Přihlásit | Registrovat
: [1]
   |   
: Zabezpečení USB a slotu na paměťové karty proti vynesení dat  ( 3702 )
tomba
Newbie
*

Karma: 0
: 41


« : January 24, 2012, 09:51:01 »

Dobrý den,

chci se zeptat, jak je možné zabezpečit počítač, aby kromě roota z něj nemohl nikdo jiný zkopírovat jakákoliv data na USB flash disk, externí HDD nebo paměťovou kartu. Ideálně, aby to fungovalo i opačným směrem - tedy kopírovat cokoliv do počítače.

Používáme Mandrivu 2010.2 One.

Děkuji.
Peťoš
Global Moderator
Hero Member
*****

Karma: 188
: 6 712



« #1 : January 24, 2012, 11:31:59 »

Ano, melo by stacit zakazat automount. Mrkni na msecgui, nekde by to tam byt myslim melo.

Do it or do not. There is no "try".

Peťošův repozitář je na adrese: http://petos.cz/rpms
Fotoblog: http://vzducholode.blogspot.com a http://petos.cz/category/fotky
tomba
Newbie
*

Karma: 0
: 41


« #2 : January 24, 2012, 16:58:08 »

Bohužel tam volbu, která by v názvu nebo v popisku měla automount, nemůžu najít. Pomůžeš mě nasměrovat? Ideálně screenshotem nebo podrobnějším popisem, kde to je.

(Hledal jsem to v Control centru --- Bezpečnost --- Nastavit zabezpečení systému, oprávnění a audit --- záložka Nastavení zabezpečení --- podzáložky jsem projel všechny, nejspíš to má být v Zabezpečení systému, ale volbu, která by se toho mohla týkat prostě nevidím)

A ještě dotaz k tomu - když vypnu automount, nebudou moci uživatelé stále média připojit ručně (tedy kliknutím např. v Dolphinu)?
« : January 24, 2012, 17:01:24 tomba »
tomba
Newbie
*

Karma: 0
: 41


« #3 : January 26, 2012, 12:03:25 »

Pomohl by prosím někdo??
Ivan Bibr
Administrator
Hero Member
*****

Karma: 52
: 3 298



« #4 : January 26, 2012, 17:22:19 »

No není to tak jednoduché, protože automount se již delší dobu nepoužívá - Peťoš zase mlží .

Automatické připojení mají ve skutečnosti na starosti tři komponenty - udev (udělá zařízení v /dev/), dbus (pošle zprávu na sběrnici) a pak nějaká automount-démon daného prostředí (zachytí zprávu a nabídne nějaké akce). Podívejte se sem, kde jsou nástiny dvou zajímavých řešení:

http://forums.fedoraforum.org/showthread.php?t=252453

- jednak dát na blasklist modul usb-storage a pak upravit nastavení PolicyKity, který je právě pro toto určen. To první je mnohem jednodušší a dá se s tím žít. Mrkněte tam, je to zřejmé na první pohled.

Paur
Hero Member
*****

Karma: 31
: 1 416


http://pavel-linux.blogspot.com/

312891810
« #5 : January 26, 2012, 19:55:37 »

Možná je to blbost, ale což takhle použít nastavení uživatelských účtů? Představoval bych si to tak, že by běžný uživatel nebyl ve skupině usb. Ovšem jak by to potom vypadalo s používáním jiných USB zařízení než výměnná média?
Snad se k tomu vyjádří někdo kompetentnější... (nebo někdo vyzkoušejte!)

NTB: Acer Extensa 5220 (Celeron 1,73 GHz,2GB), Mageia 2 32bit KDE 4.8.2)
PC: Intel C2D E4300,2GB,NVidiaGF7600GS,Mageia 2 32 bit KDE 4.8.2, WinXP Pro
Tablety: SmartQ V5-II (ARM 720 MHz, 256 MB, 2 GB, Android 2.1, Ubuntu 9.10 LXDE), Archos 101G9 (OMAP 2x1 GHz , 512 MB, Android 4)
tomba
Newbie
*

Karma: 0
: 41


« #6 : January 26, 2012, 22:29:18 »

No není to tak jednoduché, protože automount se již delší dobu nepoužívá - Peťoš zase mlží .

Automatické připojení mají ve skutečnosti na starosti tři komponenty - udev (udělá zařízení v /dev/), dbus (pošle zprávu na sběrnici) a pak nějaká automount-démon daného prostředí (zachytí zprávu a nabídne nějaké akce). Podívejte se sem, kde jsou nástiny dvou zajímavých řešení:

http://forums.fedoraforum.org/showthread.php?t=252453

- jednak dát na blasklist modul usb-storage a pak upravit nastavení PolicyKity, který je právě pro toto určen. To první je mnohem jednodušší a dá se s tím žít. Mrkněte tam, je to zřejmé na první pohled.

Mám udělat obě věci? I dát na blacklist, i upravit nastavení PolicyKitu?
Snažil jsem se najít i nějaké grafické nastavení PolicyKitu a zjistil jsem, že to je v "Nastavit vaše pracovní prostředí", záložka "Pokročilé" ikonka "Autorizace PolicyKit". Je tam dokonce i volba pod "hal" "Mount file systems from removable drives", kde se dá nastavit "Implicitní autorizace". Bohužel ať to změním jakkoliv, nejde mi to pak uložit. Zkoušel jsem to spustit i jako root (systemsettings), ale tam není ani ikonka k uložení/změně aktivní.

PS: vyzkoušel jsem vytvořit ten soubor, který zmiňují na fedoraforum a nic, stále mi jde připojit flash disk jako normálnímu uživateli.
« : January 26, 2012, 22:55:32 tomba »
Ivan Bibr
Administrator
Hero Member
*****

Karma: 52
: 3 298



« #7 : January 27, 2012, 14:44:24 »

Stačí jen jedno, ten blacklist je dost drakonický ale podle mne nejjednodušší. V MDV by mělo stačit toto:

echo "blacklist usb_storage" > /etc/modprobe.conf

a reboot. Nemám to vyzkoušeno, nutno zkusit a po rebootu ověřit, jestli tam ten modul je nebo není (lsmod |grep usb_storage).

Když to bude potřebovat root, musí si zavést modul (insmod usb_storage) a po skončení práce ho zase odstranit (rmmod usb_storage).



: [1]
   |   
 
: