Re: Bloquer péripheriques Usb

2017-01-11 Par sujet BERBAR Florian 
On 03/01/2017 19:44, Gian Luca Dequecker wrote:
> Je me permets de revenir sur la problématique d'une solution pour la
> gestion des périphériques usb en mode lecture seule.
> 
> La configuration matérielle sur laquelle je dois travailler se base sur
> Debian Jessie avec le gestionnaire de bureau Xfce.
> 
> Première solution :
> Commande mount au sein d'une règle udev (avec le paramètre MODE=
> "0500"). Cette règle fait apparaître, dans le gestionnaire de fichier
> Thunar , deux accès différents vers la même clé Usb.
> 
Les deux références à votre périphérique permettent-elles toutes les
deux d’accéder aux fichiers depuis l’explorateur de fichier 'thunar' ?

D'autre part, pourriez-vous copier-coller le code source de votre script
exécuté par udev sur un site comme pastebin ?

Pour ma part, je n'ai qu'une référence vers mes périphériques.

> Deuxième solution :
> Règle udev et référence, dans fstab, du point de montage indiqué dans la
> règle udev. Cette solution me paraît moins souple que la première.
> 
Et je n'ai pas de référence relative à mes périphériques amovible dans
/etc/fstab.


> Avez-vous d'autres solution ?

Peut-être que la solution proposée par Sebastien (usbguard) pourrait
vous convenir ?

> Merci.
> 
Cordialement,

Florian
> Le 27 décembre 2016 à 22:43, Gian Luca Dequecker
> > a
> écrit :
> 
> Avant de vous demander conseil, j'avais désactivé l'accès au
> stockage usb avec Modprobe: "install usb-storage /bin/true" dans le
> fichier /etc/modprobe.d/usb-storage.conf (un peut trop radical). Je
> vais donc explorer udev. Merci a vous, bonnes fêtes.
> 
> Le 26 décembre 2016 à 22:35, BERBAR Florian  > a écrit :
> 
> On 26/12/2016 18:08, jerome wrote:
> > Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a 
> écrit :
> >> Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
> >> périphériques connectés sur les ports USB (écriture sur le disque
> >> dur, ssd,
> >> pendrive), mais laisser la possibilité de connecter un appareil 
> photo
> >> numérique (décharger les photos). Pouvez-vous m'indiquer comment
> >> procéder?
> >> Merci pour votre aide.
> >
> > Bloquer je sais, bloquer sans bloquer... peut être simplement en
> > utilisant des règles UDEV, mais il y aura quand même un accès sur le
> 
> Je complète la proposition de jerome en confirmant que UDEV peut
> permettre de filtrer les périphériques USB. UDEV repose sur des
> règles
> qui sont définies dans le répertoire de configuration de UDEV.
> 
> Sur la debian que j'utilise pour écrire ce message :
> $ ls -l /etc/udev/rules.d/
> total 20
> -rw-r--r-- 1 root root 1468 sept.  2  2014 56-hpmud.rules
> -rw-r--r-- 1 root root  755 août  25 20:15 60-vboxdrv.rules
> -rw-r--r-- 1 root root  788 janv.  9  2013 70-persistent-cd.rules
> -rw-r--r-- 1 root root  832 déc.  17  2015 70-persistent-net.rules
> -rw-r--r-- 1 root root  223 juil. 31 19:01 70-persistent-usb.rules
> 
> Les règles concernant les périphérique USB sont dans le fichier
> "70-persistent-usb.rules".
> 
> Voici un exemple de règle :
> 
> SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add",
> RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"
> 
> Pour procéder à un filtrage, il est possible de définir un
> script qui
> sera appelé lors qu'un périphérique USB sera inséré. Ce script ce
> chargera de l'action à réaliser lors de l'insertion : montage ou
> rejet
> d'un périphérique.
> 
> Dans la continuité de l'exemple précédant la règle est en écoute des
> événements "usb" (SUBSYSTEMS=="usb") qui créera un "device"
> nommé "sd*"
> (* sera remplacé par la dernière lettre disponible) dans le
> répertoire
> /dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
> périphérique (ACTION=="add") exécutera le script
> "/usr/local/bin/add.sh"
> avec comme paramètres le nom du périphérique inséré
> (%E{DEVNAME}) et et
> sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb
> '%E{DEVNAME}'
> '%E{ID_FS_UUID}'").
> 
> A partir de la, tu peux facilement imaginé un script qui
> parcours une
> liste de périphérique représentant les périphériques USB
> autorisé afin
> compare le périphérique inséré au périphérique USB autorisé (ton
> appareil photo).
> 
> Certes cette solution nécessite un peu d'assurance en
> programmation de
> script, mais elle n'est pas irréalisable.
> 
> Voici la documentation officielle pour plus d'informations :
>

Re: Bloquer péripheriques Usb

2017-01-04 Par sujet Sebastien Badia 
On Tue, Jan 03, 2017 at 07:44:40PM (+0100), Gian Luca Dequecker wrote:
> Je me permets de revenir sur la problématique d'une solution pour la
> gestion des périphériques usb en mode lecture seule.
> 
> La configuration matérielle sur laquelle je dois travailler se base sur
> Debian Jessie avec le gestionnaire de bureau Xfce.
> 
> Première solution :
> Commande mount au sein d'une règle udev (avec le paramètre MODE= "0500").
> Cette règle fait apparaître, dans le gestionnaire de fichier Thunar , deux
> accès différents vers la même clé Usb.
> 
> Deuxième solution :
> Règle udev et référence, dans fstab, du point de montage indiqué dans la
> règle udev. Cette solution me paraît moins souple que la première.
> 
> Avez-vous d'autres solution ?
> Merci.

Hello,

Il me semble que usbguard n'a pas été mentionné, mais ça doit faire le boulot
aussi. (le paquet est par contre disponible qu'a partir de stretch).

  https://dkopecek.github.io/usbguard/

  https://tracker.debian.org/pkg/usbguard

Seb


signature.asc
Description: PGP signature

Re: Bloquer péripheriques Usb

2017-01-03 Par sujet Gian Luca Dequecker 
Je me permets de revenir sur la problématique d'une solution pour la
gestion des périphériques usb en mode lecture seule.

La configuration matérielle sur laquelle je dois travailler se base sur
Debian Jessie avec le gestionnaire de bureau Xfce.

Première solution :
Commande mount au sein d'une règle udev (avec le paramètre MODE= "0500").
Cette règle fait apparaître, dans le gestionnaire de fichier Thunar , deux
accès différents vers la même clé Usb.

Deuxième solution :
Règle udev et référence, dans fstab, du point de montage indiqué dans la
règle udev. Cette solution me paraît moins souple que la première.

Avez-vous d'autres solution ?
Merci.

Le 27 décembre 2016 à 22:43, Gian Luca Dequecker <
gianluca.dequec...@gmail.com> a écrit :

> Avant de vous demander conseil, j'avais désactivé l'accès au stockage usb
> avec Modprobe: "install usb-storage /bin/true" dans le fichier
> /etc/modprobe.d/usb-storage.conf (un peut trop radical). Je vais donc
> explorer udev. Merci a vous, bonnes fêtes.
>
> Le 26 décembre 2016 à 22:35, BERBAR Florian  a
> écrit :
>
>> On 26/12/2016 18:08, jerome wrote:
>> > Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
>> >> Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
>> >> périphériques connectés sur les ports USB (écriture sur le disque
>> >> dur, ssd,
>> >> pendrive), mais laisser la possibilité de connecter un appareil photo
>> >> numérique (décharger les photos). Pouvez-vous m'indiquer comment
>> >> procéder?
>> >> Merci pour votre aide.
>> >
>> > Bloquer je sais, bloquer sans bloquer... peut être simplement en
>> > utilisant des règles UDEV, mais il y aura quand même un accès sur le
>>
>> Je complète la proposition de jerome en confirmant que UDEV peut
>> permettre de filtrer les périphériques USB. UDEV repose sur des règles
>> qui sont définies dans le répertoire de configuration de UDEV.
>>
>> Sur la debian que j'utilise pour écrire ce message :
>> $ ls -l /etc/udev/rules.d/
>> total 20
>> -rw-r--r-- 1 root root 1468 sept.  2  2014 56-hpmud.rules
>> -rw-r--r-- 1 root root  755 août  25 20:15 60-vboxdrv.rules
>> -rw-r--r-- 1 root root  788 janv.  9  2013 70-persistent-cd.rules
>> -rw-r--r-- 1 root root  832 déc.  17  2015 70-persistent-net.rules
>> -rw-r--r-- 1 root root  223 juil. 31 19:01 70-persistent-usb.rules
>>
>> Les règles concernant les périphérique USB sont dans le fichier
>> "70-persistent-usb.rules".
>>
>> Voici un exemple de règle :
>>
>> SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add",
>> RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"
>>
>> Pour procéder à un filtrage, il est possible de définir un script qui
>> sera appelé lors qu'un périphérique USB sera inséré. Ce script ce
>> chargera de l'action à réaliser lors de l'insertion : montage ou rejet
>> d'un périphérique.
>>
>> Dans la continuité de l'exemple précédant la règle est en écoute des
>> événements "usb" (SUBSYSTEMS=="usb") qui créera un "device" nommé "sd*"
>> (* sera remplacé par la dernière lettre disponible) dans le répertoire
>> /dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
>> périphérique (ACTION=="add") exécutera le script "/usr/local/bin/add.sh"
>> avec comme paramètres le nom du périphérique inséré (%E{DEVNAME}) et et
>> sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb '%E{DEVNAME}'
>> '%E{ID_FS_UUID}'").
>>
>> A partir de la, tu peux facilement imaginé un script qui parcours une
>> liste de périphérique représentant les périphériques USB autorisé afin
>> compare le périphérique inséré au périphérique USB autorisé (ton
>> appareil photo).
>>
>> Certes cette solution nécessite un peu d'assurance en programmation de
>> script, mais elle n'est pas irréalisable.
>>
>> Voici la documentation officielle pour plus d'informations :
>> https://www.freedesktop.org/software/systemd/man/udev.html
>>
>> > périphérique au moment de l'identification.
>> >
>>
>> Affectivement les périphérique présent lors de la phase de démarrage
>> semble être montés automatiquement malgré la règle UDEV. Peut-être que
>> la désactivation du support USB lors de la phase de peut être une
>> solution.
>>
>> Cordialement,
>>
>> Florian
>>
>
>

Re: Bloquer péripheriques Usb

2016-12-27 Par sujet Gian Luca Dequecker 
Avant de vous demander conseil, j'avais désactivé l'accès au stockage usb
avec Modprobe: "install usb-storage /bin/true" dans le fichier
/etc/modprobe.d/usb-storage.conf (un peut trop radical). Je vais donc
explorer udev. Merci a vous, bonnes fêtes.

Le 26 décembre 2016 à 22:35, BERBAR Florian  a
écrit :

> On 26/12/2016 18:08, jerome wrote:
> > Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
> >> Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
> >> périphériques connectés sur les ports USB (écriture sur le disque
> >> dur, ssd,
> >> pendrive), mais laisser la possibilité de connecter un appareil photo
> >> numérique (décharger les photos). Pouvez-vous m'indiquer comment
> >> procéder?
> >> Merci pour votre aide.
> >
> > Bloquer je sais, bloquer sans bloquer... peut être simplement en
> > utilisant des règles UDEV, mais il y aura quand même un accès sur le
>
> Je complète la proposition de jerome en confirmant que UDEV peut
> permettre de filtrer les périphériques USB. UDEV repose sur des règles
> qui sont définies dans le répertoire de configuration de UDEV.
>
> Sur la debian que j'utilise pour écrire ce message :
> $ ls -l /etc/udev/rules.d/
> total 20
> -rw-r--r-- 1 root root 1468 sept.  2  2014 56-hpmud.rules
> -rw-r--r-- 1 root root  755 août  25 20:15 60-vboxdrv.rules
> -rw-r--r-- 1 root root  788 janv.  9  2013 70-persistent-cd.rules
> -rw-r--r-- 1 root root  832 déc.  17  2015 70-persistent-net.rules
> -rw-r--r-- 1 root root  223 juil. 31 19:01 70-persistent-usb.rules
>
> Les règles concernant les périphérique USB sont dans le fichier
> "70-persistent-usb.rules".
>
> Voici un exemple de règle :
>
> SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add",
> RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"
>
> Pour procéder à un filtrage, il est possible de définir un script qui
> sera appelé lors qu'un périphérique USB sera inséré. Ce script ce
> chargera de l'action à réaliser lors de l'insertion : montage ou rejet
> d'un périphérique.
>
> Dans la continuité de l'exemple précédant la règle est en écoute des
> événements "usb" (SUBSYSTEMS=="usb") qui créera un "device" nommé "sd*"
> (* sera remplacé par la dernière lettre disponible) dans le répertoire
> /dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
> périphérique (ACTION=="add") exécutera le script "/usr/local/bin/add.sh"
> avec comme paramètres le nom du périphérique inséré (%E{DEVNAME}) et et
> sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb '%E{DEVNAME}'
> '%E{ID_FS_UUID}'").
>
> A partir de la, tu peux facilement imaginé un script qui parcours une
> liste de périphérique représentant les périphériques USB autorisé afin
> compare le périphérique inséré au périphérique USB autorisé (ton
> appareil photo).
>
> Certes cette solution nécessite un peu d'assurance en programmation de
> script, mais elle n'est pas irréalisable.
>
> Voici la documentation officielle pour plus d'informations :
> https://www.freedesktop.org/software/systemd/man/udev.html
>
> > périphérique au moment de l'identification.
> >
>
> Affectivement les périphérique présent lors de la phase de démarrage
> semble être montés automatiquement malgré la règle UDEV. Peut-être que
> la désactivation du support USB lors de la phase de peut être une solution.
>
> Cordialement,
>
> Florian
>

Re: Bloquer péripheriques Usb

2016-12-26 Par sujet BERBAR Florian 
On 26/12/2016 18:08, jerome wrote:
> Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
>> Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
>> périphériques connectés sur les ports USB (écriture sur le disque
>> dur, ssd,
>> pendrive), mais laisser la possibilité de connecter un appareil photo
>> numérique (décharger les photos). Pouvez-vous m'indiquer comment
>> procéder?
>> Merci pour votre aide.
> 
> Bloquer je sais, bloquer sans bloquer... peut être simplement en
> utilisant des règles UDEV, mais il y aura quand même un accès sur le

Je complète la proposition de jerome en confirmant que UDEV peut
permettre de filtrer les périphériques USB. UDEV repose sur des règles
qui sont définies dans le répertoire de configuration de UDEV.

Sur la debian que j'utilise pour écrire ce message :
$ ls -l /etc/udev/rules.d/
total 20
-rw-r--r-- 1 root root 1468 sept.  2  2014 56-hpmud.rules
-rw-r--r-- 1 root root  755 août  25 20:15 60-vboxdrv.rules
-rw-r--r-- 1 root root  788 janv.  9  2013 70-persistent-cd.rules
-rw-r--r-- 1 root root  832 déc.  17  2015 70-persistent-net.rules
-rw-r--r-- 1 root root  223 juil. 31 19:01 70-persistent-usb.rules

Les règles concernant les périphérique USB sont dans le fichier
"70-persistent-usb.rules".

Voici un exemple de règle :

SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add",
RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"

Pour procéder à un filtrage, il est possible de définir un script qui
sera appelé lors qu'un périphérique USB sera inséré. Ce script ce
chargera de l'action à réaliser lors de l'insertion : montage ou rejet
d'un périphérique.

Dans la continuité de l'exemple précédant la règle est en écoute des
événements "usb" (SUBSYSTEMS=="usb") qui créera un "device" nommé "sd*"
(* sera remplacé par la dernière lettre disponible) dans le répertoire
/dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
périphérique (ACTION=="add") exécutera le script "/usr/local/bin/add.sh"
avec comme paramètres le nom du périphérique inséré (%E{DEVNAME}) et et
sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb '%E{DEVNAME}'
'%E{ID_FS_UUID}'").

A partir de la, tu peux facilement imaginé un script qui parcours une
liste de périphérique représentant les périphériques USB autorisé afin
compare le périphérique inséré au périphérique USB autorisé (ton
appareil photo).

Certes cette solution nécessite un peu d'assurance en programmation de
script, mais elle n'est pas irréalisable.

Voici la documentation officielle pour plus d'informations :
https://www.freedesktop.org/software/systemd/man/udev.html

> périphérique au moment de l'identification.
> 

Affectivement les périphérique présent lors de la phase de démarrage
semble être montés automatiquement malgré la règle UDEV. Peut-être que
la désactivation du support USB lors de la phase de peut être une solution.

Cordialement,

Florian


0x346BBA8F.asc
Description: application/pgp-keys


signature.asc
Description: OpenPGP digital signature

Re: Bloquer péripheriques Usb

2016-12-26 Par sujet jerome 
Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
> Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
> périphériques connectés sur les ports USB (écriture sur le disque
> dur, ssd,
> pendrive), mais laisser la possibilité de connecter un appareil photo
> numérique (décharger les photos). Pouvez-vous m'indiquer comment
> procéder?
> Merci pour votre aide.

Bloquer je sais, bloquer sans bloquer... peut être simplement en
utilisant des règles UDEV, mais il y aura quand même un accès sur le
périphérique au moment de l'identification.

Re: Bloquer péripheriques Usb

2016-12-26 Par sujet Grégory Reinbold 
Bonjour,

Si je comprends bien, tu voudrais pouvoir lire depuis les périphériques
USB, mais ne pas pouvoir y écrire ?

Montage en lecture seule ?
> si l'utilisateur est sur un env de bureau, voir l'en en question
> si montage par mount, voir man mount
> etc...

Tout dépend de comment sont montés tes périph.

Après il existe la solution Kernel, mais j'y toucherais en dernier
recours...

Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
> Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
> périphériques connectés sur les ports USB (écriture sur le disque
> dur, ssd, pendrive), mais laisser la possibilité de connecter un
> appareil photo numérique (décharger les photos). Pouvez-vous
> m'indiquer comment procéder? Merci pour votre aide.
-- 
Grégory Reinbold

Bloquer péripheriques Usb

2016-12-26 Par sujet Gian Luca Dequecker 
Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
périphériques connectés sur les ports USB (écriture sur le disque dur, ssd,
pendrive), mais laisser la possibilité de connecter un appareil photo
numérique (décharger les photos). Pouvez-vous m'indiquer comment procéder?
Merci pour votre aide.