On 26/12/2016 18:08, jerome wrote: > Le lundi 26 décembre 2016 à 18:01 +0100, Gian Luca Dequecker a écrit : >> Pour des raisons de sécurité, je voudrais bloquer l’utilisation des >> périphériques connectés sur les ports USB (écriture sur le disque >> dur, ssd, >> pendrive), mais laisser la possibilité de connecter un appareil photo >> numérique (décharger les photos). Pouvez-vous m'indiquer comment >> procéder? >> Merci pour votre aide. > > Bloquer je sais, bloquer sans bloquer... peut être simplement en > utilisant des règles UDEV, mais il y aura quand même un accès sur le
Je complète la proposition de jerome en confirmant que UDEV peut
permettre de filtrer les périphériques USB. UDEV repose sur des règles
qui sont définies dans le répertoire de configuration de UDEV.
Sur la debian que j'utilise pour écrire ce message :
$ ls -l /etc/udev/rules.d/
total 20
-rw-r--r-- 1 root root 1468 sept. 2 2014 56-hpmud.rules
-rw-r--r-- 1 root root 755 août 25 20:15 60-vboxdrv.rules
-rw-r--r-- 1 root root 788 janv. 9 2013 70-persistent-cd.rules
-rw-r--r-- 1 root root 832 déc. 17 2015 70-persistent-net.rules
-rw-r--r-- 1 root root 223 juil. 31 19:01 70-persistent-usb.rules
Les règles concernant les périphérique USB sont dans le fichier
"70-persistent-usb.rules".
Voici un exemple de règle :
SUBSYSTEMS=="usb", KERNEL=="sd*", ACTION=="add",
RUN+="/usr/local/bin/add.sh '%E{DEVNAME}' '%E{ID_FS_UUID}'"
Pour procéder à un filtrage, il est possible de définir un script qui
sera appelé lors qu'un périphérique USB sera inséré. Ce script ce
chargera de l'action à réaliser lors de l'insertion : montage ou rejet
d'un périphérique.
Dans la continuité de l'exemple précédant la règle est en écoute des
événements "usb" (SUBSYSTEMS=="usb") qui créera un "device" nommé "sd*"
(* sera remplacé par la dernière lettre disponible) dans le répertoire
/dev (KERNEL=="sd*"), l'interception d'une action d'ajout de
périphérique (ACTION=="add") exécutera le script "/usr/local/bin/add.sh"
avec comme paramètres le nom du périphérique inséré (%E{DEVNAME}) et et
sont UUID (%E{ID_FS_UUID}) (RUN+="/usr/local/bin/add.usb '%E{DEVNAME}'
'%E{ID_FS_UUID}'").
A partir de la, tu peux facilement imaginé un script qui parcours une
liste de périphérique représentant les périphériques USB autorisé afin
compare le périphérique inséré au périphérique USB autorisé (ton
appareil photo).
Certes cette solution nécessite un peu d'assurance en programmation de
script, mais elle n'est pas irréalisable.
Voici la documentation officielle pour plus d'informations :
https://www.freedesktop.org/software/systemd/man/udev.html
> périphérique au moment de l'identification.
>
Affectivement les périphérique présent lors de la phase de démarrage
semble être montés automatiquement malgré la règle UDEV. Peut-être que
la désactivation du support USB lors de la phase de peut être une solution.
Cordialement,
Florian
0x346BBA8F.asc
Description: application/pgp-keys
signature.asc
Description: OpenPGP digital signature
