Что-то пусто тут..
Сидел вот как-то и думал… А в голове вертелось:
-- Хочу писать на флешку я! -
Сказал админу юзер.
-- Ну хорошо, я дам права. -
И запустил консоль он.
-- Добавлю в группу flash_rw,
На sda* дам запись.
Копировать — mtools зови,
Не стоит mount делать.
-- Вот хорошо, вот и спасибо! -
Админу юзер восклицал.
А в голове своей коварной
Он хитрый план нарисовал:
«Когда админ наш вставит флешку
hotplug её ему найдёт.
/proc/scsi/scsi враз изменит,
О флешке запись занесёт.
А я в скрипте своём несложном
То измененье отслежу.
Так все админские пароли
Я с этой флешки украду…»
Собственно, вопрос проще некуда: как быть?
Ну, формулировака-то простая, а вот с решением — не складывается как-то.
Идея 1-ая: разграничивать по серийному номеру на разные sdX, соответственно, и разные права доступа.
Минус — при количестве разных пользователей больше числа sdX — тупик.
Идея 2-ая: сделать что-то скрипта триггера: запустил перед вставкой флешки скрипт, а он для этого пользователя hotplug-у инструкции на, скажем, минуту, ожидание дал.
Может несколько несуразно выразился… В общем, резервирование перед подключением. А дальше и права соответственно, если за указанный период вставлена флешка.
Минусов вроде не видно, но и тут можно напакостить.
Только непонятно, как это дело оформлять.
Вот, пока на этом все идеи.
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
У меня так вообще прок/скази/скази отсуйствует. А что туда пишется, пароль? Это было бы интересно…
Good Luck,
UT
при включенной (вставленной) флешке:
А, понял, в чем прикол… А почему не монтировать флешку как белым людЯм-то? И все путем будет, нет? Я монтирую…
Good Luck,
UT
нет, к сожалению, не понял….
итак, что мы имеем:
комп, за которым могут сидеть несколько пользователей.
расшаренную им для работы флешку. делать они с ней могут что хотят..
проблема: пользователь, любой, может оставить при логоффе работающий скрипт.
в котором можно отслеживать появление другой флешки. и копирование оной на винт. как только она воткнута. отследить это можно только постфактум. и это хорошо, если только просто копировать.. а то ведь и стереть можно..
задача: от этого защититься. при этом не потеряв возможность неограниченной работы пользователей с собственной флешкой.
решение: немного подтолкнули в fido на тему pam_console. вот только у меня его нету.. ;( надо обновлять, а я этого не очень-то люблю :)
но, тем не менее, вопросы возникают и в этом случае: к примеру, воткнули две флешки…. :) или логин кто-то, vlock, подходит к кто-то другой и переключается, логинится на другой консоли. отлогинивается. приходит первый. переключается на консоль свою — и не может получить доступ до флешки.
ладно, с этим можно разобраться, если запретить чистую консоль, оставив только иксы. но в этом случае — pam_console ведёт себя не очень-то радостно….
разве что прописать где в стартовых скриптах настройку прав определённых устройств при логине в xdm…. что, в принципе, решит часть проблемы, но не более того. всё же думать надо.
Вопрос ребром: Почему не монтировать флешку, зачем нужны mtools?
Good Luck,
UT
а это, собственно, без разницы.
mtools как один из вариантов работы с флешкой.
монтирование, которое с -o…,user в этом плане не даст никаких защит от этого.
кроме того: «делать они с ней могут что хотят..». означает, что доступ до устройства и разделов — полный. группе.
это как с дискетой.
Чей-то я не врубаюсь… Кажись, ты гонишь, мэн… :-)
$cat /etc/fstab
/dev/sda1 /mnt/floppy auto noauto,user,owner,umask=077 0 0
$mount /mnt/floppy
$ls -l /mnt
drwx—— 2 ut root 16384 1969-12-31 19:00 floppy
$su vasja
Password:
vasja@14:41:23/home/ut$ ls /mnt/floppy
ls: /mnt/floppy: Permission denied
У меня флешка флоппей называется, потому как настоящей флоппи нет.
Good Luck,
UT
вот и именно, что ты не до конца понимаешь суть проблемы, так как тебе стОит поразмышлять над:
и
примонтируется флешка в скрипте — и хрен юзер vasya её прочитает, пока с ней скрипт чего не сделает…
Блин, так ты бы выражался как нормальные люди, а не как сушеный Пушкин… :-)
Кажется, понял тебя я, страдалец в сосуде сидящий!
Хочешь сказать ты, что флешка воткнутая рутом
Будет монтирована безответственным скриптом
Юзера Васи злодея, смеющегося в уголочке.
И насладившись запретной инфою админа,
Скрипт размонтирует флешку обратно, конечно,
Чтобы админ не успел заподозрить подвоха
И накопировал свежих паролей на флешку!
С ужасом ныне взираю на мир я прозреньем подавлен.
Чем прогневили богов мы и мудрых пророков?!
Видно придется теперь шифровать все на свете,
В частности файлы на флешке и на дискете!
Good Luck,
UT
Или вот еще:
Мысль
Проклюнулась,
Заголосила,
Паскуда:
А что б тебе, милый
Не посмотреть
На вывод команды ps -aux
Прежде чем флешку
В дырку совать?
Да не сравнить ее
Падлу корявую
Со списком пользователей
На машине
Полученным
Командою who
Например?
А?
ага, типа того ;)
на самом деле, шифрование спасает, да.
но ведь ситуация не только и не столько «админ, плохой юзер», сколько «юзер, юзер, плохой юзер». и тут уже именно задача админа — настроить разделение и недопущение плохих действий. так ведь?
не увидеть и такого понимания — это надо умудриться ;)
что бы я ни говорил сам своими словами, поскольку я могу говорить только часть, неоюходимую для решения проблем подобного рода, а не только этой.
кстати, мысль такая возникла при рассмотрении вопроса реализации совершенно иной задачи, напрямую с доступом ко флешке никак не связанную.
ладно, вариант решения в голове нарисовался. несколько позже попробую.