Interdire le montage de supports de stockage USB

[wolverine52]

Bonjour à tous,

Comme d'habitude, j'ai une question qui semble sortir de l'ordinaire car, malgré mes 8 heures de recherches (la journée de travail d'hier), je n'ai trouvé aucune réponse correspondant à mon besoin.

Mise en situation :
Dans le cadre de mon travail, je doit mettre en place une station internet accessible à tous.
Jusqu'à présent, mon service avait l'habitude de tout faire sous windows, mais j'ai réussi à convaincre mes collègues de tenter l'aventure avec Linux Mint.
Pour des raisons de sécurité, cette machine doit-être fortement bridée.

Pour l'instant :
J'utilise l'autologon au démarrage de la machine.
Les utilisateurs n'ayant pas le mot de passe, ils ne peuvent rien faire de compromettant pour la machine.
Enfin, les mises à jour automatiques permettent d'avoir une machine toujours à jour sans intervention d'une équipe technique (et sans besoin du mot de passe).

Problème :
Les utilisateurs ne doivent pas pouvoir connecter de clé USB ou de disque externe sur la machine.
Hors, je ne trouve pas comment bloquer le montage des disques.
L'idéal serait que le mot de passe soit demandé, mais un blocage pure et simple ferait l'affaire.

Après mes recherches sur google, j'ai bien tenté de retirer l'utilisateur courant du groupe Disk, mais sans effet.

Cet utilisateur est Administrateur (j'ai cru comprendre que passer en Utilisateur le retirait seulement du groupe Sudo).

J'espère qu'on pourra m'aider, parce que si ça marche, Linux Mint pourrait être déployé au national au sein de mon administration... Ce qui permettra potentiellement aussi de négocier un support financier à l'OS.

PS : J'ai aussi trouvé, dans l'explorateur de fichiers, comment désactiver le montage automatique. Mais un simple click permet de monter et d'accéder au stockage.

[arghlub]

Salut,

Peut-être aller voir du côté de «udev» : https://wiki.debian.org/fr/udev
Désolé je peux pas tester actuellement
Mais je pense que ça devrait le faire.

[wolverine52]

J'ai déjà utilisé udev sur un serveur Debian pour attribuer un nom permanent à un périphérique USB.

Mais je n'ai trouvé aucune indication pour interdire le montage de stockages USB...

Je continue de fouiller de ce cotés.

[cyrille]

Début de piste

Code : Tout sélectionner

serveur@serveurProliant:~$ lsusb -t
/:  Bus 05.Port 1: Dev 1, Class=root_hub, Driver=ehci-pci/2p, 480M
    |__ Port 1: Dev 2, If 0, Class=Hub, Driver=hub/6p, 480M
/:  Bus 04.Port 1: Dev 1, Class=root_hub, Driver=ehci-pci/2p, 480M
    |__ Port 1: Dev 2, If 0, Class=Hub, Driver=hub/4p, 480M
/:  Bus 03.Port 1: Dev 1, Class=root_hub, Driver=xhci_hcd/2p, 5000M
/:  Bus 02.Port 1: Dev 1, Class=root_hub, Driver=xhci_hcd/10p, 480M
    |__ Port 2: Dev 2, If 0, Class=Human Interface Device, Driver=usbhid, 1.5M
    |__ Port 3: Dev 3, If 0, Class=Hub, Driver=hub/2p, 480M
    |__ Port 4: Dev 4, If 0, Class=Human Interface Device, Driver=usbhid, 1.5M
/:  Bus 01.Port 1: Dev 1, Class=root_hub, Driver=uhci_hcd/2p, 12M

Pour désactiver un port : (ici le bus 2 port 4)

Code : Tout sélectionner

echo '2-4' |sudo tee /sys/bus/usb/drivers/usb/unbind

Pour le réactiver

Code : Tout sélectionner

echo '2-4' |sudo tee /sys/bus/usb/drivers/usb/bind

a UTILISER AVEC PRéCAUTION
Et limite : tu vas laisser, je présume, ta souris et clavier USB... Donc rien n’empêchera qu'il les débranche pour brancher une clef dessus ou un DD....
(donc faudrait en plus coller un script qui analyse ce qui est branché
cf https://help.ubuntu.com/community/UsbDr ... _connected
Pour voir comment détecter un interrupteur USB et y répondre)


AUTRE SOLUTION
je ne sais si ça marche , mais pourquoi, pas tester de "blacklister" les modules USB, style un fichier

Code : Tout sélectionner

cat /etc/modprobe.d/blacklist.conf
blacklist uas
blacklist usb-storage

A creuser....

Mes 2 sous...

[cyrille]

Pour le clavier et la souris, ensuite si tu ne veux pas qu'on les retire, tu les soudes....

[wolverine52]

Blacklister les usb-storage me semble une piste prometteuse.

Je ne peux désactiver les ports-usb, sinon je l'aurais simplement fait dans le Bios.
Parce que mon installation doit être standardisée et s'adapter à tout poste.
On doit pouvoir facilement y connecter une imprimante USB, un scanner, un clavier, une souris, etc... mais pas de stockage USB.

Sous Windows, c'est facile, il n'y a qu'à modifier une clé de registre.
J'espère que c'est possible sous Mint.

[cyrille]

dans ce cas : plein de pistes
https://www.qwant.com/?q=ubuntu%20disab ... rage&t=web

Mais blacklister ou coller dans /etc/rc.local

Code : Tout sélectionner

rmmod usb_storage

...
(bien qu'en fonction des distribs rc.local peut être absent)

Semble être le plus aisé à gérer

[cyrille]

J'espère que c'est possible sous Mint.

Oui, tout est possible sous Linux...

[wolverine52]

Je viens de tenter quelques méthodes :
1-Fake install
Dans etc/modprobe.d
J'ai créé un fichier block_usb.conf
dans lequel j'ai inséré :
install usb-storage /bin/true

Résultat : Aucun effet...

2.Blacklisting usb-storage
Dans etc/modprobe.d/blacklist.conf
J'ai ajouté :
blacklist usb-storage

Résultat : aucun effet...

3.Suppression drivers USB
J'ai supprimé usb-storage qui se trouve dans les dossiers /lib/modules/4.15.0.20et47-generic/kernel/drivers/usb/storage

Résultat : On dirait que ça fonctionne. Mais en cas de mise à jour, le pilote pourrait être réinstallé.

source : https://linuxtechlab.com/disable-usb-storage-linux/

[cyrille]

tu as rebooté ?
Sinon faut déjà les décharger à la main...