On 03/01/2017 19:44, Gian Luca Dequecker wrote: > Je me permets de revenir sur la problématique d'une solution pour la > gestion des périphériques usb en mode lecture seule. > > La configuration matérielle sur laquelle je dois travailler se base sur > Debian Jessie avec le gestionnaire de bureau Xfce. > > Première solution : > Commande mount au sein d'une règle udev (avec le paramètre MODE= > "0500"). Cette règle fait apparaître, dans le gestionnaire de fichier > Thunar , deux accès différents vers la même clé Usb. > Les deux références à votre périphérique permettent-elles toutes les deux d’accéder aux fichiers depuis l’explorateur de fichier 'thunar' ?
D'autre part, pourriez-vous copier-coller le code source de votre script exécuté par udev sur un site comme pastebin ? Pour ma part, je n'ai qu'une référence vers mes périphériques. > Deuxième solution : > Règle udev et référence, dans fstab, du point de montage indiqué dans la > règle udev. Cette solution me paraît moins souple que la première. > Et je n'ai pas de référence relative à mes périphériques amovible dans /etc/fstab. > Avez-vous d'autres solution ? Peut-être que la solution proposée par Sebastien (usbguard) pourrait vous convenir ? > Merci. > Cordialement, Florian > Le 27 décembre 2016 à 22:43, Gian Luca Dequecker > <gianluca.dequec...@gmail.com <mailto:gianluca.dequec...@gmail.com>> a > écrit : > > Avant de vous demander conseil, j'avais désactivé l'accès au > stockage usb avec Modprobe: "install usb-storage /bin/true" dans le > fichier /etc/modprobe.d/usb-storage.conf (un peut trop radical). Je > vais donc explorer udev. Merci a vous, bonnes fêtes. > > Le 26 décembre 2016 à 22:35, BERBAR Florian <florian.ber...@free.fr > <mailto:florian.ber...@free.fr>> a écrit : > > On 26/12/2016 18:08, jerome wrote: > > Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a > écrit : > >> Pour des raisons de sécurité, je voudrais bloquer l’utilisation des > >> périphériques connectés sur les ports USB (écriture sur le disque > >> dur, ssd, > >> pendrive), mais laisser la possibilité de connecter un appareil > photo > >> numérique (décharger les photos). Pouvez-vous m'indiquer comment > >> procéder? > >> Merci pour votre aide. > > > > Bloquer je sais, bloquer sans bloquer... peut être simplement en > > utilisant des règles UDEV, mais il y aura quand même un accès sur le > > Je complète la proposition de jerome en confirmant que UDEV peut > permettre de filtrer les périphériques USB. UDEV repose sur des > règles > qui sont définies dans le répertoire de configuration de UDEV. > > Sur la debian que j'utilise pour écrire ce message : > $ ls -l /etc/udev/rules.d/ > total 20 > -rw-r--r-- 1 root root 1468 sept. 2 2014 56-hpmud.rules > -rw-r--r-- 1 root root 755 août 25 20:15 60-vboxdrv.rules > -rw-r--r-- 1 root root 788 janv. 9 2013 70-persistent-cd.rules > -rw-r--r-- 1 root root 832 déc. 17 2015 70-persistent-net.rules > -rw-r--r-- 1 root root 223 juil. 31 19:01 70-persistent-usb.rules > > Les règles concernant les périphérique USB sont dans le fichier > "70-persistent-usb.rules". > > Voici un exemple de règle : > > SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add", > RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'" > > Pour procéder à un filtrage, il est possible de définir un > script qui > sera appelé lors qu'un périphérique USB sera inséré. Ce script ce > chargera de l'action à réaliser lors de l'insertion : montage ou > rejet > d'un périphérique. > > Dans la continuité de l'exemple précédant la règle est en écoute des > événements "usb" (SUBSYSTEMS=="usb") qui créera un "device" > nommé "sd*" > (* sera remplacé par la dernière lettre disponible) dans le > répertoire > /dev (KERNEL=="sd*"), l'interception d'une action d'ajout de > périphérique (ACTION=="add") exécutera le script > "/usr/local/bin/add.sh" > avec comme paramètres le nom du périphérique inséré > (%E{DEVNAME}) et et > sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb > '%E{DEVNAME}' > '%E{ID_FS_UUID}'"). > > A partir de la, tu peux facilement imaginé un script qui > parcours une > liste de périphérique représentant les périphériques USB > autorisé afin > compare le périphérique inséré au périphérique USB autorisé (ton > appareil photo). > > Certes cette solution nécessite un peu d'assurance en > programmation de > script, mais elle n'est pas irréalisable. > > Voici la documentation officielle pour plus d'informations : > https://www.freedesktop.org/software/systemd/man/udev.html > <https://www.freedesktop.org/software/systemd/man/udev.html> > > > périphérique au moment de l'identification. > > > > Affectivement les périphérique présent lors de la phase de démarrage > semble être montés automatiquement malgré la règle UDEV. > Peut-être que > la désactivation du support USB lors de la phase de peut être > une solution. > > Cordialement, > > Florian > > >
