002/009
E: DEVTYPE=usb_device
E: DRIVER=usb
E: PRODUCT=951/1666/110
E: TYPE=0/0/0
E: BUSNUM=002
E: DEVNUM=009
E: MAJOR=189
E: MINOR=136
E: SUBSYSTEM=usb
E: USEC_INITIALIZED=2273294108
E: ID_VENDOR=Kingston
E: ID_VENDOR_ENC=Kingston
E: ID_VENDOR_ID=0951
E: ID_MODEL=DataTraveler_3.0
E: ID_MODEL_ENC=DataTraveler\x203.0
E: ID_MODEL_ID=1666
E: ID_REVISION=0110
E: ID_SERIAL=Kingston_DataTraveler_3.0_80C5F289B6D2B331B81611A5
E: ID_SERIAL_SHORT=80C5F289B6D2B331B81611A5
E: ID_BUS=usb
E: ID_USB_INTERFACES=:080650:
E: ID_VENDOR_FROM_DATABASE=Kingston Technology
E: ID_MODEL_FROM_DATABASE=DataTraveler 100 G3/G4/SE9 G2
E: ID_DRIVE_THUMB=1
mais a présent je ne sais pas trop quoi faire ... je pense devoir utiliser mon ID_SERIAL_SHORT dans ma01-clee_usb_authorisees.rules :
ID_SERIAL_SHORT=="80C5F289B6D2B331B81611A5", MODE="0666"
et pour la seconde règle...aucune idee....
Merci a tous
Hors ligne
#2 Le 31/03/2020, à 16:45
- Nuliel
Re : sécuriser un poste contre les médias USB via UDEV
Bonjour,
Déjà j'en profite pour suivre le fil, ça m'intéresse.
Un clavier et souris filaire est un périphérique usb, donc attention à ne pas interdire trop de trucs
Un exemple de ce que tu veux faire est sur le wiki de gentoo: https://wiki.gentoo.org/wiki/Allow_only … ices#eudev , à adapter évidemment en fonction des retours de
lsusb
Dernière modification par Nuliel (Le 31/03/2020, à 16:45)
Hors ligne