Создание правила udev, работающего через параметр Authorized
Создание правила логирования через udev-правила
Создание политики polkit
Утилита usb_rules основана на работе с правилами udev или политик polkit. Установить ее можно на РЕД ОС 7.3 командой:
dnf install usb_rules
Рассмотрим основной функционал данной утилиты.
Создание правила udev, работающего через параметр Authorized
Внешний вид утилиты представлен следующим образом:
- Кнопка полного запрета монтирования usb-flash накопителей формирует правило по пути /etc/udev/rules.d/80-usb_disallow_authorized.rules и обновляет текущий список активных правил udev.
- Кнопка добавления атрибутов формирует разрешающее условие, по которому usb-flash накопители попадают в белый список. Список выбранного параметра устройства можно посмотреть через кнопку «Показать атрибут».
- Кнопка по работе с назначением персональных разрешений по именам пользователей или групп.
При нажатии на список пользователей берется список пользователей системы, которые были авторизованы в графике из /var/lib/AccountsService/users:
Далее пользователь может выбрать список групп, которым требуется назначить права:
И, соответственно, назначить права для остальных пользователей.
- Кнопка просмотра выбранного атрибута — сделает вывод активного атрибута устройства, который пользователь введет в окно. Примером может служить /sys/block/sdb — или какой-либо другой раздел.
Пример ручного просмотра доступного атрибута представлен в команде:udevadm info -a -p /sys/block/БЛОК| grep 'ATTR'| grep 'НУЖНЫЙ_АТРИБУТ'
Создание правила логирования через udev-правила
Внешний вид представлен следующим образом:
Пользователь может указать, какие именно параметры требуется логировать при подключении и отключении устройства.
Правило создается по пути /etc/udev/rules.d/98-usb_logs.rules. Просмотр логов доступен по пути /var/log/usblog.txt.
При создании или удалении правила список активных udev-правил автоматически обновляется.
Создание политики polkit
Внешний вид представлен следующим образом:
- Специфика работы polkit-политики строится на работе с usb-flash накопителем уже после подключения устройства. Пользователю требуется сначала активировать логирование событий, для того чтобы иметь возможность просмотра активных атрибутов устройства. Атрибуты появляются именно после активации логирования и подключения устройства.
- Полный запрет монтирования usb-flash накопителей работает идентично udev-правилу.
- Пользователь может выбрать атрибуты, которые доступны из вывода логирования. Ключевое отличие от udev — здесь нет необходимости указывать раздел, у которого требуется выбрать атрибуты. Сбор логов осуществляется из вывода статуса сервиса polkit:
systemctl status polkit -l | grep 'org.freedesktop.udisks2.filesystem-mount' | tail -1"
- При нажатии на вывод доступных атрибутов пользователь, соответственно, увидит вывод статуса сервиса Polkit.
- При создании или удалении политики утилита автоматически обновляет список активных политик.
