nixp.ru v3.0

20 октября 2017,
пятница,
06:29:06 MSK

DevOps с компанией «Флант»
Genie написал 29 ноября 2004 года в 17:20 (350 просмотров) Ведет себя как мужчина; открыл 40 тем в форуме, оставил 4758 комментариев на сайте.

Что-то пусто тут..

Сидел вот как-то и думал… А в голове вертелось:

-- Хочу писать на флешку я! -

Сказал админу юзер.

-- Ну хорошо, я дам права. -

И запустил консоль он.

-- Добавлю в группу flash_rw,

На sda* дам запись.

Копировать — mtools зови,

Не стоит mount делать.

-- Вот хорошо, вот и спасибо! -

Админу юзер восклицал.

А в голове своей коварной

Он хитрый план нарисовал:

«Когда админ наш вставит флешку

hotplug её ему найдёт.

/proc/scsi/scsi враз изменит,

О флешке запись занесёт.

А я в скрипте своём несложном

То измененье отслежу.

Так все админские пароли

Я с этой флешки украду…»

Собственно, вопрос проще некуда: как быть?

Ну, формулировака-то простая, а вот с решением — не складывается как-то.

Идея 1-ая: разграничивать по серийному номеру на разные sdX, соответственно, и разные права доступа.

Минус — при количестве разных пользователей больше числа sdX — тупик.

Идея 2-ая: сделать что-то скрипта триггера: запустил перед вставкой флешки скрипт, а он для этого пользователя hotplug-у инструкции на, скажем, минуту, ожидание дал.

Может несколько несуразно выразился… В общем, резервирование перед подключением. А дальше и права соответственно, если за указанный период вставлена флешка.

Минусов вроде не видно, но и тут можно напакостить.

Только непонятно, как это дело оформлять.

Вот, пока на этом все идеи.

Uncle Theodore

У меня так вообще прок/скази/скази отсуйствует. А что туда пишется, пароль? Это было бы интересно…

Good Luck,

UT

Genie

при включенной (вставленной) флешке:

$ cat /proc/scsi/scsi
Attached devices:
Host: scsi1 Channel: 00 Id: 00 Lun: 00
  Vendor: 256MB    Model: USB2.0FlashDrive Rev: 2.00
  Type:   Direct-Access                    ANSI SCSI revision: 02
Uncle Theodore

А, понял, в чем прикол… А почему не монтировать флешку как белым людЯм-то? И все путем будет, нет? Я монтирую…

Good Luck,

UT

Genie

нет, к сожалению, не понял….

итак, что мы имеем:

комп, за которым могут сидеть несколько пользователей.

расшаренную им для работы флешку. делать они с ней могут что хотят..

проблема: пользователь, любой, может оставить при логоффе работающий скрипт.

в котором можно отслеживать появление другой флешки. и копирование оной на винт. как только она воткнута. отследить это можно только постфактум. и это хорошо, если только просто копировать.. а то ведь и стереть можно..

задача: от этого защититься. при этом не потеряв возможность неограниченной работы пользователей с собственной флешкой.

решение: немного подтолкнули в fido на тему pam_console. вот только у меня его нету.. ;( надо обновлять, а я этого не очень-то люблю :)

но, тем не менее, вопросы возникают и в этом случае: к примеру, воткнули две флешки…. :) или логин кто-то, vlock, подходит к кто-то другой и переключается, логинится на другой консоли. отлогинивается. приходит первый. переключается на консоль свою — и не может получить доступ до флешки.

ладно, с этим можно разобраться, если запретить чистую консоль, оставив только иксы. но в этом случае — pam_console ведёт себя не очень-то радостно….

разве что прописать где в стартовых скриптах настройку прав определённых устройств при логине в xdm…. что, в принципе, решит часть проблемы, но не более того. всё же думать надо.

Uncle Theodore

Вопрос ребром: Почему не монтировать флешку, зачем нужны mtools?

Good Luck,

UT

Genie
Вопрос ребром: Почему не монтировать флешку, зачем нужны mtools?


а это, собственно, без разницы.

mtools как один из вариантов работы с флешкой.

монтирование, которое с -o…,user в этом плане не даст никаких защит от этого.

кроме того: «делать они с ней могут что хотят..». означает, что доступ до устройства и разделов — полный. группе.

это как с дискетой.

Uncle Theodore

Чей-то я не врубаюсь… Кажись, ты гонишь, мэн… :-)

$cat /etc/fstab

/dev/sda1 /mnt/floppy auto noauto,user,owner,umask=077 0 0

$mount /mnt/floppy

$ls -l /mnt

drwx—— 2 ut root 16384 1969-12-31 19:00 floppy

$su vasja

Password:

vasja@14:41:23/home/ut$ ls /mnt/floppy

ls: /mnt/floppy: Permission denied

У меня флешка флоппей называется, потому как настоящей флоппи нет.

Good Luck,

UT

Genie
Чей-то я не врубаюсь… Кажись, ты гонишь, мэн… :-)


вот и именно, что ты не до конца понимаешь суть проблемы, так как тебе стОит поразмышлять над:

монтирование, которое с -o…,user в этом плане не даст никаких защит от этого.


и

hotplug её ему найдёт.

/proc/scsi/scsi враз изменит,

О флешке запись занесёт.

примонтируется флешка в скрипте — и хрен юзер vasya её прочитает, пока с ней скрипт чего не сделает…

Uncle Theodore

Блин, так ты бы выражался как нормальные люди, а не как сушеный Пушкин… :-)

Кажется, понял тебя я, страдалец в сосуде сидящий!

Хочешь сказать ты, что флешка воткнутая рутом

Будет монтирована безответственным скриптом

Юзера Васи злодея, смеющегося в уголочке.

И насладившись запретной инфою админа,

Скрипт размонтирует флешку обратно, конечно,

Чтобы админ не успел заподозрить подвоха

И накопировал свежих паролей на флешку!

С ужасом ныне взираю на мир я прозреньем подавлен.

Чем прогневили богов мы и мудрых пророков?!

Видно придется теперь шифровать все на свете,

В частности файлы на флешке и на дискете!

Good Luck,

UT

Или вот еще:

Мысль

Проклюнулась,

Заголосила,

Паскуда:

А что б тебе, милый

Не посмотреть

На вывод команды ps -aux

Прежде чем флешку

В дырку совать?

Да не сравнить ее

Падлу корявую

Со списком пользователей

На машине

Полученным

Командою who

Например?

А?

Genie

ага, типа того ;)

на самом деле, шифрование спасает, да.

но ведь ситуация не только и не столько «админ, плохой юзер», сколько «юзер, юзер, плохой юзер». и тут уже именно задача админа — настроить разделение и недопущение плохих действий. так ведь?

не увидеть и такого понимания — это надо умудриться ;)

что бы я ни говорил сам своими словами, поскольку я могу говорить только часть, неоюходимую для решения проблем подобного рода, а не только этой.

кстати, мысль такая возникла при рассмотрении вопроса реализации совершенно иной задачи, напрямую с доступом ко флешке никак не связанную.

ладно, вариант решения в голове нарисовался. несколько позже попробую.