Configure permissões de mídia removível (unidade USB) para um grupo específico

3

O cenário é: minha empresa está tentando impedir que usuários gravem em pen drives como medida de segurança de dados. Mas há um problema. Usuários que pertencem a um grupo específico (digamos "usbwriters") devem ser capazes de gravar dados em mídia USB removível.

É importante que a experiência do usuário dos ambientes de desktop modernos não seja afetada, portanto, o processo deve ser transparente para o usuário. Quando ele conecta o drive, ele deve automontar, mostrar as notificações padrão (como no gnome, por exemplo), etc.

O que eu fiz até agora: Eu mudei o udev / rules.d / e adicionei o seguinte:

SUBSYSTEM=="block",ACTION=="add",ATTRS{removable},OWNER="root",GROUP="usbwriters",MODE="0464",RUN{program}="/sbin/blockdev --setro %N"

Ótimo. Eu acho que é metade do caminho. Agora, qualquer usuário que conecte um drive USB irá montá-lo como somente leitura. O problema é que eu preciso que os usuários do grupo "usbwrites" possam montá-lo como gravável (leitura / gravação).

Eu tentei configurar e a regra UDEV que executaria os udisks passando o --options group = usbwriters (ou gid = XXXX), mas recebo um erro: "GDBus.Error: org.freedesktop.UDisks2.Error.OptionNotPermitted".

Então concluí que não devo fazer isso, deve haver uma maneira melhor.

Vocês poderiam me ajudar? Não deveria ser simples?

    
por Alaor 10.11.2017 / 18:59

1 resposta

2

A primeira coisa que vem à mente: Todos os dispositivos de bloco USB obtêm owner = root, group = usbwriters, mode = 660. Isso impede que os usuários que não estão nesse grupo gravem blocos diretamente.

Em seguida, descubra um esquema que permita ao usuário deste grupo montar o sistema de arquivos no dispositivo USB, não importando se é FAT ou qualquer outra coisa. Por exemplo, usando usbmount com pontos de montagem em um diretório com as permissões apropriadas ou o que você estiver usando para montar automaticamente os pen drives USB.

    
por 10.11.2017 / 19:29