Interdire le montage de supports de stockage USB
- wolverine52
- Messages : 24
- Enregistré le : mer. 27 mars 2019 10:47
- Localisation : Chalindrey
- Contact :
Interdire le montage de supports de stockage USB
Bonjour à tous,
Comme d'habitude, j'ai une question qui semble sortir de l'ordinaire car, malgré mes 8 heures de recherches (la journée de travail d'hier), je n'ai trouvé aucune réponse correspondant à mon besoin.
Mise en situation :
Dans le cadre de mon travail, je doit mettre en place une station internet accessible à tous.
Jusqu'à présent, mon service avait l'habitude de tout faire sous windows, mais j'ai réussi à convaincre mes collègues de tenter l'aventure avec Linux Mint.
Pour des raisons de sécurité, cette machine doit-être fortement bridée.
Pour l'instant :
J'utilise l'autologon au démarrage de la machine.
Les utilisateurs n'ayant pas le mot de passe, ils ne peuvent rien faire de compromettant pour la machine.
Enfin, les mises à jour automatiques permettent d'avoir une machine toujours à jour sans intervention d'une équipe technique (et sans besoin du mot de passe).
Problème :
Les utilisateurs ne doivent pas pouvoir connecter de clé USB ou de disque externe sur la machine.
Hors, je ne trouve pas comment bloquer le montage des disques.
L'idéal serait que le mot de passe soit demandé, mais un blocage pure et simple ferait l'affaire.
Après mes recherches sur google, j'ai bien tenté de retirer l'utilisateur courant du groupe Disk, mais sans effet.
Cet utilisateur est Administrateur (j'ai cru comprendre que passer en Utilisateur le retirait seulement du groupe Sudo).
J'espère qu'on pourra m'aider, parce que si ça marche, Linux Mint pourrait être déployé au national au sein de mon administration... Ce qui permettra potentiellement aussi de négocier un support financier à l'OS.
PS : J'ai aussi trouvé, dans l'explorateur de fichiers, comment désactiver le montage automatique. Mais un simple click permet de monter et d'accéder au stockage.
Comme d'habitude, j'ai une question qui semble sortir de l'ordinaire car, malgré mes 8 heures de recherches (la journée de travail d'hier), je n'ai trouvé aucune réponse correspondant à mon besoin.
Mise en situation :
Dans le cadre de mon travail, je doit mettre en place une station internet accessible à tous.
Jusqu'à présent, mon service avait l'habitude de tout faire sous windows, mais j'ai réussi à convaincre mes collègues de tenter l'aventure avec Linux Mint.
Pour des raisons de sécurité, cette machine doit-être fortement bridée.
Pour l'instant :
J'utilise l'autologon au démarrage de la machine.
Les utilisateurs n'ayant pas le mot de passe, ils ne peuvent rien faire de compromettant pour la machine.
Enfin, les mises à jour automatiques permettent d'avoir une machine toujours à jour sans intervention d'une équipe technique (et sans besoin du mot de passe).
Problème :
Les utilisateurs ne doivent pas pouvoir connecter de clé USB ou de disque externe sur la machine.
Hors, je ne trouve pas comment bloquer le montage des disques.
L'idéal serait que le mot de passe soit demandé, mais un blocage pure et simple ferait l'affaire.
Après mes recherches sur google, j'ai bien tenté de retirer l'utilisateur courant du groupe Disk, mais sans effet.
Cet utilisateur est Administrateur (j'ai cru comprendre que passer en Utilisateur le retirait seulement du groupe Sudo).
J'espère qu'on pourra m'aider, parce que si ça marche, Linux Mint pourrait être déployé au national au sein de mon administration... Ce qui permettra potentiellement aussi de négocier un support financier à l'OS.
PS : J'ai aussi trouvé, dans l'explorateur de fichiers, comment désactiver le montage automatique. Mais un simple click permet de monter et d'accéder au stockage.
Modifié en dernier par wolverine52 le mer. 24 avr. 2019 13:41, modifié 2 fois.
Desktop :
Intel core i5 4670K - Asus ROG-STRIX-RX570-OC-4G - 8Go de Ram - 250Go SSD + 2HDD 1To/300Go - Dual Boot Linux Mint 19.3 - cinnamon 64bits / Windows 10 64bits,
Serveurs :
Dell PowerEdge T110II, Xeon E3-1220V2 3.1 GHz - 8 Go RAM - OpenMediaVault,
Raspberry Pi 3 B+ - Jeedom,
Raspberry Pi 2 B+ - Raspbian (Antenne Bluetooth),
Raspberry Pi3 A+ - Octopi (Anet A8)
Divers :
Raspberry Pi 3 B+, RecallBox
https://larumeurdaklain.yj.fr/
Intel core i5 4670K - Asus ROG-STRIX-RX570-OC-4G - 8Go de Ram - 250Go SSD + 2HDD 1To/300Go - Dual Boot Linux Mint 19.3 - cinnamon 64bits / Windows 10 64bits,
Serveurs :
Dell PowerEdge T110II, Xeon E3-1220V2 3.1 GHz - 8 Go RAM - OpenMediaVault,
Raspberry Pi 3 B+ - Jeedom,
Raspberry Pi 2 B+ - Raspbian (Antenne Bluetooth),
Raspberry Pi3 A+ - Octopi (Anet A8)
Divers :
Raspberry Pi 3 B+, RecallBox
https://larumeurdaklain.yj.fr/
- arghlub
- Administrateur du site
- Messages : 10421
- Enregistré le : dim. 21 mai 2017 08:19
- Localisation : Provence
- Contact :
Re: Interdire le montage de supports de stockage USB
Salut,
Peut-être aller voir du côté de «udev» : https://wiki.debian.org/fr/udev
Désolé je peux pas tester actuellement
Mais je pense que ça devrait le faire.
Peut-être aller voir du côté de «udev» : https://wiki.debian.org/fr/udev
Désolé je peux pas tester actuellement
Mais je pense que ça devrait le faire.
Tour1 (custom) • CM MSI Z270 M3 | CPU Intel I7-7700K | CG Nvidia GTX 1080 | RAM 16Go | tripleBoot : Debian 11 | MXlinux 21 | LMint 19.3 | XFCE
Tour2 (custom) • CM Gigabyte | CPU AMD Athlon 5200+ | CG Nvidia GTX 560 | RAM 6Go | FreeBSD 12.1 XFCE
Portable1 • MSI GF75 Thin 9SC | CPU Intel I7-9750H | CG Nvidia GTX 1650 | RAM 32Go | dualBoot : LMint 20.2 | MXlinux 21 | XFCE
Portable2 • MacBook Air A1466 (2015) | CPU Intel I5-5250U | CG Intel HD Graphics 6000 | RAM 8Go | dualBoot : macOS Sierra | MXlinux 21 XFCE
─────( pour une informatique libre ! -membre en stand-by de l' April.org────────────────
Tour2 (custom) • CM Gigabyte | CPU AMD Athlon 5200+ | CG Nvidia GTX 560 | RAM 6Go | FreeBSD 12.1 XFCE
Portable1 • MSI GF75 Thin 9SC | CPU Intel I7-9750H | CG Nvidia GTX 1650 | RAM 32Go | dualBoot : LMint 20.2 | MXlinux 21 | XFCE
Portable2 • MacBook Air A1466 (2015) | CPU Intel I5-5250U | CG Intel HD Graphics 6000 | RAM 8Go | dualBoot : macOS Sierra | MXlinux 21 XFCE
─────( pour une informatique libre ! -membre en stand-by de l' April.org────────────────
- wolverine52
- Messages : 24
- Enregistré le : mer. 27 mars 2019 10:47
- Localisation : Chalindrey
- Contact :
Re: Interdire le montage de supports de stockage USB
J'ai déjà utilisé udev sur un serveur Debian pour attribuer un nom permanent à un périphérique USB.
Mais je n'ai trouvé aucune indication pour interdire le montage de stockages USB...
Je continue de fouiller de ce cotés.
Mais je n'ai trouvé aucune indication pour interdire le montage de stockages USB...
Je continue de fouiller de ce cotés.
Desktop :
Intel core i5 4670K - Asus ROG-STRIX-RX570-OC-4G - 8Go de Ram - 250Go SSD + 2HDD 1To/300Go - Dual Boot Linux Mint 19.3 - cinnamon 64bits / Windows 10 64bits,
Serveurs :
Dell PowerEdge T110II, Xeon E3-1220V2 3.1 GHz - 8 Go RAM - OpenMediaVault,
Raspberry Pi 3 B+ - Jeedom,
Raspberry Pi 2 B+ - Raspbian (Antenne Bluetooth),
Raspberry Pi3 A+ - Octopi (Anet A8)
Divers :
Raspberry Pi 3 B+, RecallBox
https://larumeurdaklain.yj.fr/
Intel core i5 4670K - Asus ROG-STRIX-RX570-OC-4G - 8Go de Ram - 250Go SSD + 2HDD 1To/300Go - Dual Boot Linux Mint 19.3 - cinnamon 64bits / Windows 10 64bits,
Serveurs :
Dell PowerEdge T110II, Xeon E3-1220V2 3.1 GHz - 8 Go RAM - OpenMediaVault,
Raspberry Pi 3 B+ - Jeedom,
Raspberry Pi 2 B+ - Raspbian (Antenne Bluetooth),
Raspberry Pi3 A+ - Octopi (Anet A8)
Divers :
Raspberry Pi 3 B+, RecallBox
https://larumeurdaklain.yj.fr/
- cyrille
- Administrateur du site
- Messages : 12433
- Enregistré le : mar. 19 sept. 2017 08:49
- Localisation : Nowhere
- Contact :
Re: Interdire le montage de supports de stockage USB
Début de piste
Pour désactiver un port : (ici le bus 2 port 4)
Pour le réactiver
a UTILISER AVEC PRéCAUTION
Et limite : tu vas laisser, je présume, ta souris et clavier USB... Donc rien n’empêchera qu'il les débranche pour brancher une clef dessus ou un DD....
(donc faudrait en plus coller un script qui analyse ce qui est branché
cf https://help.ubuntu.com/community/UsbDr ... _connected
Pour voir comment détecter un interrupteur USB et y répondre)
AUTRE SOLUTION
je ne sais si ça marche , mais pourquoi, pas tester de "blacklister" les modules USB, style un fichier
A creuser....
Mes 2 sous...
Code : Tout sélectionner
serveur@serveurProliant:~$ lsusb -t
/: Bus 05.Port 1: Dev 1, Class=root_hub, Driver=ehci-pci/2p, 480M
|__ Port 1: Dev 2, If 0, Class=Hub, Driver=hub/6p, 480M
/: Bus 04.Port 1: Dev 1, Class=root_hub, Driver=ehci-pci/2p, 480M
|__ Port 1: Dev 2, If 0, Class=Hub, Driver=hub/4p, 480M
/: Bus 03.Port 1: Dev 1, Class=root_hub, Driver=xhci_hcd/2p, 5000M
/: Bus 02.Port 1: Dev 1, Class=root_hub, Driver=xhci_hcd/10p, 480M
|__ Port 2: Dev 2, If 0, Class=Human Interface Device, Driver=usbhid, 1.5M
|__ Port 3: Dev 3, If 0, Class=Hub, Driver=hub/2p, 480M
|__ Port 4: Dev 4, If 0, Class=Human Interface Device, Driver=usbhid, 1.5M
/: Bus 01.Port 1: Dev 1, Class=root_hub, Driver=uhci_hcd/2p, 12M
Pour désactiver un port : (ici le bus 2 port 4)
Code : Tout sélectionner
echo '2-4' |sudo tee /sys/bus/usb/drivers/usb/unbind
Code : Tout sélectionner
echo '2-4' |sudo tee /sys/bus/usb/drivers/usb/bind
Et limite : tu vas laisser, je présume, ta souris et clavier USB... Donc rien n’empêchera qu'il les débranche pour brancher une clef dessus ou un DD....
(donc faudrait en plus coller un script qui analyse ce qui est branché
cf https://help.ubuntu.com/community/UsbDr ... _connected
Pour voir comment détecter un interrupteur USB et y répondre)
AUTRE SOLUTION
je ne sais si ça marche , mais pourquoi, pas tester de "blacklister" les modules USB, style un fichier
Code : Tout sélectionner
cat /etc/modprobe.d/blacklist.conf
blacklist uas
blacklist usb-storage
Mes 2 sous...
- cyrille
- Administrateur du site
- Messages : 12433
- Enregistré le : mar. 19 sept. 2017 08:49
- Localisation : Nowhere
- Contact :
Re: Interdire le montage de supports de stockage USB
Pour le clavier et la souris, ensuite si tu ne veux pas qu'on les retire, tu les soudes....
- wolverine52
- Messages : 24
- Enregistré le : mer. 27 mars 2019 10:47
- Localisation : Chalindrey
- Contact :
Re: Interdire le montage de supports de stockage USB
Blacklister les usb-storage me semble une piste prometteuse.
Je ne peux désactiver les ports-usb, sinon je l'aurais simplement fait dans le Bios.
Parce que mon installation doit être standardisée et s'adapter à tout poste.
On doit pouvoir facilement y connecter une imprimante USB, un scanner, un clavier, une souris, etc... mais pas de stockage USB.
Sous Windows, c'est facile, il n'y a qu'à modifier une clé de registre.
J'espère que c'est possible sous Mint.
Je ne peux désactiver les ports-usb, sinon je l'aurais simplement fait dans le Bios.
Parce que mon installation doit être standardisée et s'adapter à tout poste.
On doit pouvoir facilement y connecter une imprimante USB, un scanner, un clavier, une souris, etc... mais pas de stockage USB.
Sous Windows, c'est facile, il n'y a qu'à modifier une clé de registre.
J'espère que c'est possible sous Mint.
Desktop :
Intel core i5 4670K - Asus ROG-STRIX-RX570-OC-4G - 8Go de Ram - 250Go SSD + 2HDD 1To/300Go - Dual Boot Linux Mint 19.3 - cinnamon 64bits / Windows 10 64bits,
Serveurs :
Dell PowerEdge T110II, Xeon E3-1220V2 3.1 GHz - 8 Go RAM - OpenMediaVault,
Raspberry Pi 3 B+ - Jeedom,
Raspberry Pi 2 B+ - Raspbian (Antenne Bluetooth),
Raspberry Pi3 A+ - Octopi (Anet A8)
Divers :
Raspberry Pi 3 B+, RecallBox
https://larumeurdaklain.yj.fr/
Intel core i5 4670K - Asus ROG-STRIX-RX570-OC-4G - 8Go de Ram - 250Go SSD + 2HDD 1To/300Go - Dual Boot Linux Mint 19.3 - cinnamon 64bits / Windows 10 64bits,
Serveurs :
Dell PowerEdge T110II, Xeon E3-1220V2 3.1 GHz - 8 Go RAM - OpenMediaVault,
Raspberry Pi 3 B+ - Jeedom,
Raspberry Pi 2 B+ - Raspbian (Antenne Bluetooth),
Raspberry Pi3 A+ - Octopi (Anet A8)
Divers :
Raspberry Pi 3 B+, RecallBox
https://larumeurdaklain.yj.fr/
- cyrille
- Administrateur du site
- Messages : 12433
- Enregistré le : mar. 19 sept. 2017 08:49
- Localisation : Nowhere
- Contact :
Re: Interdire le montage de supports de stockage USB
dans ce cas : plein de pistes
https://www.qwant.com/?q=ubuntu%20disab ... rage&t=web
Mais blacklister ou coller dans /etc/rc.local
...
(bien qu'en fonction des distribs rc.local peut être absent)
Semble être le plus aisé à gérer
https://www.qwant.com/?q=ubuntu%20disab ... rage&t=web
Mais blacklister ou coller dans /etc/rc.local
Code : Tout sélectionner
rmmod usb_storage
(bien qu'en fonction des distribs rc.local peut être absent)
Semble être le plus aisé à gérer
- cyrille
- Administrateur du site
- Messages : 12433
- Enregistré le : mar. 19 sept. 2017 08:49
- Localisation : Nowhere
- Contact :
Re: Interdire le montage de supports de stockage USB
Oui, tout est possible sous Linux...J'espère que c'est possible sous Mint.
- wolverine52
- Messages : 24
- Enregistré le : mer. 27 mars 2019 10:47
- Localisation : Chalindrey
- Contact :
Re: Interdire le montage de supports de stockage USB
Je viens de tenter quelques méthodes :
1-Fake install
Dans etc/modprobe.d
J'ai créé un fichier block_usb.conf
dans lequel j'ai inséré :
install usb-storage /bin/true
Résultat : Aucun effet...
2.Blacklisting usb-storage
Dans etc/modprobe.d/blacklist.conf
J'ai ajouté :
blacklist usb-storage
Résultat : aucun effet...
3.Suppression drivers USB
J'ai supprimé usb-storage qui se trouve dans les dossiers /lib/modules/4.15.0.20et47-generic/kernel/drivers/usb/storage
Résultat : On dirait que ça fonctionne. Mais en cas de mise à jour, le pilote pourrait être réinstallé.
source : https://linuxtechlab.com/disable-usb-storage-linux/
1-Fake install
Dans etc/modprobe.d
J'ai créé un fichier block_usb.conf
dans lequel j'ai inséré :
install usb-storage /bin/true
Résultat : Aucun effet...
2.Blacklisting usb-storage
Dans etc/modprobe.d/blacklist.conf
J'ai ajouté :
blacklist usb-storage
Résultat : aucun effet...
3.Suppression drivers USB
J'ai supprimé usb-storage qui se trouve dans les dossiers /lib/modules/4.15.0.20et47-generic/kernel/drivers/usb/storage
Résultat : On dirait que ça fonctionne. Mais en cas de mise à jour, le pilote pourrait être réinstallé.
source : https://linuxtechlab.com/disable-usb-storage-linux/
Modifié en dernier par wolverine52 le mer. 24 avr. 2019 10:06, modifié 1 fois.
Desktop :
Intel core i5 4670K - Asus ROG-STRIX-RX570-OC-4G - 8Go de Ram - 250Go SSD + 2HDD 1To/300Go - Dual Boot Linux Mint 19.3 - cinnamon 64bits / Windows 10 64bits,
Serveurs :
Dell PowerEdge T110II, Xeon E3-1220V2 3.1 GHz - 8 Go RAM - OpenMediaVault,
Raspberry Pi 3 B+ - Jeedom,
Raspberry Pi 2 B+ - Raspbian (Antenne Bluetooth),
Raspberry Pi3 A+ - Octopi (Anet A8)
Divers :
Raspberry Pi 3 B+, RecallBox
https://larumeurdaklain.yj.fr/
Intel core i5 4670K - Asus ROG-STRIX-RX570-OC-4G - 8Go de Ram - 250Go SSD + 2HDD 1To/300Go - Dual Boot Linux Mint 19.3 - cinnamon 64bits / Windows 10 64bits,
Serveurs :
Dell PowerEdge T110II, Xeon E3-1220V2 3.1 GHz - 8 Go RAM - OpenMediaVault,
Raspberry Pi 3 B+ - Jeedom,
Raspberry Pi 2 B+ - Raspbian (Antenne Bluetooth),
Raspberry Pi3 A+ - Octopi (Anet A8)
Divers :
Raspberry Pi 3 B+, RecallBox
https://larumeurdaklain.yj.fr/
- cyrille
- Administrateur du site
- Messages : 12433
- Enregistré le : mar. 19 sept. 2017 08:49
- Localisation : Nowhere
- Contact :
Re: Interdire le montage de supports de stockage USB
tu as rebooté ?
Sinon faut déjà les décharger à la main...
Sinon faut déjà les décharger à la main...