Interdire le montage de supports de stockage USB

[wolverine52]

Bonjour à tous,

Comme d'habitude, j'ai une question qui semble sortir de l'ordinaire car, malgré mes 8 heures de recherches (la journée de travail d'hier), je n'ai trouvé aucune réponse correspondant à mon besoin.

Mise en situation :
Dans le cadre de mon travail, je doit mettre en place une station internet accessible à tous.
Jusqu'à présent, mon service avait l'habitude de tout faire sous windows, mais j'ai réussi à convaincre mes collègues de tenter l'aventure avec Linux Mint.
Pour des raisons de sécurité, cette machine doit-être fortement bridée.

Pour l'instant :
J'utilise l'autologon au démarrage de la machine.
Les utilisateurs n'ayant pas le mot de passe, ils ne peuvent rien faire de compromettant pour la machine.
Enfin, les mises à jour automatiques permettent d'avoir une machine toujours à jour sans intervention d'une équipe technique (et sans besoin du mot de passe).

Problème :
Les utilisateurs ne doivent pas pouvoir connecter de clé USB ou de disque externe sur la machine.
Hors, je ne trouve pas comment bloquer le montage des disques.
L'idéal serait que le mot de passe soit demandé, mais un blocage pure et simple ferait l'affaire.

Après mes recherches sur google, j'ai bien tenté de retirer l'utilisateur courant du groupe Disk, mais sans effet.

Cet utilisateur est Administrateur (j'ai cru comprendre que passer en Utilisateur le retirait seulement du groupe Sudo).

J'espère qu'on pourra m'aider, parce que si ça marche, Linux Mint pourrait être déployé au national au sein de mon administration... Ce qui permettra potentiellement aussi de négocier un support financier à l'OS.

PS : J'ai aussi trouvé, dans l'explorateur de fichiers, comment désactiver le montage automatique. Mais un simple click permet de monter et d'accéder au stockage.

[arghlub]

Salut,

Peut-être aller voir du côté de «udev» : https://wiki.debian.org/fr/udev
Désolé je peux pas tester actuellement
Mais je pense que ça devrait le faire.

[wolverine52]

J'ai déjà utilisé udev sur un serveur Debian pour attribuer un nom permanent à un périphérique USB.

Mais je n'ai trouvé aucune indication pour interdire le montage de stockages USB...

Je continue de fouiller de ce cotés.

[wolverine52]

Blacklister les usb-storage me semble une piste prometteuse.

Je ne peux désactiver les ports-usb, sinon je l'aurais simplement fait dans le Bios.
Parce que mon installation doit être standardisée et s'adapter à tout poste.
On doit pouvoir facilement y connecter une imprimante USB, un scanner, un clavier, une souris, etc... mais pas de stockage USB.

Sous Windows, c'est facile, il n'y a qu'à modifier une clé de registre.
J'espère que c'est possible sous Mint.

[wolverine52]

Je viens de tenter quelques méthodes :
1-Fake install
Dans etc/modprobe.d
J'ai créé un fichier block_usb.conf
dans lequel j'ai inséré :
install usb-storage /bin/true

Résultat : Aucun effet...

2.Blacklisting usb-storage
Dans etc/modprobe.d/blacklist.conf
J'ai ajouté :
blacklist usb-storage

Résultat : aucun effet...

3.Suppression drivers USB
J'ai supprimé usb-storage qui se trouve dans les dossiers /lib/modules/4.15.0.20et47-generic/kernel/drivers/usb/storage

Résultat : On dirait que ça fonctionne. Mais en cas de mise à jour, le pilote pourrait être réinstallé.

source : https://linuxtechlab.com/disable-usb-storage-linux/

[wolverine52]

Je pense que mon erreur est là.
Effectivement je n'ai pas rebooté à chaque fois...
Je vais retester un par un.

[wolverine52]

Je ne comprends pas trop pourquoi mais, les deux premières méthodes utilisées individuellement ne fonctionnent pas.
Mais ensemble, ça marche.

Malheureusement, si le PC est démarré avec une clé USB déjà insérée, celle-ci est reconnue et montée.

J'ai donc ajouté la troisième méthode pour empêcher le pilote de se charger.

Donc, voici la procédure :

1-Fake install
Dans etc/modprobe.d
Créer un fichier block_usb.conf
dans lequel insérer :
install usb-storage /bin/true

2.Blacklisting usb-storage
Dans etc/modprobe.d/blacklist.conf
Ajouter :
blacklist usb-storage

3.Suppression drivers USB
Supprimer usb-storage qui se trouve dans les dossiers /lib/modules/4.15.0.20et47-generic/kernel/drivers/usb/storage

[wolverine52]

Ce que je trouve encore plus bizarre, c'est que même après avoir supprimé le pilote, la clé se monte si je démarre avec la clé USB déjà insérée...

Tu es un génie !

En ajoutant blacklist uas
à blacklist.conf
même une clé insérée au démarrage de la machine n'est pas détectée.