LINUX.ORG.RU

Запрет монтирования SD карты

 , ,


0

2

Здравствуйте проводники по дремучей стране Linux! Я немного балуюсь ягодами (Малина) и фруктами (Апелисин). У них система и проги находятся на SD карте. Мне необходимо ограничить доступ к прогам на этой карте.

Если я вытаскиваю SD из апельсина, вставляю в картридер и в обычный комп с линуксом. SD монтируется, открывается и с правами администратора можно открыть любую папку на SD и натворить там, что душе заблагорассудится.

Вопрос: можно ли как-нибудь (программным способом в самой SD карте) запретить ей монтироваться в любой компьютер, кроме собственного, например, апельсина.

С уважением, линуксовод-любитель.

т.е. шифрование тебя спасет от чтения и подмены данных. удалить данные ничего не помешает.

Deleted
()
Ответ на: комментарий от Deleted

Спасибо хоть так. Веду кружок с малолетками. Повадились умники стенды перепрограммировать. По ssh войти не могут - там пароль. Они sd вытаскивают и гадят. А потом стенд работает не предсказуемо.

vash_sa
() автор топика

Отчасти может помочь установка WPB (write protection bit), но его также можно снять с правами администратора (если знать как).

См. sdtool.

Можно также установить перманентный запрет на запись + overlayfs.

В любом случае, самый надежный способ (если не единственный :))- ограничение физического доступа.

barti_ddu
()
Последнее исправление: barti_ddu (всего исправлений: 1)
Ответ на: комментарий от barti_ddu

Спасибо за отклик. Но я никак не могу понять, что мне сделать? Чтобы хотя бы файл программного скрипта не читался на компе с linux.

На SD карте на Апельсине под правами root дал скрипту право только на выполнение, отобрал - на чтение и запись. Вытаскиваю SD вставляю в комп с Линукс. Нахожу файл. В свойствах - только выполнение. Захожу в папку с правами ROOT для Линукса на компе. И мой файл скрипта прекрасно читается в обычном текстовом редакторе, редактируется и сохраняется.

Как так!!!!

vash_sa
() автор топика
Ответ на: комментарий от adminlinwin

Я это постоянно и делаю. Но это занимает время больше, чем на их каверзы. Именно от этого я и хочу избавиться.

vash_sa
() автор топика
Ответ на: комментарий от Deleted

Не получается ничего с шифрованием. Не могу найти манул, в котором рассказывалось бы как это сделать на armh на SD карте. Если карту вставляю в комп с Линукс. Выполняю по этой инструкции https://wiki.debian.org/ru/Crypt Набираю команду: sudo cryptsetup create sdd2_crypt /dev/sdd2 И получаю ответ: Cannot use device /dev/sdd2 which is in use (already mapped or mounted). Если флеш отмонтировать, то пишет, что нет диска.

Помогите.

vash_sa
() автор топика
Ответ на: комментарий от batekman

Когда как. Иногда незаметно подменяют. Каждый раз не будешь проверять.

vash_sa
() автор топика
Ответ на: комментарий от vash_sa

Приведёт каталог /media/sdcard к тому же виду, что и backup. Можно ещё --xattrs добавить, если используются расширенные аттрибуты.

По умолчанию пропускает файлы, если не изменён размер и время модификации. Для надёжности можно добавить --checksum, чтобы проверялось по контрольным суммам, но это дольше.

В man rsync всё расписано.

batekman ★★★
()
Ответ на: комментарий от vash_sa

Нет, это действует так: проказники меняют/добавляют/удаляют файл, вы запускаете команду, и всё синхронизируется обратно из бэкапа.

Шифрование, наверно, лучше, но с восстановлением они могут первое время думать, что неправильно нагадили, а так сразу dd расчехлят.

batekman ★★★
()
Ответ на: комментарий от adminlinwin

Кое что получилось. Всем огромное спасибо за помощь. Создал на SD карте дополнительный раздел. Зашифровал его по инструкции https://wiki.debian.org/ru/Crypt. Установил ключ. Сделал автоподключение и автомонтирование шифрованного раздела при загрузке системы. Залил все файлы проектов на этот раздел. Теперь все работает. А при подключении SD карты в другой комп с Линуксом требует ввода пароля. Если не ввести пароль, то раздел не открывается.

vash_sa
() автор топика
Ответ на: комментарий от vash_sa

Но я никак не могу понять, что мне сделать?

Создать загрузочный образ с overlayfs (наподобие livecd) и перевести карту в перманентный режим только для чтения (sd == secure digital это позволяют, утилита для перевода в этот режим- выше).

При перезагрузке все изменения с момента загрузки будут сбрасываться, но, насколько понимаю, в вашем случае это не проблема.

barti_ddu
()
Ответ на: комментарий от adminlinwin

Не настолько они продвинутые. Зато это требует дополнительных знаний, а не просто всунул SD карту и все готово.

vash_sa
() автор топика
Ответ на: комментарий от barti_ddu

В этом направлении мне бы подробную инструкцию. А то «перманентный режим» пока термин для меня не понятен. Возможно - это следующий шаг по борьбе с паразитами, которые преодолеют предыдущий.

vash_sa
() автор топика
Ответ на: комментарий от vash_sa

А то «перманентный режим» пока термин для меня не понятен

SD карту можно перевести в режим только для чтения программно. В том числе есть возможность сделать это «перманентно», т.е. «необратимо», т.е. «навсегда».

Идея в создании загрузочного образа со всем необходимым с последующим переводом карты в режим «только для чтения». Если в будущем что-то нужно будет поменять, придётся использовать другую SD карту (но, скорее всего, это не проблема, не так-ли?).

Бонус- невозможность никаким образом изменить данные на карте после перевода в режим «только для чтения» ни на хосте, ни на другом компьютере.

Вот пример с использованием unionfs, вот без.

Вот описание unionfs и overlayfs.

Ссылку на утилиту для перевода карты в ro/rw режимы приводил выше.

barti_ddu
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.