Как запретить пользователю монтирование виндовых файловых систем?

0

1

Суть такова: есть около сотни машин с Ubuntu 10.04.3. На каждой у root-а есть пароль, пользователь закомментирован в sudoers. Пользователь не должен иметь возможности монтировать файловые системы Windows, стоящей параллельно. (И на загрузку оной в грубе пароль)

Проблема в том, что fstab принципиально игнорируется. Как и правки в /etc/hal/fdi/policy/preferences.fdi Не помогает перемещение папки /lib/modules/2.6.32-33-generic/kernel/fs/fat/ в папку fat.bak

Может ли кто-то подсказать действенный способ?

ЗЫ: Да, ядро без поддержки ntfs и fat начну собирать как допишу, но это не вариант.

~~ЗЗЫ: наутилус работает в т.ч. от рута~~

root@desktop:/etc# ps aux | grep nautilus
kgse      1291  1.3  3.9  96480 20152 ?        S    13:35   0:14 nautilus
root      2339  0.0  0.1   3068   576 pts/1    R+   13:52   0:00 grep --color=auto nautilus

~~Стоит копать в этом направлении?~~

Ссылка

←	[lirc] Clementine

Настройка wifi подключения в Debian к точке, которая не вещает ssid.

→

может помочь поместить модули vfat и ntfs в чёрный список модулей.

наутилус работает в т.ч. от рута

бред, он работает от пользователя kgse

xapienz ★
(05.02.12 16:04:23 MSK)

Ответ на: комментарий от xapienz 05.02.12 16:04:23 MSK

наутилус работает в т.ч. от рута
бред, он работает от пользователя kgse

*slowpoke* Вижу. Grep. Извините. Вторые сутки без отдыха.

stream13
(05.02.12 16:08:15 MSK) автор топика

Ответ на: комментарий от stream13 05.02.12 16:08:15 MSK

pgrep -f nautilus

anonymous
(05.02.12 16:10:53 MSK)

Ссылка

А если в fstab прописать монтирование этих ФС по UUID в каталоги, закрытые от доступа простым юзерам (владелец root и права доступа 700).

Тогда с одной стороны будут нормально работать флешки, с другой доступ к установленной Windows будет закрыт.

KivApple ★★★★★
(05.02.12 16:47:42 MSK)

Ответ на: комментарий от xapienz 05.02.12 16:04:23 MSK

на сколько я понял, речь шла о добавлении в /etc/init/rc.conf строки вроде

MODULES=(!vfat)

но это не помогает: наутилус все равно монтирует

stream13
(05.02.12 17:16:45 MSK) автор топика

Ответ на: комментарий от stream13 05.02.12 17:16:45 MSK

/etc/modprobe.d/blacklist.conf

GotF ★★★★★
(05.02.12 17:22:04 MSK)

Ответ на: комментарий от KivApple 05.02.12 16:47:42 MSK

да, только по непонятной мне причине, из при явном указании в fstab и создании каталога с именем uuid раздела, при монтировании создается каталог вида uuid_ Например 116B-17EE и 116B-17EE_

[code]root@desktop:~# blkid

/dev/sda1: UUID=«116B-17EE» TYPE=«vfat»[/code]

stream13
(05.02.12 17:23:08 MSK) автор топика

Ссылка

Ответ на: комментарий от GotF 05.02.12 17:22:04 MSK

все равно

root@desktop:~# lsmod | grep fat
vfat                    8933  0 
fat                    47767  1 vfat

root@desktop:~# cat /etc/modprobe.d/blacklist.conf | tail -n 1
blacklist vfat

stream13
(05.02.12 17:37:14 MSK) автор топика

Ответ на: комментарий от stream13 05.02.12 17:37:14 MSK

А, да, — ручная загрузка остаётся возможной. Судя по упоминанию Наутилуса, тебе нужно копать в сторону PolicyKit.

GotF ★★★★★
(05.02.12 17:41:40 MSK)

Ссылка

Ответ на: комментарий от stream13 05.02.12 17:37:14 MSK

Тогда делаем так:

Добавляем vfat в чёрный список, делаем rmmod vfat (если не хочется перезагружаться), удаляем/переименовываем файл /lib/modules/<ядро>/kernel/fs/fat/vfat.ko (или по другому пути, если это как-то дистрозависимо), если такой существует. Только что проверил, монтировать больше не получается.

Способ костыльный, и после обновления ядра модуль восстановится. Но по крайней мере работает.

xapienz ★
(05.02.12 17:45:54 MSK)

Ссылка

если у тебя там ntfs, то скорее всего надо таки просто удалить fuse.

Или монтирование съемных носителей надо оставлять?

maloi ★★★★★
(05.02.12 17:47:12 MSK)

Ответ на: комментарий от maloi 05.02.12 17:47:12 MSK

не надо ничего удалять

man modprobe.conf.d

anonymous
(05.02.12 18:02:27 MSK)

Оно разве не через udisks работает? Можно запретить монтирование ФС на постоянно подключенных (internal) устройствах - это делается в /usr/share/polkit-1/actions/org.freedesktop.udisks.policy, либо запретить монтирование конкретных ФС через правила udev.

tiandrey ★★★★★
(05.02.12 18:09:07 MSK)

Ссылка

Ответ на: комментарий от anonymous 05.02.12 18:02:27 MSK

>man modprobe.conf.d

оно разве используется кем-то, кроме modprobe(8)? А модули могут быть загружены и другими методами.

maloi ★★★★★
(06.02.12 09:15:46 MSK)

Ответ на: комментарий от maloi 06.02.12 09:15:46 MSK

А модули могут быть загружены и другими методами

и к чему ты это написал? udev дёргает modprobe
кроме удева это может сделать только рут, а ему никак не запретишь

anonymous
(06.02.12 09:22:10 MSK)

Ответ на: комментарий от anonymous 06.02.12 09:22:10 MSK

>кроме удева это может сделать только рут, а ему никак не запретишь

ну-ну. Это в вашей парралельной вселенной так, а в реальной жизни все кому не лень пишут свои суид-программы и делают exec(3), когда этого делать-то не надо.

maloi ★★★★★
(06.02.12 09:35:14 MSK)

Ответ на: комментарий от maloi 06.02.12 09:35:14 MSK

тю, тогда нужно собирать ядро без поддержки модулей
удаление модуля не поможет, тк его можно принести с собой
и тд

anonymous
(06.02.12 18:34:10 MSK)

Ссылка

Пользователь не должен иметь возможности монтировать файловые системы Windows, стоящей параллельно.

А если примонтировать с правами чтения и записи только из под рута?

~~Napilnik~~ ★★★★★
(06.02.12 23:34:57 MSK)

Ссылка

> Как запретить пользователю монтирование виндовых файловых систем?

распечатай на А4 и повесь на входную дверь: «пользователям запрещается монтирование виндовых файловых систем. штраф 750 рублей». остальные варианты либо сложны в реализации, либо легко обходятся.

arsi ★★★★★
(06.02.12 23:47:05 MSK)

Ссылка

Попробуй убрать его из группы plugdev.

adzeitor ★
(06.02.12 23:48:59 MSK)

Ответ на: комментарий от adzeitor 06.02.12 23:48:59 MSK

Благодарю всех отписавшихся, проблема благополучно решена. Идеологически — криво, но работает. Наконец-то я отоспался, и могу поделиться деталями, если кому интересно.

Дополнение по сути: грядет проверка. Суть была в том, чтобы сделать абсолютно недоступной венду, и загружаться в нее только через пароль в грубе. Не загрузишся со своего носителя, или не вымеш винт — ничегошеньки не увидишь.

В принципе я и сначала пробовал таскать папку с модулями, но видимо не правильно делал rmmod, для фата они друг на друга завязаны. По совету xapienz все выпилил — благодать. Ну а для ntfs — выпилил пакеты ntfs-3g ntfsprogs.

Прошу не ругать дебилом за столь грубый подход, был нужен результат в короткие сроки и на больших объемах.

Опять же, если интересно — могу поделиться быдлоскриптами. Завязал все на выполнение двух скриптов. http://dl.dropbox.com/u/1068951/http.tar.bz2

stream13
(08.02.12 13:43:32 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[lirc] Clementine

Desktop

Настройка wifi подключения в Debian к точке, которая не вещает ssid.

→

Похожие темы