монтирование USB-устройств

FrostSrg

New member
Сообщения
12
#1
Подскажите, пожалуйста, что я делаю не так:
Прописываю USB устройство, назначаю пользователю/группе права только для чтения
Успешно формируется правило udev - в нем все правильно - дискретка 440
Захожу пользователем, подключаю USB
успешно монтируется, читается и ....
пользователь имеет возможность записывать и редактировать информацию!
Т.е. по факту права 660 (как минимум)
 

TopRaN

New member
Сообщения
14
#2
adduser и usermod - это две разные утилиты, которые имеют общий факт, что оба могут добавить пользователя в группу.
Согласно man adduser
adduser является более дружественным передним концом инструментам низкого уровня, таким как программы useradd, groupadd и usermod.
Дополнительная информация:
man adduser: adduser, addgroup - добавить пользователя или группу к системному человеку usermod: usermod - изменить учетную запись пользователя
 

FrostSrg

New member
Сообщения
12
#3
adduser и usermod - это две разные утилиты, которые имеют общий факт, что оба могут добавить пользователя в группу.
Согласно man adduser
adduser является более дружественным передним концом инструментам низкого уровня, таким как программы useradd, groupadd и usermod.
Дополнительная информация:
man adduser: adduser, addgroup - добавить пользователя или группу к системному человеку usermod: usermod - изменить учетную запись пользователя
Это вы о чем?
 

Montfer

New member
Сообщения
1 108
#6
я сталкивался на 1.5, когда флешку подключаешь под уровнем 1, потом выходишь, другую подключаешь под уровнем 0, но ошибка, т. к. символьная ссылка в dev/ всё еще имеет уровень 1. лечилось перезагрузкой или удалением этой ссылки
по вашей ситуации: попробую повторить ошибку, но у меня только виртуальные машины для тестирования, хз, как там флешки себя поведут
 

FrostSrg

New member
Сообщения
12
#7
я сталкивался на 1.5, когда флешку подключаешь под уровнем 1, потом выходишь, другую подключаешь под уровнем 0, но ошибка, т. к. символьная ссылка в dev/ всё еще имеет уровень 1. лечилось перезагрузкой или удалением этой ссылки
по вашей ситуации: попробую повторить ошибку, но у меня только виртуальные машины для тестирования, хз, как там флешки себя поведут
Вопрос не по мандатке - с ней как раз все нормально
Проблема с дискреткой - даже каталог, куда флэшка монтируется (/run/user/UID/media/UsbID ) получает неправильные дискреционные атрибуты
В виртуалках у меня такая же ситуация.
 

Montfer

New member
Сообщения
1 108
#8
да та же фигня, попробовал на флешке с ntfs. с fat32 и ext не стал - лень форматировать
 

oko

New member
Сообщения
643
#9
to all
Поигрался с правилами udev, оснасткой fly-admin-smc и правилами /etc/fstab.pdac...
Сдается мне, что ALSE 1.6 (в ALSE 1.5, если память не изменяет, все было иначе) не полностью реализует механизмы СКН (контроль использования машинных носителей информации). Вероятно, намеренно. Теперь понятно, откуда растут ноги презентаций Кода Безопасности о необходимости использования SNLSP в ALSE (что, imho, дичь)...
Короче, дискреционка не отрабатывает по причине того, что монтированием МНИ в /run занимается fly-dm. И он либо монтирует под нужного пользователя с полными правами, либо нет. Определяется этот момент строкой /dev/sd* в /etc/fstab.pdac (разрешить монтирование любых блочных устройств для любых юзеров), наличием пользователя в группе floppy (группа, обладающая правами монтирования блочных устройств по умолчанию) и наличием правила для конкретного МНИ и конкретного пользователя (вне зависимости от прав "чтение", "запись", "выполнение") в перечне "Устройства и правила" раздела "Политики безопасности" (те самые правила udev). Можно, конечно, правила udev модифицировать для каждого пользователя вручную каждый раз, но это как-то, мягко говоря, тупо...
Что Руководство КСЗ, что wiki.astralinux.ru много говорят о мандатных метках и переходе на ФС ext3/ext4, а вот про дискреционку единственная запись мимолетом - дескать, дискреционка тоже определяется правилами разграничения доступа. Выходит, не определяется, ага...
Ну, либо я дурак и не заметил очевидного...