Início / unix / Perguntas / 766408
Accepted
John Smith
Asked: 2024-01-08 15:55:14 +0800 CST

Como faço para colocar unidades/partições na lista de permissões que podem ser montadas apenas naquelas que possuem entradas em/etc/fstab?

  • 772

No meu sistema Ubuntu, notei que alguns gerenciadores de arquivos, quando abertos, podem montar qualquer unidade que esteja conectada através de uma das minhas portas USB (como não-root). Na tentativa de evitar que isso acontecesse configurei /etc/fstabassim:

# <file system> <mount point>   <type>  <options>       <dump>  <pass>
/dev/mapper/vgubuntu-root /               ext4    errors=remount-ro 0       1
# /boot was on /dev/nvme0n1p3 during installation
UUID=485794d0-6773-4136-9df9-c8f97fc3c3bc /boot           ext4    defaults        0       2
# /boot/efi was on /dev/nvme0n1p2 during installation
UUID=5E62-20EC  /boot/efi       vfat    umask=0077      0       1
/dev/mapper/vgubuntu-swap_1 none            swap    sw              0       0
#/media/j/sandisk-32GB is my primary USB drive for backups
PARTUUID=d199a40a-b5cc-724b-b70b-1b90e4274ea9 /media/user_xyz/sandisk-32GB ext4 defaults,nofail 0 3

1. Como evito a montagem automática ou a montagem por outros rootusuários das unidades/partições que não estão especificadas em meu arquivo /etc/fstab?

2. É possível ir ainda mais longe e restringir roota montagem de unidades que não estejam na lista de permissões? Por exemplo, roottenta fazer mount PARTUUID=this-partition-is-not-whitelisted /media/user_xyz/not-whitelistede falha, a menos que alterem a configuração que estou tentando configurar.

PS O particular PARTUUIDé usado apenas para transmitir a ideia de onde quero chegar - estou ciente de que não está no formato adequado e que rootfalharia na montagem por causa disso. Estou no Ubuntu 22.04 LTS.

filesystems

2 respostas

  1. A montagem/montagem automática por gerenciadores de arquivos é de fato feita via udisks, porém, tudo passa por um mecanismo de autorização chamado polkitque define ações e regras (quem pode fazer o quê...). É possível substituir as configurações padrão por meio de arquivos de configuração chamados rules.
    Neste caso particular a ação é chamada

    org.freedesktop.udisks2.filesystem-mount

    e você pode inspecionar as configurações padrão para esta ação via

    pkaction --verbose --action-id org.freedesktop.udisks2.filesystem-mount

    que retorna algo assim:

    org.freedesktop.udisks2.filesystem-mount:
  description:       Mount a filesystem
  message:           Authentication is required to mount the filesystem
  vendor:            The Udisks Project
  vendor_url:        https://github.com/storaged-project/udisks
  icon:              drive-removable-media
  implicit any:      auth_admin
  implicit inactive: auth_admin
  implicit active:   yes

    Como você pode ver na última linha, a permissão implícita para o activeusuário montar um sistema de arquivos está definida como yes. Você pode substituir isso escrevendo uma nova regra. Isso não terá nenhum efeito sobre os itens listados no seu arquivo /etc/fstab. Crie um arquivo

    /etc/polkit-1/rules.d/90-disable-automount.rules

    com o seguinte conteúdo:

    polkit.addRule(function(action, subject) {
               if (action.id == "org.freedesktop.udisks2.filesystem-mount" ) {
                   return polkit.Result.AUTH_ADMIN;
               }
           });

    Ao reiniciar o sistema, nenhum usuário poderá montar/montar automaticamente unidades, a menos que tenha direitos de administrador: será solicitada a senha de administrador. Se você quiser desabilitar esse prompt também, substitua AUTH_ADMIN por NO.

    • 6
  2. Best Answer

    A solução para a pergunta 1) é encontrada aqui: https://askubuntu.com/questions/1062719/how-do-i-disable-the-auto-mounting-of-internal-drives-in-ubuntu-or-kubuntu- 18-04

    Basicamente, desligue o udisks2.

    systemctl stop udisks2.service

    e então teste e faça isso permanentemente:

    systemctl mask udisks2

    Isso impedirá que usuários "normais" montem unidades automaticamente... Você também deve certificar-se de que eles não estejam no grupo adm ou sudo, pois assim eles ainda poderão montar unidades.

    Como Marcus Müller observou nos comentários, a solução para 2) não seria trivial, eu acho. Não consigo pensar em uma boa resposta imediatamente (por exemplo, se sou root, como evito montar qualquer unidade?). root tem que ser capaz de montar unidades, é como o kernel inicializa e carrega discos RAM e coisas assim.

    • 3

relate perguntas