Bloquer péripheriques Usb

Le
Gian Luca Dequecker
--001a1147049ef02576054492b0bc
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Pour des raisons de sécurité, je voudrais bloquer l’utili=
sation des
périphériques connectés sur les ports USB (écriture sur=
le disque dur, ssd,
pendrive), mais laisser la possibilité de connecter un appareil photo
numérique (décharger les photos). Pouvez-vous m'indiquer comment =
procéder?
Merci pour votre aide.

--001a1147049ef02576054492b0bc
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<div dir="ltr">
<p style="margin-bottom:0cm;line-height:100%"><span lang="fr-FR">Pour
des raisons de sécurité, je voudrais bloquer </span><span lang==
"fr-FR">l’utilisation
des</span><span lang="fr-FR"> périphérique</span><span lang="=
fr-FR">s</span><span lang="fr-FR">
connecté</span><span lang="fr-FR">s</span><span lang="fr-FR"> sur
les ports USB (écriture sur le disque dur, ssd, pendrive), mais
laisser la possibilité de connecter un appareil photo numérique
</span><span lang="fr-FR">(décharger les photos)</span><span lang==
"fr-FR">.
Pouvez-vous m&#39;indiquer comment procéder? </span><span lang="fr-F=
R">Merci</span><span lang="fr-FR">
pour votre aide.</span>
</p>
</div>

--001a1147049ef02576054492b0bc--
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gr
Le #26421591
Bonjour,
Si je comprends bien, tu voudrais pouvoir lire depuis les périphériques
USB, mais ne pas pouvoir y écrire ?
Montage en lecture seule ?
si l'utilisateur est sur un env de bureau, voir l'en en question
si montage par mount, voir man mount
etc...

Tout dépend de comment sont montés tes périph.
Après il existe la solution Kernel, mais j'y toucherais en dernier
recours...
Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
périphériques connectés sur les ports USB (écriture sur le disque
dur, ssd, pendrive), mais laisser la possibilité de connecter un
appareil photo numérique (décharger les photos). Pouvez-vous
m'indiquer comment procéder? Merci pour votre aide.

--
Grégory Reinbold
jerome
Le #26421597
Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
périphériques connectés sur les ports USB (écriture sur le disque
dur, ssd,
pendrive), mais laisser la possibilité de connecter un appareil photo
numérique (décharger les photos). Pouvez-vous m'indiquer comment
procéder?
Merci pour votre aide.

Bloquer je sais, bloquer sans bloquer... peut être simplement en
utilisant des règles UDEV, mais il y aura quand même un accès sur le
périphérique au moment de l'identification.
BERBAR Florian
Le #26421600
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
--cNMCL4me98o8meiJ7uN4TQHJrcKiGRjcx
Content-Type: multipart/mixed; boundary="j4C94R7Hhlpd5rvw6P6oo6LbQsehqhlnO";
protected-headers="v1"
From: BERBAR Florian To:
Message-ID: Subject: =?UTF-8?Q?Re:_Bloquer_péripheriques_Usb? References: In-Reply-To: --j4C94R7Hhlpd5rvw6P6oo6LbQsehqhlnO
Content-Type: multipart/mixed;
boundary="------------3F530B5A8BB0E72B4142F169"
This is a multi-part message in MIME format.
--------------3F530B5A8BB0E72B4142F169
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
On 26/12/2016 18:08, jerome wrote:
Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
Pour des raisons de sécurité, je voudrais bloquer l’ utilisation des
périphériques connectés sur les ports USB (écritur e sur le disque
dur, ssd,
pendrive), mais laisser la possibilité de connecter un appareil p hoto
numérique (décharger les photos). Pouvez-vous m'indiquer com ment
procéder?
Merci pour votre aide.

Bloquer je sais, bloquer sans bloquer... peut être simplement en
utilisant des règles UDEV, mais il y aura quand même un accà ¨s sur le

Je complète la proposition de jerome en confirmant que UDEV peut
permettre de filtrer les périphériques USB. UDEV repose sur des règles
qui sont définies dans le répertoire de configuration de UDEV.
Sur la debian que j'utilise pour écrire ce message :
$ ls -l /etc/udev/rules.d/
total 20
-rw-r--r-- 1 root root 1468 sept. 2 2014 56-hpmud.rules
-rw-r--r-- 1 root root 755 août 25 20:15 60-vboxdrv.rules
-rw-r--r-- 1 root root 788 janv. 9 2013 70-persistent-cd.rules
-rw-r--r-- 1 root root 832 déc. 17 2015 70-persistent-net.rules
-rw-r--r-- 1 root root 223 juil. 31 19:01 70-persistent-usb.rules
Les règles concernant les périphérique USB sont dans le fi chier
"70-persistent-usb.rules".
Voici un exemple de règle :
SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add",
RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"
Pour procéder à un filtrage, il est possible de définir un script qui
sera appelé lors qu'un périphérique USB sera insérà ©. Ce script ce
chargera de l'action à réaliser lors de l'insertion : montage o u rejet
d'un périphérique.
Dans la continuité de l'exemple précédant la règle es t en écoute des
événements "usb" (SUBSYSTEMS=="usb") qui créera un "de vice" nommé "sd*"
(* sera remplacé par la dernière lettre disponible) dans le rà ©pertoire
/dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
périphérique (ACTION=="add") exécutera le script "/usr /local/bin/add.sh"
avec comme paramètres le nom du périphérique insérà © (%E{DEVNAME}) et et
sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb '%E{DEVNAME}'
'%E{ID_FS_UUID}'").
A partir de la, tu peux facilement imaginé un script qui parcours un e
liste de périphérique représentant les périphéri ques USB autorisé afin
compare le périphérique inséré au périphéri que USB autorisé (ton
appareil photo).
Certes cette solution nécessite un peu d'assurance en programmation de
script, mais elle n'est pas irréalisable.
Voici la documentation officielle pour plus d'informations :
https://www.freedesktop.org/software/systemd/man/udev.html
périphérique au moment de l'identification.


Affectivement les périphérique présent lors de la phase de démarrage
semble être montés automatiquement malgré la règle UD EV. Peut-être que
la désactivation du support USB lors de la phase de peut être u ne solution.
Cordialement,
Florian
--------------3F530B5A8BB0E72B4142F169
Content-Type: application/pgp-keys;
name="0x346BBA8F.asc"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: attachment;
filename="0x346BBA8F.asc"
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2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=9JAn
-----END PGP PUBLIC KEY BLOCK-----
--------------3F530B5A8BB0E72B4142F169--
--j4C94R7Hhlpd5rvw6P6oo6LbQsehqhlnO--
--cNMCL4me98o8meiJ7uN4TQHJrcKiGRjcx
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2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=IIkY
-----END PGP SIGNATURE-----
--cNMCL4me98o8meiJ7uN4TQHJrcKiGRjcx--
Gian Luca Dequecker
Le #26421653
--047d7bfd0400b3bfde0544aabe8b
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Avant de vous demander conseil, j'avais désactivé l'accès au stockage usb
avec Modprobe: "install usb-storage /bin/true" dans le fichier
/etc/modprobe.d/usb-storage.conf (un peut trop radical). Je vais donc
explorer udev. Merci a vous, bonnes fêtes.
Le 26 décembre 2016 à 22:35, BERBAR Florian écrit :
On 26/12/2016 18:08, jerome wrote:
Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
Pour des raisons de sécurité, je voudrais bloquer l’ utilisation des
périphériques connectés sur les ports USB (écritur e sur le disque
dur, ssd,
pendrive), mais laisser la possibilité de connecter un appareil p hoto
numérique (décharger les photos). Pouvez-vous m'indiquer com ment
procéder?
Merci pour votre aide.

Bloquer je sais, bloquer sans bloquer... peut être simplement en
utilisant des règles UDEV, mais il y aura quand même un acc ès sur le

Je complète la proposition de jerome en confirmant que UDEV peut
permettre de filtrer les périphériques USB. UDEV repose sur des règles
qui sont définies dans le répertoire de configuration de UDEV.
Sur la debian que j'utilise pour écrire ce message :
$ ls -l /etc/udev/rules.d/
total 20
-rw-r--r-- 1 root root 1468 sept. 2 2014 56-hpmud.rules
-rw-r--r-- 1 root root 755 août 25 20:15 60-vboxdrv.rules
-rw-r--r-- 1 root root 788 janv. 9 2013 70-persistent-cd.rules
-rw-r--r-- 1 root root 832 déc. 17 2015 70-persistent-net.rules
-rw-r--r-- 1 root root 223 juil. 31 19:01 70-persistent-usb.rules
Les règles concernant les périphérique USB sont dans le fi chier
"70-persistent-usb.rules".
Voici un exemple de règle :
SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add",
RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"
Pour procéder à un filtrage, il est possible de définir un script qui
sera appelé lors qu'un périphérique USB sera insérà ©. Ce script ce
chargera de l'action à réaliser lors de l'insertion : montage o u rejet
d'un périphérique.
Dans la continuité de l'exemple précédant la règle es t en écoute des
événements "usb" (SUBSYSTEMS=="usb") qui créera un "de vice" nommé "sd*"
(* sera remplacé par la dernière lettre disponible) dans le r épertoire
/dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
périphérique (ACTION=="add") exécutera le script "/usr /local/bin/add.sh"
avec comme paramètres le nom du périphérique insérà © (%E{DEVNAME}) et et
sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb '%E{DEVNAME}'
'%E{ID_FS_UUID}'").
A partir de la, tu peux facilement imaginé un script qui parcours un e
liste de périphérique représentant les périphéri ques USB autorisé afin
compare le périphérique inséré au périphéri que USB autorisé (ton
appareil photo).
Certes cette solution nécessite un peu d'assurance en programmation de
script, mais elle n'est pas irréalisable.
Voici la documentation officielle pour plus d'informations :
https://www.freedesktop.org/software/systemd/man/udev.html
périphérique au moment de l'identification.

Affectivement les périphérique présent lors de la phase de démarrage
semble être montés automatiquement malgré la règle UD EV. Peut-être que
la désactivation du support USB lors de la phase de peut être u ne solution.
Cordialement,
Florian


--047d7bfd0400b3bfde0544aabe8b
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
&gt; Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :<br>
&gt;&gt; Pour des raisons de sécurité, je voudrais bloquer l⠀™utilisation des<br>
&gt;&gt; périphériques connectés sur les ports USB (écr iture sur le disque<br>
&gt;&gt; dur, ssd,<br>
&gt;&gt; pendrive), mais laisser la possibilité de connecter un appare il photo<br>
&gt;&gt; numérique (décharger les photos). Pouvez-vous m&#39;indi quer comment<br>
&gt;&gt; procéder?<br>
&gt;&gt; Merci pour votre aide.<br>
&gt;<br>
&gt; Bloquer je sais, bloquer sans bloquer... peut être simplement en< br>
&gt; utilisant des règles UDEV, mais il y aura quand même un acc ès sur le<br>
<br>
</span>Je complète la proposition de jerome en confirmant que UDEV peu t<br>
permettre de filtrer les périphériques USB. UDEV repose sur des r ègles<br>
qui sont définies dans le répertoire de configuration de UDEV.<br >
<br>
Sur la debian que j&#39;utilise pour écrire ce message :<br>
$ ls -l /etc/udev/rules.d/<br>
total 20<br>
-rw-r--r-- 1 root root 1468 sept.  2  2014 56-hpmud.rules<br>
-rw-r--r-- 1 root root  755 août  25 20:15 60-vboxdrv.rules< br>
-rw-r--r-- 1 root root  788 janv.  9  2013 70-persistent-cd. rules<br>
-rw-r--r-- 1 root root  832 déc.  17  2015 70-persisten t-net.rules<br>
-rw-r--r-- 1 root root  223 juil. 31 19:01 70-persistent-usb.rules<br>
<br>
Les règles concernant les périphérique USB sont dans le fich ier<br>
&quot;70-persistent-usb.rules&quot;.<br>
<br>
Voici un exemple de règle :<br>
<br>
SUBSYSTEMS==&quot;usb&quot;, KERNEL==&quot;sd*&quot;, ACTION==& quot;add&quot;,<br>
RUN+=&quot;/usr/local/bin/add.sh &#39;%E{DEVNAME}&#39; &#39;%E{ID_FS_UUID }&#39;&quot;<br>
<br>
Pour procéder à un filtrage, il est possible de définir un s cript qui<br>
sera appelé lors qu&#39;un périphérique USB sera insér é. Ce script ce<br>
chargera de l&#39;action à réaliser lors de l&#39;insertion : mon tage ou rejet<br>
d&#39;un périphérique.<br>
<br>
Dans la continuité de l&#39;exemple précédant la règle est en écoute des<br>
événements &quot;usb&quot; (SUBSYSTEMS==&quot;usb&quot;) qui créera un &quot;device&quot; nommé &quot;sd*&quot;<br>
(* sera remplacé par la dernière lettre disponible) dans le rà ©pertoire<br>
/dev (KERNEL==&quot;sd*&quot;), l&#39;interception d&#39;une action d&# 39;ajout de<br>
périphérique (ACTION==&quot;add&quot;) exécutera le scri pt &quot;/usr/local/bin/add.sh&quot;<br>
avec comme paramètres le nom du périphérique insérà © (%E{DEVNAME}) et et<br>
sont UUID (%E{ID_FS_UUID}) (RUN+=&quot;/usr/local/bin/add.usb &#39;%E{DEV NAME}&#39;<br>
&#39;%E{ID_FS_UUID}&#39;&quot;).<br>
<br>
A partir de la, tu peux facilement imaginé un script qui parcours une< br>
liste de périphérique représentant les périphériqu es USB autorisé afin<br>
compare le périphérique inséré au périphériqu e USB autorisé (ton<br>
appareil photo).<br>
<br>
Certes cette solution nécessite un peu d&#39;assurance en programmatio n de<br>
script, mais elle n&#39;est pas irréalisable.<br>
<br>
Voici la documentation officielle pour plus d&#39;informations :<br>
<span class=""><br>
&gt; périphérique au moment de l&#39;identification.<br>
&gt;<br>
<br>
</span>Affectivement les périphérique présent lors de la pha se de démarrage<br>
semble être montés automatiquement malgré la règle UDEV . Peut-être que<br>
la désactivation du support USB lors de la phase de peut être une solution.<br>
<br>
Cordialement,<br>
<br>
Florian<br>
</div><br></div>
--047d7bfd0400b3bfde0544aabe8b--
Gian Luca Dequecker
Le #26422269
--089e0103ef5e9b58950545350f15
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Je me permets de revenir sur la problématique d'une solution pour la
gestion des périphériques usb en mode lecture seule.
La configuration matérielle sur laquelle je dois travailler se base su r
Debian Jessie avec le gestionnaire de bureau Xfce.
Première solution :
Commande mount au sein d'une règle udev (avec le paramètre MODE = "0500").
Cette règle fait apparaître, dans le gestionnaire de fichier Thun ar , deux
accès différents vers la même clé Usb.
Deuxième solution :
Règle udev et référence, dans fstab, du point de montage ind iqué dans la
règle udev. Cette solution me paraît moins souple que la premià ¨re.
Avez-vous d'autres solution ?
Merci.
Le 27 décembre 2016 à 22:43, Gian Luca Dequecker <
a écrit :
Avant de vous demander conseil, j'avais désactivé l'accès au stockage usb
avec Modprobe: "install usb-storage /bin/true" dans le fichier
/etc/modprobe.d/usb-storage.conf (un peut trop radical). Je vais donc
explorer udev. Merci a vous, bonnes fêtes.
Le 26 décembre 2016 à 22:35, BERBAR Florian écrit :
On 26/12/2016 18:08, jerome wrote:
Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
Pour des raisons de sécurité, je voudrais bloquer l†™utilisation des
périphériques connectés sur les ports USB (écritu re sur le disque
dur, ssd,
pendrive), mais laisser la possibilité de connecter un appareil photo
numérique (décharger les photos). Pouvez-vous m'indiquer co mment
procéder?
Merci pour votre aide.

Bloquer je sais, bloquer sans bloquer... peut être simplement en
utilisant des règles UDEV, mais il y aura quand même un acc ès sur le

Je complète la proposition de jerome en confirmant que UDEV peut
permettre de filtrer les périphériques USB. UDEV repose sur de s règles
qui sont définies dans le répertoire de configuration de UDEV.
Sur la debian que j'utilise pour écrire ce message :
$ ls -l /etc/udev/rules.d/
total 20
-rw-r--r-- 1 root root 1468 sept. 2 2014 56-hpmud.rules
-rw-r--r-- 1 root root 755 août 25 20:15 60-vboxdrv.rules
-rw-r--r-- 1 root root 788 janv. 9 2013 70-persistent-cd.rules
-rw-r--r-- 1 root root 832 déc. 17 2015 70-persistent-net.rules
-rw-r--r-- 1 root root 223 juil. 31 19:01 70-persistent-usb.rules
Les règles concernant les périphérique USB sont dans le f ichier
"70-persistent-usb.rules".
Voici un exemple de règle :
SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add",
RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"
Pour procéder à un filtrage, il est possible de définir u n script qui
sera appelé lors qu'un périphérique USB sera insér é. Ce script ce
chargera de l'action à réaliser lors de l'insertion : montage ou rejet
d'un périphérique.
Dans la continuité de l'exemple précédant la règle e st en écoute des
événements "usb" (SUBSYSTEMS=="usb") qui créera un "d evice" nommé "sd*"
(* sera remplacé par la dernière lettre disponible) dans le r épertoire
/dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
périphérique (ACTION=="add") exécutera le script "/us r/local/bin/add.sh"
avec comme paramètres le nom du périphérique insér é (%E{DEVNAME}) et et
sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb '%E{DEVNAME}'
'%E{ID_FS_UUID}'").
A partir de la, tu peux facilement imaginé un script qui parcours u ne
liste de périphérique représentant les périphér iques USB autorisé afin
compare le périphérique inséré au périphér ique USB autorisé (ton
appareil photo).
Certes cette solution nécessite un peu d'assurance en programmation de
script, mais elle n'est pas irréalisable.
Voici la documentation officielle pour plus d'informations :
https://www.freedesktop.org/software/systemd/man/udev.html
périphérique au moment de l'identification.

Affectivement les périphérique présent lors de la phase d e démarrage
semble être montés automatiquement malgré la règle U DEV. Peut-être que
la désactivation du support USB lors de la phase de peut être une
solution.
Cordialement,
Florian



--089e0103ef5e9b58950545350f15
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
&gt; Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :<br>
&gt;&gt; Pour des raisons de sécurité, je voudrais bloquer l⠀™utilisation des<br>
&gt;&gt; périphériques connectés sur les ports USB (écr iture sur le disque<br>
&gt;&gt; dur, ssd,<br>
&gt;&gt; pendrive), mais laisser la possibilité de connecter un appare il photo<br>
&gt;&gt; numérique (décharger les photos). Pouvez-vous m&#39;indi quer comment<br>
&gt;&gt; procéder?<br>
&gt;&gt; Merci pour votre aide.<br>
&gt;<br>
&gt; Bloquer je sais, bloquer sans bloquer... peut être simplement en< br>
&gt; utilisant des règles UDEV, mais il y aura quand même un acc ès sur le<br>
<br>
</span>Je complète la proposition de jerome en confirmant que UDEV peu t<br>
permettre de filtrer les périphériques USB. UDEV repose sur des r ègles<br>
qui sont définies dans le répertoire de configuration de UDEV.<br >
<br>
Sur la debian que j&#39;utilise pour écrire ce message :<br>
$ ls -l /etc/udev/rules.d/<br>
total 20<br>
-rw-r--r-- 1 root root 1468 sept.  2  2014 56-hpmud.rules<br>
-rw-r--r-- 1 root root  755 août  25 20:15 60-vboxdrv.rules< br>
-rw-r--r-- 1 root root  788 janv.  9  2013 70-persistent-cd. rules<br>
-rw-r--r-- 1 root root  832 déc.  17  2015 70-persisten t-net.rules<br>
-rw-r--r-- 1 root root  223 juil. 31 19:01 70-persistent-usb.rules<br>
<br>
Les règles concernant les périphérique USB sont dans le fich ier<br>
&quot;70-persistent-usb.rules&quot;.<br>
<br>
Voici un exemple de règle :<br>
<br>
SUBSYSTEMS==&quot;usb&quot;, KERNEL==&quot;sd*&quot;, ACTION==& quot;add&quot;,<br>
RUN+=&quot;/usr/local/bin/add.sh &#39;%E{DEVNAME}&#39; &#39;%E{ID_FS_UUID }&#39;&quot;<br>
<br>
Pour procéder à un filtrage, il est possible de définir un s cript qui<br>
sera appelé lors qu&#39;un périphérique USB sera insér é. Ce script ce<br>
chargera de l&#39;action à réaliser lors de l&#39;insertion : mon tage ou rejet<br>
d&#39;un périphérique.<br>
<br>
Dans la continuité de l&#39;exemple précédant la règle est en écoute des<br>
événements &quot;usb&quot; (SUBSYSTEMS==&quot;usb&quot;) qui créera un &quot;device&quot; nommé &quot;sd*&quot;<br>
(* sera remplacé par la dernière lettre disponible) dans le rà ©pertoire<br>
/dev (KERNEL==&quot;sd*&quot;), l&#39;interception d&#39;une action d&# 39;ajout de<br>
périphérique (ACTION==&quot;add&quot;) exécutera le scri pt &quot;/usr/local/bin/add.sh&quot;<br>
avec comme paramètres le nom du périphérique insérà © (%E{DEVNAME}) et et<br>
sont UUID (%E{ID_FS_UUID}) (RUN+=&quot;/usr/local/bin/add.usb &#39;%E{DEV NAME}&#39;<br>
&#39;%E{ID_FS_UUID}&#39;&quot;).<br>
<br>
A partir de la, tu peux facilement imaginé un script qui parcours une< br>
liste de périphérique représentant les périphériqu es USB autorisé afin<br>
compare le périphérique inséré au périphériqu e USB autorisé (ton<br>
appareil photo).<br>
<br>
Certes cette solution nécessite un peu d&#39;assurance en programmatio n de<br>
script, mais elle n&#39;est pas irréalisable.<br>
<br>
Voici la documentation officielle pour plus d&#39;informations :<br>
<span><br>
&gt; périphérique au moment de l&#39;identification.<br>
&gt;<br>
<br>
</span>Affectivement les périphérique présent lors de la pha se de démarrage<br>
semble être montés automatiquement malgré la règle UDEV . Peut-être que<br>
la désactivation du support USB lors de la phase de peut être une solution.<br>
<br>
Cordialement,<br>
<br>
Florian<br>
</div><br></div>
</div></div></div><br></div>
--089e0103ef5e9b58950545350f15--
Sebastien Badia
Le #26422375
--z2vcjtggplydmluv
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
On Tue, Jan 03, 2017 at 07:44:40PM (+0100), Gian Luca Dequecker wrote:
Je me permets de revenir sur la problématique d'une solution pour la
gestion des périphériques usb en mode lecture seule.
La configuration matérielle sur laquelle je dois travailler se base sur
Debian Jessie avec le gestionnaire de bureau Xfce.
Première solution :
Commande mount au sein d'une règle udev (avec le paramètre MODE = "0500").
Cette règle fait apparaître, dans le gestionnaire de fichier Th unar , deux
accès différents vers la même clé Usb.
Deuxième solution :
Règle udev et référence, dans fstab, du point de montage i ndiqué dans la
règle udev. Cette solution me paraît moins souple que la premi ère.
Avez-vous d'autres solution ?
Merci.

Hello,
Il me semble que usbguard n'a pas été mentionné, mais ç a doit faire le boulot
aussi. (le paquet est par contre disponible qu'a partir de stretch).
https://dkopecek.github.io/usbguard/
https://tracker.debian.org/pkg/usbguard
Seb
--z2vcjtggplydmluv
Content-Type: application/pgp-signature; name="signature.asc"
-----BEGIN PGP SIGNATURE-----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 =kPh+
-----END PGP SIGNATURE-----
--z2vcjtggplydmluv--
BERBAR Florian
Le #26423090
On 03/01/2017 19:44, Gian Luca Dequecker wrote:
Je me permets de revenir sur la problématique d'une solution pour la
gestion des périphériques usb en mode lecture seule.
La configuration matérielle sur laquelle je dois travailler se base sur
Debian Jessie avec le gestionnaire de bureau Xfce.
Première solution :
Commande mount au sein d'une règle udev (avec le paramètre MODE > "0500"). Cette règle fait apparaître, dans le gestionnaire de fichier
Thunar , deux accès différents vers la même clé Usb.

Les deux références à votre périphérique permettent-elles toutes les
deux d’accéder aux fichiers depuis l’explorateur de fichier 'thunar' ?
D'autre part, pourriez-vous copier-coller le code source de votre script
exécuté par udev sur un site comme pastebin ?
Pour ma part, je n'ai qu'une référence vers mes périphériques.
Deuxième solution :
Règle udev et référence, dans fstab, du point de montage indiqué dans la
règle udev. Cette solution me paraît moins souple que la première.

Et je n'ai pas de référence relative à mes périphériques amovible dans
/etc/fstab.
Avez-vous d'autres solution ?

Peut-être que la solution proposée par Sebastien (usbguard) pourrait
vous convenir ?
Merci.

Cordialement,
Florian
Le 27 décembre 2016 à 22:43, Gian Luca Dequecker
écrit :
Avant de vous demander conseil, j'avais désactivé l'accès au
stockage usb avec Modprobe: "install usb-storage /bin/true" dans le
fichier /etc/modprobe.d/usb-storage.conf (un peut trop radical). Je
vais donc explorer udev. Merci a vous, bonnes fêtes.
Le 26 décembre 2016 à 22:35, BERBAR Florian
On 26/12/2016 18:08, jerome wrote:
Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit :
Pour des raisons de sécurité, je voudrais bloquer l’utilisation des
périphériques connectés sur les ports USB (écriture sur le disque
dur, ssd,
pendrive), mais laisser la possibilité de connecter un appareil photo
numérique (décharger les photos). Pouvez-vous m'indiquer comment
procéder?
Merci pour votre aide.

Bloquer je sais, bloquer sans bloquer... peut être simplement en
utilisant des règles UDEV, mais il y aura quand même un accès sur le

Je complète la proposition de jerome en confirmant que UDEV peut
permettre de filtrer les périphériques USB. UDEV repose sur des
règles
qui sont définies dans le répertoire de configuration de UDEV.
Sur la debian que j'utilise pour écrire ce message :
$ ls -l /etc/udev/rules.d/
total 20
-rw-r--r-- 1 root root 1468 sept. 2 2014 56-hpmud.rules
-rw-r--r-- 1 root root 755 août 25 20:15 60-vboxdrv.rules
-rw-r--r-- 1 root root 788 janv. 9 2013 70-persistent-cd.rules
-rw-r--r-- 1 root root 832 déc. 17 2015 70-persistent-net.rules
-rw-r--r-- 1 root root 223 juil. 31 19:01 70-persistent-usb.rules
Les règles concernant les périphérique USB sont dans le fichier
"70-persistent-usb.rules".
Voici un exemple de règle :
SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add",
RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"
Pour procéder à un filtrage, il est possible de définir un
script qui
sera appelé lors qu'un périphérique USB sera inséré. Ce script ce
chargera de l'action à réaliser lors de l'insertion : montage ou
rejet
d'un périphérique.
Dans la continuité de l'exemple précédant la règle est en écoute des
événements "usb" (SUBSYSTEMS=="usb") qui créera un "device"
nommé "sd*"
(* sera remplacé par la dernière lettre disponible) dans le
répertoire
/dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
périphérique (ACTION=="add") exécutera le script
"/usr/local/bin/add.sh"
avec comme paramètres le nom du périphérique inséré
(%E{DEVNAME}) et et
sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb
'%E{DEVNAME}'
'%E{ID_FS_UUID}'").
A partir de la, tu peux facilement imaginé un script qui
parcours une
liste de périphérique représentant les périphériques USB
autorisé afin
compare le périphérique inséré au périphérique USB autorisé (ton
appareil photo).
Certes cette solution nécessite un peu d'assurance en
programmation de
script, mais elle n'est pas irréalisable.
Voici la documentation officielle pour plus d'informations :
https://www.freedesktop.org/software/systemd/man/udev.html
périphérique au moment de l'identification.

Affectivement les périphérique présent lors de la phase de démarrage
semble être montés automatiquement malgré la règle UDEV.
Peut-être que
la désactivation du support USB lors de la phase de peut être
une solution.
Cordialement,
Florian

Publicité
Poster une réponse
Anonyme