Здравствуйте дорогие подписчики и гости канала. Сейчас я расскажу об очередном косяке связанному с монтированием USB накопителей.
Многие сталкивались с такой проблемой, что при монтировании даже флешки нельзя разграничить права на запись или только чтение. При использовании секрет нет у Вас будет всего 2 варианта:
- Разрешить всё.
- Запрет на всё.
Такая же ситуация в разграничении в самой ОС, но решение есть (данного решения нет ни в одной инструкции). Для того чтобы разграничить доступ и назначить права нужно использовать как средства ОС так и конфигурационные файлы.
Настройка прав на usb накопители средствами ОС.
Главное что что стоит сделать это выполнить в настройках безопасности:
1 запретить монтирование непривелегированным пользователям;
2 исключить из политики создания пользователей группы: floppy и cdrom;
3 настроить правила для определённого устройства;
4 создать отдельную группу либо ручками добавить пользователя в группу floppy
( делается в файле etc/group, ВНИМАНИЕ ПОЛЬЗОВАТЕЛЕЙ ДОБАВЛЯЕМ МАЛЕНЬКИМИ ЛАТИНСКИМИ БУКВАМИ СОБЛЮДАЯ СИНТАКСИС). Естественно если вы создали свою группу то её же и прописываем в правилах на то или иное устройство.
В данной настройке локальным пользователям можно настроить так, как вы хотите, но для доменных разграничение только на чтение, не работает.
Для того чтобы данная функция заработала в Astra Linux SE есть конфигурационный файл "fstab.pdac". В Debian данного файла нет. Там описывается правило монтирования внешних накопителей и различными видами файловых систем (в данном случае нас интересуют только ntfs и fat). Для монтирования только для чтения нужно указать в свойствах монтирования параметр "ro", после чего пользователи, как локальные так и доменные, смогут монтировать накопители с параметром: "Только для чтения".
Есть и конечно минусы данного способа решения:
- Если у пользователя два накопителя с разными правами, то их придется разграничивать разными файловыми системами.
- Если на данном ПК работают много пользователей, то придётся переформатировать все разрешённые накопители согласно правилам доступа.
Подобная ситуация у меня сложилась при настройки ПК с двойной загрузкой. В инструкции от предприятия было сказано что при использовании Windows нельзя что-бы попали файлы сделанные под Астрой, но в Астре можно было их просматривать и редактировать. Для решения данной ситуации пришлось монтировать общий диск D (со всеми данными пользователя ), в режиме "только для чтения". Принцип тот-же, но настройка идёт в файле "etc/fstab", но при указании точки монтирования и устройства ( устройство определяется по UUID или его расположению, например "dev/sda". Данные параметры можно узнать простой командой: "Sudo fdisk -l"). Точку монтирования я создаю сам в папке "mnt" и добавляю ярлык на рабочий стол пользователя. Как я это делаю, будет расписано в следующих статьях.
Подписывайтесь на канал, советуйте друзьям, пишите ваши вопросы и предложения в комментариях. Заранее спасибо.
