• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] kontrolliertes Einhängen eines usb-Speicherstiftes

Dada

Newbie
Guten Tag,

auf meinen Rechnern läuft suse 10.2 mit den entsprechenden kde- und gnome-Oberflächen.
Wenn ich einen usb-Speicherstift einstecke, wird er (Standardeinstellung) automatisch allen angemeldeten Benutzern zugänglich gemacht. Dies gefällt mir gar nicht.
1. Gibt es eine Möglichkeit, dieses zentral abzustellen? Ich habe bisher nur eine Möglichkeit im Kontrollpanel des einzelnen Benutzers gefunden.
2. Wenn ich als admin den usb-Stift im Verzeichnis eines einfachen Benutzers einhänge, lauten die Besitzer und Gruppen der Dateien alle "root". Dies gefällt mir ebensowenig. Wie stelle ich es an, dass die Besitzer und Gruppe gleich denen sind, in dessen Verzeichnis das Ganze eingehängt worden ist?
3. Man kann natürlich auch den einzelnen Benutzern das Einbinden erlauben - nur ich finde nicht mehr die Stelle, an der ich dies Einstellen kann ... Haben dann die Dateien auf dem Stift den Namen und Gruppe des Benutzers?
Dank im Voraus,

Dada
 
A

Anonymous

Gast
Also wenn du dir so unsicher darüber bist, in welche Hände die Daten fallen, dann verschlüssel doch den USB-Stick lieber gleich. Dann hat nur derjenige Zugriff, der das Passwort hat. Das ist auch eine ziemlich unaufwendige Methode im Vergleich zu deinen Überlegungen.
 
OP
D

Dada

Newbie
Verschlüsseln bringt mich nicht weiter.
Nehmen wir folgendes Szenario:
An meinem Rechner sind drei Benutzer angemeldet:
- Benutzer Internet
- Benutzer Privat
- Benutzer Bank
Nun gibt mir ein Bekannter einen usb-Speicherstift, auf den er von seinem Rechner beispielsweise Bilder aufgespielt hat. Zudem hat der Bekannte auf seinem Microsoft-Rechner ein paar Linux-Schädlinge (in diesen Minuten vielleicht noch hypothetisch-irreal - aber Morgen?).
1. Wenn ich nun das automatische Einhängen zulasse, wird der Stiftinhalt jedem Benutzer angeboten beziehungsweise ein Schädling hat auf deren Verzeichnisse Zugriff(?).
2. Hänge ich den Stift als admin manuell ein, so hat der Schädling - da Besitzer und Gruppe "root" - systemweiten Zugriff.
Diese beiden Punkte will ich einfach vermeiden. Daher möchte ich gerne, dass jeder Benutzer das manuelle Einhängen selbst vornimmt und die entspechenden Dateien die Attribute dieses Benutzers (Besitzer und Gruppe) führen. Nur ich weiß nicht, wie ich dies machen soll.
Oder habe ich das Rechtekonzept von Linux falsch verstanden?

Dada
 

nbkr

Guru
Dada schrieb:
1. Wenn ich nun das automatische Einhängen zulasse, wird der Stiftinhalt jedem Benutzer angeboten beziehungsweise ein Schädling hat auf deren Verzeichnisse Zugriff(?).

2. Hänge ich den Stift als admin manuell ein, so hat der Schädling - da Besitzer und Gruppe "root" - systemweiten Zugriff.

Das ist falsch. Ein Programm läuft nicht mit den Rechten des Besitzers der Datei, sondern mit den Rechner des Benutzers welcher das Programm gestartet hat. Ausnahme sind Dateien die SUID oder SGID gesetzt sind.


Wenn Du manuell Daten mounten willst kannst Du das über die Konsole tun. Das Automounte kannst Du unter Gnome und KDE abschalten. Bzw. es findet sich vermutlich sogar im Wiki noch eine Anleitung.

Code:
mount -t auto -o uid=benutzer,gid=gruppe,nosuid,noexec /dev/sda1 /mnt

Mit diesem Befehl mountest Du einen USB Stick nach /mnt. Der Besitzer der Dateien wird "benutzer", die Gruppe "gruppe". nosuid verhindert das Datein mit SUID gesetzt werden (wobei das bei einer fat32 Partition, wie sie auf den meisten USB Sticks ist, sowieso nicht setzbar ist). noexec verhindert das Programme die auf dem USB Stick liegen ausgeführt werden.

Probiers mal aus, ich habs jetzt nicht testen können.
 

misiu

Moderator
Teammitglied
Grundsätzlich seit dem die automatische Erkennung mit udev
läuft, wird alles mit den rechten gemountet/angehängt die in den
Skripten /etc/udev/rules.d/ beschrieben wurden.
Beispiel SuSE 10.0:
/etc/udev/rules.d/50-udev.rules
Hat einen Abschnitt für USB-Datenträger:
# libusb device access (mount usbfs or usbdev nodes)
DEVPATH=="/module/usbcore", ACTION=="add", RUN+="/bin/mount -t usbfs usbfs /proc/bus/usb"
SUBSYSTEM="usb_device", PROGRAM="/bin/sh -c 'X=%k X=$${X#usbdev} B=$${X%%%%.*} D=$${X#*.}; echo bus/usb/$$B/$$D'", SYMLINK+="%c", MODE="666"

, wo auch Zugriffsrechte festgelegt werden.

Man kann natürlich die ganze Erkennung-Automatik abschalten, indem
unter SUSE "resmgr" im Runleveleditor abgeschaltet wird, was
aber viele andere Probleme mit sich bringt.

MfG
misiu
 
OP
D

Dada

Newbie
Vielen Dank für die Informationen. Ich werde es mir in den nächsten Tagen näher ansehen und hoffentlich mein System so konfigurieren können, wie ich`s gerne hätte.

Dada
 
Oben