пятница, 27 ноября 2009 г.

Как запретить доступ к USB носителям

Просматривал форум российского ЛоКо ubuntu (forum.ubuntu.ru)

И зацепила меня тема
Запретить доступ к usb носителям [решено]


Там разобрался, сюда как шпаргалку положить надо. В развернутом виде.

И так. До 9.04 включительно была тулза policykit-gnome.
Это графический фронтенд для настройки политик.
В 9.10 эта утилита есть. НО она обращается по старому местоположению файлов. И поэтому видит только одну единственную ветку.

По этой причине пришлось расковырять где же собака порылась.

Оказывается политики это просто xml файлики. В которых просто указывается правило доступа к тому или иному объекту.

В результате разбирательства были найдены файлики
для 9.04 и ниже
/usr/share/PolicyKit/
для 9.10
/usr/share/polkit-1/actions/

В этих каталогах штук 15 файликов, нас же интересует вот этот файл : org.freedesktop.devicekit.disks.policy


идем на http://hal.freedesktop.org/docs/polkit/
И там выясняется, что за сам доступ отвечают 3 параметра (тега)
allow_any
allow_inactive
allow_active

которые могут принимать значения (тут оригинал)

no - Not authorized.
yes - Authorized.
auth_self - Authentication by the owner of the session that the client originates from is required.
auth_admin - Authentication by an administrative user is required.
auth_self_keep - Like auth_self but the authorization is kept for a brief period.
auth_admin_keep - Like auth_admin but the authorization is kept for a brief period.

Играя с этими параметрами, мы установим ограничения на подключение флешек, дисков и т.д.

з.ы. еще будем править
з.ы.ы. Проверить к моему сожалению мне особо не где, НО если мы говорим о безопасности корпоративной системы, то еще рекомендую убрать пользователей из групп wheel, sudoers и т.п.

з.ы.ы.ы. В последнем посту Dfg предложил пойти еще дальше. Дойдя до dbus
http://forum.ubuntu.ru/index.php?topic=76165.msg572550#msg572550
Что в свою очередь тоже любопытно.
Отправить комментарий