Alterator-usbmount: различия между версиями
(Новая страница: «{{Stub}} == Название пакета == {{pkgL|alterator-mount}} == Назначение == Модуль '''USBMount''' позволяет ограничить доступ к файловой системе USB-устройства по UID/GID. В модуле также предусмотрена возможность просмотра журнала событий подключения/отключения USB-устройств. == Запу...») |
Нет описания правки |
||
Строка 7: | Строка 7: | ||
Модуль '''USBMount''' позволяет ограничить доступ к файловой системе USB-устройства по UID/GID. В модуле также предусмотрена возможность просмотра журнала событий подключения/отключения USB-устройств. | Модуль '''USBMount''' позволяет ограничить доступ к файловой системе USB-устройства по UID/GID. В модуле также предусмотрена возможность просмотра журнала событий подключения/отключения USB-устройств. | ||
Особенности работы модуля: | |||
* если для устройства не создано правило, то служба не вмешивается в логику монтирования USB-устройства; | |||
* если для устройства создано правило, то служба монтирует блочные устройства на назначенном USB-устройстве в каталог /media/alt-usb-mount/$user_$group; | |||
* служба назначает ACL для указанного пользователя и группы на каталог, в котором будет создана точка монтирования блочного устройства; | |||
* в правилах можно указать только существующего локального пользователя и пользовательскую группу; | |||
* доступ к USB-устройству назначенному пользователю и группе предоставляется полностью (rw); | |||
* любой пользователь может отмонтировать устройство через стандартные средства ОС; | |||
* служба не вмешивается в права самих файловых систем блочных устройств; | |||
* рекомендуемая файловая система для переносных носителей exFAT. | |||
{{Note|Особенности ФС: | |||
* EXT2/3/4, XFS, BTRFS поддерживают права. Доступ к файловой системе будет также определяться назначенными правами самой файловой системы; | |||
* FAT16/FAT32/exFAT не поддерживают права. Доступ будет полностью определяться через точку монтирования назначенную в USBMount; | |||
* ISO9660/UDF поддерживает только readonly. Доступ будет предоставлен только на чтение; | |||
* NTFS поддерживает права. Не рекомендуется использовать. В случае если ранее NTFS носитель был извлечён небезопасно, то носитель будет смонтирован только для чтения.}} | |||
{{Note|В [[MATE]] автоматическое монтирование USB включено по умолчанию. | |||
Для того отключения автоматического монтирования следует создать правило [[udev]] (например, файл {{path|/etc/udev/rules.d/60-usb.rules}}): | |||
<syntaxhighlight lang="ini">SUBSYSTEM=="block",ACTION=="add",ENV{ID_BUS}=="usb",ENV{UDISKS_AUTO}="0"</syntaxhighlight>}} | |||
Пример разграничения доступа: | |||
{| | |||
| | |||
{| class="wikitable" | |||
! Пользователь | |||
! Группа | |||
|- | |||
| A | |||
| AG | |||
|- | |||
| B | |||
| BCG | |||
|- | |||
| C | |||
| BCG | |||
|- | |||
| D | |||
| DG | |||
|- | |||
| … | |||
| … | |||
|} | |||
| | |||
{| class="wikitable" | |||
! rowspan="2"| USB-устройство | |||
! colspan="2"| Назначенные права | |||
! colspan="2"| Результат | |||
|- | |||
! Пользователь | |||
! Группа | |||
! Доступ есть | |||
! Доступа нет | |||
|- | |||
| USB1 | |||
| A | |||
| AG | |||
| A,AG | |||
| У всех остальных | |||
|- | |||
| USB2 | |||
| B | |||
| BCG | |||
| B,C,BCG | |||
| У всех остальных | |||
|- | |||
| USB3 | |||
| A | |||
| BCG | |||
| A,B,C,BCG | |||
| У всех остальных | |||
|- | |||
| USB4 | |||
| - | |||
| - | |||
| У всех | |||
| | |||
|} | |||
|} | |||
== Запуск == | == Запуск == | ||
Строка 33: | Строка 116: | ||
В столбце «Статус» отображается текущее состояние устройства («free» — владелец для устройства не назначен, «owned» — устройству назначен владелец). | В столбце «Статус» отображается текущее состояние устройства («free» — владелец для устройства не назначен, «owned» — устройству назначен владелец). | ||
Если устройству назначен владелец и устройство примонтировано, то текущая точка монтирования отображается в столбце «Точка монтирования». | |||
Кнопка «Обновить список блочных устройств» позволяет обновить список подключённых устройств. | Кнопка «Обновить список блочных устройств» позволяет обновить список подключённых устройств. | ||
Строка 43: | Строка 128: | ||
# Правило будет добавлено в таблицу «Список владельцев»: | # Правило будет добавлено в таблицу «Список владельцев»: | ||
#:[[Файл:Alterator-usbmount-05.png|Правило добавлено в таблицу «Список владельцев»]] | #:[[Файл:Alterator-usbmount-05.png|Правило добавлено в таблицу «Список владельцев»]] | ||
# В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу: | # В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу владельца блочного устройства: | ||
#:[[Файл:Alterator-usbmount-06.png|Указание пользователя и группы для блочного устройства]] | #:[[Файл:Alterator-usbmount-06.png|Указание пользователя и группы для блочного устройства]] | ||
# Нажать кнопку «Сохранить». Статус устройства в таблице «Список устройств» изменится на «owned»: | # Нажать кнопку «Сохранить». Статус устройства в таблице «Список устройств» изменится на «owned»: | ||
#:[[Файл:Alterator-usbmount-07.png|Статус «owned» для устройства в таблице «Список устройств»]] | #:[[Файл:Alterator-usbmount-07.png|Статус «owned» для устройства в таблице «Список устройств»]] | ||
{{Note|При создании правила некорректные значения будут выделены красным цветом, корректные — зелёным: | {{Note|При создании/редактировании правила некорректные значения будут выделены красным цветом, корректные — зелёным: | ||
[[Файл:Alterator-usbmount-13.png|Некорректные и корректные значения]] | [[Файл:Alterator-usbmount-13.png|Некорректные и корректные значения]] | ||
}} | }} | ||
Строка 57: | Строка 142: | ||
# В соответствующих столбцах указать «VID», «PID» и «Серийный номер устройства»: | # В соответствующих столбцах указать «VID», «PID» и «Серийный номер устройства»: | ||
#:[[Файл:Alterator-usbmount-09.png|Параметры устройства ]] | #:[[Файл:Alterator-usbmount-09.png|Параметры устройства ]] | ||
# В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу: | # В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу владельца блочного устройства: | ||
#:[[Файл:Alterator-usbmount-10.png|Указание пользователя и группы для блочного устройства]] | #:[[Файл:Alterator-usbmount-10.png|Указание пользователя и группы для блочного устройства]] | ||
# Нажать кнопку «Сохранить». | # Нажать кнопку «Сохранить». | ||
Редактирование правила: | Редактирование правила: | ||
# Дважды щелкнуть мышью по строке с правилом в таблице «Список владельцев» (или выделить строку в таблице «Список владельцев» и нажать кнопку «Изменить» | # Дважды щелкнуть мышью по строке с правилом в таблице «Список владельцев» (или выделить строку в таблице «Список владельцев» и нажать кнопку «Изменить». | ||
# Внести изменения: | # Внести изменения: | ||
#:[[Файл:Alterator-usbmount-11.png|Редактирование правила]] | #:[[Файл:Alterator-usbmount-11.png|Редактирование правила]] |
Версия от 13:33, 23 мая 2024
Название пакета
Назначение
Модуль USBMount позволяет ограничить доступ к файловой системе USB-устройства по UID/GID. В модуле также предусмотрена возможность просмотра журнала событий подключения/отключения USB-устройств.
Особенности работы модуля:
- если для устройства не создано правило, то служба не вмешивается в логику монтирования USB-устройства;
- если для устройства создано правило, то служба монтирует блочные устройства на назначенном USB-устройстве в каталог /media/alt-usb-mount/$user_$group;
- служба назначает ACL для указанного пользователя и группы на каталог, в котором будет создана точка монтирования блочного устройства;
- в правилах можно указать только существующего локального пользователя и пользовательскую группу;
- доступ к USB-устройству назначенному пользователю и группе предоставляется полностью (rw);
- любой пользователь может отмонтировать устройство через стандартные средства ОС;
- служба не вмешивается в права самих файловых систем блочных устройств;
- рекомендуемая файловая система для переносных носителей exFAT.
- EXT2/3/4, XFS, BTRFS поддерживают права. Доступ к файловой системе будет также определяться назначенными правами самой файловой системы;
- FAT16/FAT32/exFAT не поддерживают права. Доступ будет полностью определяться через точку монтирования назначенную в USBMount;
- ISO9660/UDF поддерживает только readonly. Доступ будет предоставлен только на чтение;
- NTFS поддерживает права. Не рекомендуется использовать. В случае если ранее NTFS носитель был извлечён небезопасно, то носитель будет смонтирован только для чтения.
Для того отключения автоматического монтирования следует создать правило udev (например, файл /etc/udev/rules.d/60-usb.rules):
SUBSYSTEM=="block",ACTION=="add",ENV{ID_BUS}=="usb",ENV{UDISKS_AUTO}="0"
Пример разграничения доступа:
|
|
Запуск
Модуль USBMount доступен в веб-интерфейсе по адресу https://ip-address:8080 (раздел Система ▷ USBMount):
Использование модуля
Запуск/останов службы
В модуле отображается текущее состояние службы USBMount (altusbd):
Для включения контроля за устройствами необходимо передвинуть переключатель «Служба USBMount остановлена» и нажать кнопку «Сохранить». Служба USBMount будет запущена и добавлена в автозагрузку:
Список устройств
Если служба USBMount запущена, в веб-интерфейсе будет отображён список текущих подключённых устройств:
В столбце «Статус» отображается текущее состояние устройства («free» — владелец для устройства не назначен, «owned» — устройству назначен владелец).
Если устройству назначен владелец и устройство примонтировано, то текущая точка монтирования отображается в столбце «Точка монтирования».
Кнопка «Обновить список блочных устройств» позволяет обновить список подключённых устройств.
Добавление/удаление правил
Назначение прав для подключенного блочного устройства:
- Выделить строку с нужным устройством в таблице «Список устройств» и нажать кнопку «Назначить владельца» (или дважды щелкнуть мышью по строке с устройством):
- Правило будет добавлено в таблицу «Список владельцев»:
- В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу владельца блочного устройства:
- Нажать кнопку «Сохранить». Статус устройства в таблице «Список устройств» изменится на «owned»:
Назначение прав для произвольного блочного устройства:
- Нажать кнопку «Добавить», расположенную под таблицей «Список владельцев». В таблицу будет добавлена пустая строка:
- В соответствующих столбцах указать «VID», «PID» и «Серийный номер устройства»:
- В столбце «Пользователь» выбрать пользователя, в столбце «Группа» — группу владельца блочного устройства:
- Нажать кнопку «Сохранить».
Редактирование правила:
- Дважды щелкнуть мышью по строке с правилом в таблице «Список владельцев» (или выделить строку в таблице «Список владельцев» и нажать кнопку «Изменить».
- Внести изменения:
- Нажать кнопку «Сохранить».
Удаление правила:
- Выделить строку(и) с правилом в таблице «Список владельцев».
- Нажать кнопку «Удалить»:
- Нажать кнопку «Сохранить».
Просмотр журнала аудита
Для просмотра журнала событий подключения/отключения USB-устройств необходимо нажать кнопку «Журнал», расположенную в левом нижнем углу модуля.
По нажатию на эту кнопку раскрывается журнал аудита:
Передвигаться по журналу к более старым или более новым записям можно с помощью кнопок «Назад» и «Вперёд».
Есть возможность фильтровать данные с помощью специального поля.
Для того чтобы скрыть панель журнала, необходимо нажать кнопку «Свернуть».