mount verbieden voor gewone gebruikers - Linux en overige clients

donderdag 7 februari 2013 10:32

Acties:

0 Henk 'm!

Topicstarter

Hoi,

Ik wil een CentOS 6.3 (gnome 2.28.2) OS hier op het werk installeren, maar zou de gewone gebruikers willen verbieden dat ze USB en CDROMs kunnen mounten. Enkel "root" zou dit moeten kunnen.

Wat ik al heb geprobeerd:
- autofs uitgezet
- udev rule gecreëerd: /etc/udev/rules.d/10-no-automount.rules met daarin volgende lijn
ACTION="add|change", subsystem=="block", ENV{UDISKS_AUTOMOUNT_HINT}="never"

Sommige posts spreken over de USB device driver uit te schakelen, maar ik heb een USB muis en toetsenbord aangesloten, dus ik gok dat dit geen optie is.

Iemand een idee hoe dit moet?

Alvast bedankt.

donderdag 7 februari 2013 10:38

Acties:

0 Henk 'm!

MacGrumpy

Ik ken CentOS niet, ook niet het mount systeem wat gebruikt word.
Maar om te kunnen mounten moet je vaak in een speciale group zitten. De gebruiker hier uit halen zou voldoende moeten zijn.

.e.g. de gebruiker uit de cdrom groep gooien kan voldoende zijn om de cdrom onklaar te maken. De disk groep misschien voldoende voor de rest?

De dirty manier:
* De kernel module usb_storage blacklisten zou voldoende moeten zijn om in ieder geval usb apparaten (stick,hdd).
* UDEV vertellen dat cdrom/sd*/mmc* dev node niet door die users te benaderen is.

donderdag 7 februari 2013 10:49

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Ik mis een beetje je eigen inzet. Wat heb je met Google zoal gevonden en waarom werkt het niet? Het is echt niet moeilijk, je moet alleen even goed kijken hoe het hele user mount proces verloopt in Gnome. Want het is een Gnome ding. Andere DEs hebben hun eigen implementatie, als ze die überhaupt hebben (Xmonad bijvoorbeeld niet).

@MacGrumpy,
Een gebruiker mag absoluut niet in de disk groep zitten. Als je daar in zit, heb je raw access naar de device node en kan je bij verkeerd gebruik je hele schijf wissen.

Commandline FTW | Tweakt met mate

donderdag 7 februari 2013 10:54

Acties:

0 Henk 'm!

MacGrumpy

Hero Of Time schreef op donderdag 07 februari 2013 @ 10:49:
Ik mis een beetje je eigen inzet. Wat heb je met Google zoal gevonden en waarom werkt het niet? Het is echt niet moeilijk, je moet alleen even goed kijken hoe het hele user mount proces verloopt in Gnome. Want het is een Gnome ding. Andere DEs hebben hun eigen implementatie, als ze die überhaupt hebben (Xmonad bijvoorbeeld niet).

@MacGrumpy,
Een gebruiker mag absoluut niet in de disk groep zitten. Als je daar in zit, heb je raw access naar de device node en kan je bij verkeerd gebruik je hele schijf wissen.

ok.. klopt. (gekeken) het was meer een gok i.v.m. cdrom.

Gnome is ook maar een application die als user draait.
Heeft verder niets te maken het wel/niet hebben van permissie voor het mounten.

Als je het correct wil afvangen moet je het d.m.v. permissions doen. dan maakt het niet uit wie hoe wat waar draait, mounten mag niet.
Volgens mij is de groep "plugdev".

donderdag 7 februari 2013 11:47

Acties:

0 Henk 'm!

ZodiacQ

Topicstarter

Hero Of Time schreef op donderdag 07 februari 2013 @ 10:49:
Ik mis een beetje je eigen inzet. Wat heb je met Google zoal gevonden en waarom werkt het niet? Het is echt niet moeilijk, je moet alleen even goed kijken hoe het hele user mount proces verloopt in Gnome. Want het is een Gnome ding. Andere DEs hebben hun eigen implementatie, als ze die überhaupt hebben (Xmonad bijvoorbeeld niet).

@MacGrumpy,
Een gebruiker mag absoluut niet in de disk groep zitten. Als je daar in zit, heb je raw access naar de device node en kan je bij verkeerd gebruik je hele schijf wissen.

Wel ik vind online meer informatie over het wel toelaten van mount, dan het niet toelaten van mount. Wat heb ik online gevonden en uitgeprobeerd:

- mounten disablen in gnome, door gconf-editor te gebruiken, maar het pad naar /desktop/gnome/volume-manage lijkt niet te bestaan in mijn versie. ik heb ook in de .gconf directory gezocht van de gebruiker.

- udev rule proberen aan te maken (zie hierboven)

- autofs uitgeschakeld

- gebruiker uit de plugdev en cdrom groep verwijderen, maar de gebruiker behoort maar tot 1 groep, nl. zijn eigen groep (en plugdev blijkt niet te bestaan op mijn systeem).

Dan blijft over hetgene wat ik nog niet heb geprobeerd:

- Een "chmod 700 /media" (maar vroeg mij af of er geen betere manier was)
- De usb-storage en cdrom module verwijderen, maar ik had als root graag zelf nog kunnen mounten, zonder dit te moeten terugzetten.

donderdag 7 februari 2013 12:40

Acties:

0 Henk 'm!

Pyr0wl

Heb je geen cdrom group? Alle gebruikers uit deze groep verwijderen en ze hebben al geen toegang meer tot de cdrom

Wat je ook kan doen is de haldaemon disablen, verwijderbare media wordt dan gewoon niet gemount. Ik weet wel niet of hier ongewenste neveneffecten aan verbonden zijn

donderdag 7 februari 2013 13:17

Acties:

0 Henk 'm!

ZodiacQ

Topicstarter

Pyr0wl schreef op donderdag 07 februari 2013 @ 12:40:
Heb je geen cdrom group? Alle gebruikers uit deze groep verwijderen en ze hebben al geen toegang meer tot de cdrom

Wat je ook kan doen is de haldaemon disablen, verwijderbare media wordt dan gewoon niet gemount. Ik weet wel niet of hier ongewenste neveneffecten aan verbonden zijn

Er is een cdrom group, maar het lijkt alsof deze gebruiker er geen deel van uitmaakt:

code:

[root@image ~]# id observer
uid=1701(observer) gid=1501(netsys) groups=1501(netsys)
[root@image ~]# groups observer
observer : netsys
[root@image ~]

Hier is het /etc/group bestand:

code:

root:x:0:
bin:x:1:bin,daemon
daemon:x:2:bin,daemon
sys:x:3:bin,adm
adm:x:4:adm,daemon
tty:x:5:
disk:x:6:
lp:x:7:daemon
mem:x:8:
kmem:x:9:
wheel:x:10:
mail:x:12:mail,postfix
uucp:x:14:
man:x:15:
games:x:20:
gopher:x:30:
video:x:39:
dip:x:40:
ftp:x:50:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
dbus:x:81:
utmp:x:22:
utempter:x:35:
qpidd:x:499:
oprofile:x:16:
usbmuxd:x:113:
hsqldb:x:96:
desktop_admin_r:x:498:
desktop_user_r:x:497:
avahi-autoipd:x:170:
named:x:25:
bacula:x:133:
rpc:x:32:
floppy:x:19:
vcsa:x:69:
rtkit:x:496:
pegasus:x:65:
cimsrvr:x:500:
cdrom:x:11:
tape:x:33:amandabackup
dialout:x:18:
saslauth:x:76:
postdrop:x:90:
postfix:x:89:
apache:x:48:
cgred:x:495:
ntp:x:38:
tss:x:59:
dhcpd:x:177:
avahi:x:70:
haldaemon:x:68:haldaemon
pulse:x:494:
pulse-access:x:493:
stapusr:x:156:
stapsys:x:157:
stapdev:x:158:
fuse:x:492:
gdm:x:42:
rpcuser:x:29:
nfsnobody:x:65534:
abrt:x:173:
xguest:x:501:
sabayon:x:86:
arpwatch:x:77:
sshd:x:74:
sfcb:x:491:root
tcpdump:x:72:
screen:x:84:
slocate:x:21:
netsys:x:1501:

donderdag 7 februari 2013 14:13

Acties:

0 Henk 'm!

Sir Isaac

Is chmod 700 /sbin/mount niet genoeg?

donderdag 7 februari 2013 15:41

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Voordat je allerlei rechten gaat veranderen op je filesystem, kan je beter kijken naar andere oplossingen. Bijvoorbeeld je device node in fstab zetten, zoiets als dit:

code:

1	/dev/sr0 /media/cdrom iso9660,udf nouser,ro,noauto

Enne, als je een module blacklist, betekend 't dat deze niet tijdens boot geladen wordt, maar je kan 'm wel handmatig laden. Had je trouwens http://serverfault.com/qu...for-normal-users-in-linux niet gevonden?

Commandline FTW | Tweakt met mate

donderdag 7 februari 2013 15:47

Acties:

0 Henk 'm!

ZodiacQ

Topicstarter

Hero Of Time schreef op donderdag 07 februari 2013 @ 15:41:
Voordat je allerlei rechten gaat veranderen op je filesystem, kan je beter kijken naar andere oplossingen. Bijvoorbeeld je device node in fstab zetten, zoiets als dit:
code:
1
/dev/sr0 /media/cdrom iso9660,udf nouser,ro,noauto
Enne, als je een module blacklist, betekend 't dat deze niet tijdens boot geladen wordt, maar je kan 'm wel handmatig laden. Had je trouwens http://serverfault.com/qu...for-normal-users-in-linux niet gevonden?

toch wel, zie mijn 2e post

ik dacht alleen dat er een betere oplossing was ipv de kernel module te blacklisten. Die fstab had ik ook gevonden, maar geldt alleen maar voor cdrom en niet usb. Ik zal wel zien wat ik doe. Ik zal zien wat het gemakkelijkste is.

tnx.

zaterdag 9 februari 2013 02:41

Acties:

0 Henk 'm!

Thralas

Neem ook even de Guide to the Secure Configuration of Red Hat Enterprise Linux 5 door; met name sectie 2.2.2 is in dit geval relevant.

zaterdag 9 februari 2013 12:47

Acties:

0 Henk 'm!

Anoniem: 294759

je zou het ook kunnen afdwingen met het inrichten van sudo *kucht*

zaterdag 9 februari 2013 19:16

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

ZodiacQ schreef op donderdag 07 februari 2013 @ 15:47:
[...]

toch wel, zie mijn 2e post ik dacht alleen dat er een betere oplossing was ipv de kernel module te blacklisten. Die fstab had ik ook gevonden, maar geldt alleen maar voor cdrom en niet usb. Ik zal wel zien wat ik doe. Ik zal zien wat het gemakkelijkste is.

tnx.

Voor USB sticks is 't niet veel anders. Dat is /dev/sd?, waar ? de eerst volgende schijfletter is (heb je 1 schijf in je PC, dan is 't sdb).

Check naast sudo ook polkit, of policykit. Moet je ook wat geven aan resultaten.

Commandline FTW | Tweakt met mate

maandag 11 februari 2013 15:12

Acties:

0 Henk 'm!

ZodiacQ

Topicstarter

Thanks allemaal, maar heb er dan toch voor gekozen om de kernel modules te blacklisten.

maandag 11 februari 2013 15:57

Acties:

0 Henk 'm!

Anoniem: 294759

Je beseft wel dat root dan ook geen mount zou kunnen? Met andere woorden: Is het black listen van kernel modules niet erg rigoureus?

maandag 11 februari 2013 22:20

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Typnix, blacklisten heeft geen effect op handmatig modules laden. Dus als hij de cdrom of een USB stick moet mounten, laad hij de module, mount de boel en kan 'm daarna weer verwijderen.

Commandline FTW | Tweakt met mate