Bloquear dispositivos USB / CDROM [RESOLVIDO]

wellington_r
(usa Debian)

Enviado em 24/04/2013 - 08:57h

Galera, a empresa onde faço estágio está com um projeto para fazer a migração de Windows para Linux.
Antes de colocarmos a mão na massa, estamos fazendo testes de tudo o que for necessário para o usuário e para o departamento de TI.

Pela política da empresa, é necessário que seja possível bloquear os dispositivos de leitura e gravação de dados, tais como pendrives e leitores de cd, mas não estou conseguindo fazer com que isso funcione (de uma forma "viável").

Utilizamos a distribuição "Linux Mint 13: Maya", com o ambiente gráfico KDE.

O que já foi tentado:
1. Remover o usuário dos grupos "plugdev" e "cdrom".
2. Ir em "Configurações do sistema" e desabilitar "Habilitar a montagem automática de mídias removíveis" (assim como desabilitar todas as outras opções relacionadas a montagem automática de mídias removíveis)
3. Dar um comando "modprobe -r usb_storage" e inserir a linha "blacklist usb_storage" no arquivo "/etc/modprobe.d/blacklist.conf"

Efeitos:
1. Nada ocorreu, ao inserir o pendrive/cd, ele foi montado automaticamente, inclusive mostrando a janela de notificação de dispositivo conectado.
2. Idem ao de acima.
3. Ao fazer isso e dar um "lsmod" ANTES de inserir o pendrive, é possível verificar que o módulo "usb_storage" de fato não está mais listado, porém, DEPOIS de inserir o pendrive, o pendrive é montado normalmente e o "lsmod" volta a listar o módulo "usb_storage".

Eu poderia mover o arquivo usb_storage.ko do diretório kernel e quando quisesse habilitar novamente o usb, eu moveria o arquivo de volta para lá, mas isso é muito "gambiarrístico" e não me parece a forma mais correta de se fazer isso, pois assim eu precisaria reiniciar o sistema sempre que precisasse ativar/desativar os dispositivos removíveis e além disso, executar comandos "arriscados" em uma parte "sensível" do sistema é um tanto quanto perigoso (ontem, ao fazer o teste, por exemplo, eu deletei, sem querer, a pasta /root/ e o arquivo usb_storage.ko do kernel).
Fazer algo como bloquear um dispositivo deveria requerer uma solução mais simples.

Alguém tem ideia da razão de essas possíveis soluções não estarem funcionando para mim? (bug?)
O que mais eu poderia tentar?

Agradeço desde já.

sempreslack
(usa Slackware)

Enviado em 24/04/2013 - 09:36h

pq vc n tenta dizer ao fstab q só o root tem permissão para montar os dispositivos? Digita sudo passwd ante pra definir uma senha de root (não sei se vc define na instalação, caso defina, então não precisa fazer isso). Depois disso feito, edita o fstab pro root montaar, se ninguem tiver a senha de root, então ninguem monta.

wellington_r
(usa Debian)

Enviado em 24/04/2013 - 09:44h

A idéia é essa mesmo: só o departamento de TI terá a senha de root, enquanto o usuário terá apenas a senha de sua conta "comum", sem os privilégios de root, para não fazer nenhuma besteira no sistema.
Eu já defini uma senha diferente para o root, mas não sei como configurar o fstab para que somente o root possa montar esses dispositivos.

Rei Tenguh
(usa Arch Linux)

Enviado em 24/04/2013 - 10:05h

Eu não sou profissional da área, sou só usuário final; então nunca gosto de me arriscar em assuntos profissionais (vai que eu falo besteira e alguém leva a sério!) Mas eu diria o seguinte: O Linux Mint tem como característica sr uma distro "fácil",pra usuários caseiros, certo? Bom, ele tem um monte de coisas que auxiliam NISSO. Não acho que seja uma distribuição indicada para um local de trabalho como esse.
O que eu posso dizer - esperando que sirva como parâmetro de pensamentos e não como solução final - é que no Arch, com um ambiente gráfico leve, basta a edição do /etc/group pra bloquear acessos. (em suma: distros "secas" costumam deixar as coisas do sistema como devem ser)

Obs: no Suse nem precisa colocar ninguém em nenhum grupo; é só estar no grupo "users" que já abre tudo, entra em tudo, mexe em tudo. ¬¬

wellington_r
(usa Debian)

Enviado em 24/04/2013 - 10:37h

Então, se a inclusão/exclusão dos grupos FUNCIONASSE no Linux Mint, tudo seria uma maravilha.
Mas pelo que me parece, o não-funcionamento das regras por grupo não é intencional, já que na instalação do sistema os grupos "plugdev" e "cdrom" são criados automaticamente. Se a intenção dos desenvolvedores fosse não controlar o acesso aos dispositivos pelos grupos, acho que eles teriam desabilitado a função de criar esses grupos automaticamente.

Eu fiz várias pesquisas no Google tentando encontrar alguma forma de bloquear esses dispositivos e notei que vários usuários, em várias distros diferentes (não vou lembrar quais) tiveram problemas com as possíveis soluções que já tentei.

Rei Tenguh
(usa Arch Linux)

Enviado em 24/04/2013 - 10:54h

Foi o que eu quis dizer. Perece-me que pro funcionamento de algumas distros se tornarem mais "amigáveis" frente a possíveis situações, os desenvolvedores colocam essa "automatizasção" além da simples edição do /etc/groups.
Talvez com alguma distro mais "seca" seja mais fácil esse tipo de coisas (no Arch sei dizer que é); Linux tem por base configurações simples em edições de arquivos únicos e específicos (como exemplo o Arch ou o Slack). Mas isso é alterado em algumas distros em prol da "automatização" frente a várias possíveis situações.

Na prática: distros como Ubuntu, Suse, Mint, Mageia e companhia não perecem-me as melhores opções para locais de trabalho que precisem de configurações mais específicas no cerne do sistema.

ianclever
(usa Arch Linux)

Enviado em 24/04/2013 - 11:06h

não estou bem lembrado qual é a aba, e só te aconselho a fazer se souber realmente o que está fazendo, bom recompila o kernel, lá tem uma opção que ao desmarcá-la você desabilita o suporte a usb de verdade, e quanto ao cd-rom vale a mesma regra.

EDIT: outro meio vai ser via gambiarra mesmo, infelizmente as distros mais fáceis de usar mudam algumas coisas para poder automatizar as coisas.

sempreslack
(usa Slackware)

Enviado em 24/04/2013 - 20:35h

ok, vamos então ao fstab. ele esta dentro da pasta /etc
abre o terminal, entra como super usuario, depois vá a /etc. Uso o nano pra editar, pode usar outro.
exemplo de fstab, o meu, do slackware.
/dev/sda9 swap swap defaults 0 0
/dev/sda5 / ext4 defaults 1 1
/dev/sda6 /mnt/fedora ext4 defaults 1 2
/dev/sda7 /mnt/opensuse ext4 defaults 1 2
/dev/sda8 /mnt/linux ext4 defaults 1 2
#/dev/cdrom /mnt/cdrom auto noauto,owner,ro,comment=x-gvfs-show 0 0
/dev/fd0 /mnt/floppy auto noauto,owner 0 0
devpts /dev/pts devpts gid=5,mode=620 0 0
proc /proc proc defaults 0 0
tmpfs /dev/shm tmpfs defaults 0 0

mudanças que eu faria:
/dev/sda9 swap swap defaults 0 0
/dev/sda5 / ext4 defaults 1 1
/dev/sda6 /mnt/fedora ext4 defaults 1 2
/dev/sda7 /mnt/opensuse ext4 defaults 1 2
/dev/sda8 /mnt/linux ext4 defaults 1 2
/dev/cdrom /mnt/cdrom auto noauto,nouser,ro 0 0
/dev/sdb1 /mnt/pendrive auto noauto,nouser,rw 0 0
devpts /dev/pts devpts gid=5,mode=620 0 0
proc /proc proc defaults 0 0
tmpfs /dev/shm tmpfs defaults 0 0

como pode perceber, coloquei a opção nouser para impedir que um usuário comum monte o dispositivo em questão e dei, através do rw, a possibilidade de escrever no pendrive, claro o root apenas, poria apenas ele tem permissão pra montar

wellington_r
(usa Debian)

Enviado em 25/04/2013 - 08:36h

Eu fiz assim:

/dev/sdb1 /media/pendrive auto noauto,nouser,rw 0 0

Aí sem nem precisar reiniciar, espetei o pendrive no PC e, de fato, ele não pode ser montado pelo usuário normal.
Mas como eu reparei que essa configuração está com o valor fixo "sdb1", pensei: "mas o que acontece se eu espetar um segundo pendrive?". Coloquei o segundo pendrive lá e tcharam, ele foi montado normalmente.
Há alguma forma de eu colocar um coringa no lugar de sdb1? Por exemplo:

/dev/* media/pendrive auto noauto,nouser,rw 0 0

Existe algo assim?

sempreslack
(usa Slackware)

Enviado em 25/04/2013 - 18:28h

não sei, mas pq vc n faz mais linhas dessas para cada entrada de pendrive. Tipo, o seu tem 4 entradas disponiveis para pendrive, então colocaria mais 3 linhas com pontos de montagem diferente. Exemplo:
sdb1 em /mnt/pendrive1
sdc1 em /mnt/pendrive2
sdd1 em /mnt/pendrive3
sde1 em /mnt/pendrive4
pora ai vai
Não se trata de sdb1 ou 2, pq iria se referiar somente a outra partição do msm dispositivo. poderia fazer assim como eu disse, vai dar trabalho e vai ser um saco, mas possivelmente vai resolver. abs

removido
(usa Nenhuma)

Enviado em 25/04/2013 - 19:39h

Faz tempo que não contribuo... mas para um trabalho assim a melhor alternativa é desativar o serviço responsável pela montagem de dispositivos de armazenamento moveis ou usar uma configuração no serviço que permita alguns usuários e outros não.

Não entanto é preciso saber qual é o serviço que o linux mint usa e estuda-lo.

Espero ter contribuído um pouco.

wellington_r
(usa Debian)

Enviado em 29/04/2013 - 10:26h

Agradeço pela atenção de todos.
Tentarei por em prática a solução de vocês.

Dou um feedback depois.