Alterator-usbmount: различия между версиями

Материал из ALT Linux Wiki
(Новая страница: «{{Stub}} == Название пакета == {{pkgL|alterator-mount}} == Назначение == Модуль '''USBMount''' позволяет ограничить доступ к файловой системе USB-устройства по UID/GID. В модуле также предусмотрена возможность просмотра журнала событий подключения/отключения USB-устройств. == Запу...»)
 
Нет описания правки
 
(не показаны 2 промежуточные версии 2 участников)
Строка 7: Строка 7:


Модуль '''USBMount''' позволяет ограничить доступ к файловой системе USB-устройства по UID/GID. В модуле также предусмотрена возможность просмотра журнала событий подключения/отключения USB-устройств.
Модуль '''USBMount''' позволяет ограничить доступ к файловой системе USB-устройства по UID/GID. В модуле также предусмотрена возможность просмотра журнала событий подключения/отключения USB-устройств.
Особенности работы модуля:
* если для устройства не создано правило, то служба не вмешивается в логику монтирования USB-устройства;
* если для устройства создано правило, то служба монтирует блочные устройства на назначенном USB-устройстве в каталог /media/alt-usb-mount/$user_$group или /media/alt-usb-mount/root_$group, если пользователь не указан;
* служба назначает ACL для указанного пользователя и группы на каталог, в котором будет создана точка монтирования блочного устройства;
* в правилах можно указать только существующего локального пользователя и пользовательскую группу;
* доступ к USB-устройству назначенному пользователю и группе предоставляется полностью (rw);
* любой пользователь может отмонтировать устройство через стандартные средства ОС;
* служба не вмешивается в права самих файловых систем блочных устройств;
* рекомендуемая файловая система для переносных носителей exFAT.
{{Note|Особенности ФС:
* EXT2/3/4, XFS, BTRFS поддерживают права. Доступ к файловой системе будет также определяться назначенными правами самой файловой системы;
* FAT16/FAT32/exFAT не поддерживают права. Доступ будет полностью определяться через точку монтирования назначенную в USBMount;
* ISO9660/UDF поддерживает только readonly. Доступ будет предоставлен только на чтение;
* NTFS поддерживает права. Не рекомендуется использовать. В случае если ранее NTFS носитель был извлечён небезопасно, то носитель будет смонтирован только для чтения.}}
{{Note|В [[MATE]] автоматическое монтирование USB включено по умолчанию.
Для отключения автоматического монтирования следует создать правило [[udev]] (например, файл {{path|/etc/udev/rules.d/60-usb.rules}}):
<syntaxhighlight lang="ini">SUBSYSTEM=="block",ACTION=="add",ENV{ID_BUS}=="usb",ENV{UDISKS_AUTO}="0"</syntaxhighlight>}}
Пример разграничения доступа:
{|
|
{| class="wikitable"
! Пользователь
! Группа
|-
| A
| AG
|-
| B
| BCG
|-
| C
| BCG
|-
| D
| DG
|-
| …
| …
|}
|
{| class="wikitable"
! rowspan="2"| USB-устройство
! colspan="2"| Назначенные права
! colspan="2"| Результат
|-
! Пользователь
! Группа
! Доступ есть
! Доступа нет
|-
| USB1
| A
| AG
| A,AG
| У всех остальных
|-
| USB2
| B
| BCG
| B,C,BCG
| У всех остальных
|-
| USB3
| A
| BCG
| A,B,C,BCG
| У всех остальных
|-
| USB4
| -
| -
| У всех
|
|}
|}


== Запуск ==
== Запуск ==
Строка 33: Строка 113:


В столбце «Статус» отображается текущее состояние устройства («free» — владелец для устройства не назначен, «owned» — устройству назначен владелец).
В столбце «Статус» отображается текущее состояние устройства («free» — владелец для устройства не назначен, «owned» — устройству назначен владелец).
Если устройству назначен владелец и устройство примонтировано, то текущая точка монтирования отображается в столбце «Точка монтирования».


Кнопка «Обновить список блочных устройств» позволяет обновить список подключённых устройств.
Кнопка «Обновить список блочных устройств» позволяет обновить список подключённых устройств.
Строка 43: Строка 125:
# Правило будет добавлено в таблицу «Список владельцев»:
# Правило будет добавлено в таблицу «Список владельцев»:
#:[[Файл:Alterator-usbmount-05.png|Правило добавлено в таблицу «Список владельцев»]]
#:[[Файл:Alterator-usbmount-05.png|Правило добавлено в таблицу «Список владельцев»]]
# В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу:
# В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу владельца блочного устройства:
#:[[Файл:Alterator-usbmount-06.png|Указание пользователя и группы для блочного устройства]]
#:[[Файл:Alterator-usbmount-06.png|Указание пользователя и группы для блочного устройства]]
# Нажать кнопку «Сохранить». Статус устройства в таблице «Список устройств» изменится на «owned»:
# Нажать кнопку «Сохранить». Статус устройства в таблице «Список устройств» изменится на «owned»:
#:[[Файл:Alterator-usbmount-07.png|Статус «owned» для устройства в таблице «Список устройств»]]
#:[[Файл:Alterator-usbmount-07.png|Статус «owned» для устройства в таблице «Список устройств»]]


{{Note|При создании правила некорректные значения будут выделены красным цветом, корректные — зелёным:
 
Если необходимо назначить права для определённой группы пользователей, в столбце «Пользователь» следует выбрать прочерк:
 
[[Файл:Alterator-usbmount-14.png|Указание группы для блочного устройства]]
 
{{Note|При создании/редактировании правила некорректные значения будут выделены красным цветом, корректные — зелёным:
[[Файл:Alterator-usbmount-13.png|Некорректные и корректные значения]]
[[Файл:Alterator-usbmount-13.png|Некорректные и корректные значения]]
}}
}}
Строка 57: Строка 144:
# В соответствующих столбцах указать «VID», «PID» и «Серийный номер устройства»:
# В соответствующих столбцах указать «VID», «PID» и «Серийный номер устройства»:
#:[[Файл:Alterator-usbmount-09.png|Параметры устройства ]]
#:[[Файл:Alterator-usbmount-09.png|Параметры устройства ]]
# В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу:
# В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу владельца блочного устройства:
#:[[Файл:Alterator-usbmount-10.png|Указание пользователя и группы для блочного устройства]]
#:[[Файл:Alterator-usbmount-10.png|Указание пользователя и группы для блочного устройства]]
# Нажать кнопку «Сохранить».
# Нажать кнопку «Сохранить».


Редактирование правила:
Редактирование правила:
# Дважды щелкнуть мышью по строке с правилом в таблице «Список владельцев» (или выделить строку в таблице «Список владельцев» и нажать кнопку «Изменить»).
# Дважды щелкнуть мышью по строке с правилом в таблице «Список владельцев» (или выделить строку в таблице «Список владельцев» и нажать кнопку «Изменить».
# Внести изменения:
# Внести изменения:
#:[[Файл:Alterator-usbmount-11.png|Редактирование правила]]
#:[[Файл:Alterator-usbmount-11.png|Редактирование правила]]

Текущая версия от 17:17, 6 июня 2024

Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Название пакета

alterator-mount

Назначение

Модуль USBMount позволяет ограничить доступ к файловой системе USB-устройства по UID/GID. В модуле также предусмотрена возможность просмотра журнала событий подключения/отключения USB-устройств.

Особенности работы модуля:

  • если для устройства не создано правило, то служба не вмешивается в логику монтирования USB-устройства;
  • если для устройства создано правило, то служба монтирует блочные устройства на назначенном USB-устройстве в каталог /media/alt-usb-mount/$user_$group или /media/alt-usb-mount/root_$group, если пользователь не указан;
  • служба назначает ACL для указанного пользователя и группы на каталог, в котором будет создана точка монтирования блочного устройства;
  • в правилах можно указать только существующего локального пользователя и пользовательскую группу;
  • доступ к USB-устройству назначенному пользователю и группе предоставляется полностью (rw);
  • любой пользователь может отмонтировать устройство через стандартные средства ОС;
  • служба не вмешивается в права самих файловых систем блочных устройств;
  • рекомендуемая файловая система для переносных носителей exFAT.
Примечание: Особенности ФС:
  • EXT2/3/4, XFS, BTRFS поддерживают права. Доступ к файловой системе будет также определяться назначенными правами самой файловой системы;
  • FAT16/FAT32/exFAT не поддерживают права. Доступ будет полностью определяться через точку монтирования назначенную в USBMount;
  • ISO9660/UDF поддерживает только readonly. Доступ будет предоставлен только на чтение;
  • NTFS поддерживает права. Не рекомендуется использовать. В случае если ранее NTFS носитель был извлечён небезопасно, то носитель будет смонтирован только для чтения.


Примечание: В MATE автоматическое монтирование USB включено по умолчанию.

Для отключения автоматического монтирования следует создать правило udev (например, файл /etc/udev/rules.d/60-usb.rules): 

SUBSYSTEM=="block",ACTION=="add",ENV{ID_BUS}=="usb",ENV{UDISKS_AUTO}="0"


Пример разграничения доступа:

Пользователь Группа
A AG
B BCG
C BCG
D DG
USB-устройство Назначенные права Результат
Пользователь Группа Доступ есть Доступа нет
USB1 A AG A,AG У всех остальных
USB2 B BCG B,C,BCG У всех остальных
USB3 A BCG A,B,C,BCG У всех остальных
USB4 - - У всех

Запуск

Модуль USBMount доступен в веб-интерфейсе по адресу https://ip-address:8080 (раздел Система ▷ USBMount):

Веб-интерфейс модуля USBMount

Использование модуля

Запуск/останов службы

В модуле отображается текущее состояние службы USBMount (altusbd):

Служба USBMount остановлена

Для включения контроля за устройствами необходимо передвинуть переключатель «Служба USBMount остановлена» и нажать кнопку «Сохранить». Служба USBMount будет запущена и добавлена в автозагрузку:

Служба USBMount (altusbd) запущена и добавлена в автозагрузку

Список устройств

Если служба USBMount запущена, в веб-интерфейсе будет отображён список текущих подключённых устройств:

Список текущих подключённых устройств

В столбце «Статус» отображается текущее состояние устройства («free» — владелец для устройства не назначен, «owned» — устройству назначен владелец).

Если устройству назначен владелец и устройство примонтировано, то текущая точка монтирования отображается в столбце «Точка монтирования».

Кнопка «Обновить список блочных устройств» позволяет обновить список подключённых устройств.

Добавление/удаление правил

Назначение прав для подключенного блочного устройства:

  1. Выделить строку с нужным устройством в таблице «Список устройств» и нажать кнопку «Назначить владельца» (или дважды щелкнуть мышью по строке с устройством):
    Назначение владельца для подключенного устройства
  2. Правило будет добавлено в таблицу «Список владельцев»:
    Правило добавлено в таблицу «Список владельцев»
  3. В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу владельца блочного устройства:
    Указание пользователя и группы для блочного устройства
  4. Нажать кнопку «Сохранить». Статус устройства в таблице «Список устройств» изменится на «owned»:
    Статус «owned» для устройства в таблице «Список устройств»


Если необходимо назначить права для определённой группы пользователей, в столбце «Пользователь» следует выбрать прочерк:

Указание группы для блочного устройства

Примечание: При создании/редактировании правила некорректные значения будут выделены красным цветом, корректные — зелёным:

Некорректные и корректные значения


Назначение прав для произвольного блочного устройства:

  1. Нажать кнопку «Добавить», расположенную под таблицей «Список владельцев». В таблицу будет добавлена пустая строка:
    Создание нового правила
  2. В соответствующих столбцах указать «VID», «PID» и «Серийный номер устройства»:
    Параметры устройства
  3. В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу владельца блочного устройства:
    Указание пользователя и группы для блочного устройства
  4. Нажать кнопку «Сохранить».

Редактирование правила:

  1. Дважды щелкнуть мышью по строке с правилом в таблице «Список владельцев» (или выделить строку в таблице «Список владельцев» и нажать кнопку «Изменить».
  2. Внести изменения:
    Редактирование правила
  3. Нажать кнопку «Сохранить».

Удаление правила:

  1. Выделить строку(и) с правилом в таблице «Список владельцев».
  2. Нажать кнопку «Удалить»:
    Удаление правила
  3. Нажать кнопку «Сохранить».
Примечание: Для отмены внесённых изменений (до нажатия кнопки «Сохранить») следует нажать кнопку «Сбросить».


Просмотр журнала аудита

Для просмотра журнала событий подключения/отключения USB-устройств необходимо нажать кнопку «Журнал», расположенную в левом нижнем углу модуля.

По нажатию на эту кнопку раскрывается журнал аудита:

Журнал аудита

Передвигаться по журналу к более старым или более новым записям можно с помощью кнопок «Назад» и «Вперёд».

Есть возможность фильтровать данные с помощью специального поля.

Для того чтобы скрыть панель журнала, необходимо нажать кнопку «Свернуть».


Модули Alterator
Alterator-ahttpd-power • Alterator-ahttpd-server • Alterator-alternatives • Alterator-asterisk-gateway • Alterator-asterisk-limits • Alterator-audit • Alterator-auth • Alterator-auth-token • Alterator-bacula-client • Alterator-bind • Alterator-bird • Alterator-ca • Alterator-clamav • Alterator-console • Alterator-control • Alterator-controlpp • Alterator-datetime • Alterator-dhcp • Alterator-gpupdate • Alterator-groups • Alterator-grub • Alterator-kiosk • Alterator-ldap-groups • Alterator-ldap-users • Alterator-limits • Alterator-logs • Alterator-mass-management • Alterator-mirror • Alterator-mkbootflash • Alterator-multiseat • Alterator-net-bl • Alterator-net-bond • Alterator-net-bridge • Alterator-net-dnat • Alterator-net-domain • Alterator-net-eth • Alterator-net-iptables • Alterator-net-iptables-manual • Alterator-net-l2tp • Alterator-net-openvpn • Alterator-net-pppoe • Alterator-net-pptp • Alterator-net-routing • Alterator-net-tc • Alterator-net-vlan • Alterator-net-wifi • Alterator-netinst • Alterator-openvpn-server • Alterator-osec • Alterator-pkg • Alterator-ports-access • Alterator-printers • Alterator-quota • Alterator-roles • Alterator-root • Alterator-secsetup • Alterator-selinux-users • Alterator-services • Alterator-snort • Alterator-squid • Alterator-squidmill • Alterator-sshd • Alterator-sslkey • Alterator-sysinfo • Alterator-ulogd • Alterator-update-kernel • Alterator-updates • Alterator-usbguard • Alterator-usbmount • Alterator-users • Alterator-vsftpd • Alterator-x11 • Alterator-xinetd • Alterator-xkb • Alterator-zabbix-agent • Alterator-zram-swap • AlteratorLilo • AlteratorServices • Alterator-bacula/client-backup/archive • Alterator-bacula/client-backup/client • Alterator-bacula/director • Alterator/New/Modules/Postfix Dovecot • Alterator-sysconfig/proxy • Alterator-bacula/client-backup/schedule • Модули Alterator