¿Existe una buena manera de permitir que usuarios no root monten unidades USB externas arbitrarias en Linux?

Question 1

Podrías usar udisks2, que permite a los usuarios administrar y montar dispositivos de almacenamiento sin acceso de root.

Configuración

Instale la herramienta:sudo dnf install udisks2 ntfs-3g fuse-exfat
Permitir al usuario administrar:sudo usermod -a -G disk <username>

Los usuarios no root del diskgrupo pueden utilizar la udisksctlherramienta de línea de comandos para administrar y montar unidades externas.

Reemplace <username>con el usuario al que desea permitirle administrar las unidades.

Ejemplos de uso

Montar una unidad:udisksctl mount -b /dev/sdXY
Desmontar una unidad:udisksctl unmount -b /dev/sdXY
Obtener información:udisksctl info -b /dev/sdXY

Answer

Podrías usar udisks2, que permite a los usuarios administrar y montar dispositivos de almacenamiento sin acceso de root.

Configuración

Instale la herramienta:sudo dnf install udisks2 ntfs-3g fuse-exfat
Permitir al usuario administrar:sudo usermod -a -G disk <username>

Los usuarios no root del diskgrupo pueden utilizar la udisksctlherramienta de línea de comandos para administrar y montar unidades externas.

Reemplace <username>con el usuario al que desea permitirle administrar las unidades.

Ejemplos de uso

Montar una unidad:udisksctl mount -b /dev/sdXY
Desmontar una unidad:udisksctl unmount -b /dev/sdXY
Obtener información:udisksctl info -b /dev/sdXY

Question 2

Creo que lo logré. Agregue la siguiente regla polkit a /etc/polkit-1/rules.d/10-allow-usb-mounts.rules:

polkit.addRule(function(action, subject) {
  if (action.id == "org.freedesktop.udisks2.filesystem-mount-other-seat" && subject.isInGroup("groupforthosewhocanmountusbdisks")) {
    var bus = action.lookup("drive.removable.bus");
    if (bus == "usb" || bus == "firewire") {
      polkit.log("polkit rule for mounting USB drives with udisks2")
      polkit.log("Device: " + action.lookup("device"))
      polkit.log("Drive: " + action.lookup("drive"))
      polkit.log("Bus: " + bus)
      polkit.log("Serial: " + action.lookup("drive.serial"))
      polkit.log("Vendor: " + action.lookup("drive.vendor"))
      polkit.log("Model: " + action.lookup("drive.model"))
      return polkit.Result.YES;
    }
  }
});

Para probar, monte el disco, como usuario normal, con:

udisksctl mount -b /dev/sdb

Y verifique la salida con journalctl.

Answer

Creo que lo logré. Agregue la siguiente regla polkit a /etc/polkit-1/rules.d/10-allow-usb-mounts.rules:

polkit.addRule(function(action, subject) {
  if (action.id == "org.freedesktop.udisks2.filesystem-mount-other-seat" && subject.isInGroup("groupforthosewhocanmountusbdisks")) {
    var bus = action.lookup("drive.removable.bus");
    if (bus == "usb" || bus == "firewire") {
      polkit.log("polkit rule for mounting USB drives with udisks2")
      polkit.log("Device: " + action.lookup("device"))
      polkit.log("Drive: " + action.lookup("drive"))
      polkit.log("Bus: " + bus)
      polkit.log("Serial: " + action.lookup("drive.serial"))
      polkit.log("Vendor: " + action.lookup("drive.vendor"))
      polkit.log("Model: " + action.lookup("drive.model"))
      return polkit.Result.YES;
    }
  }
});

Para probar, monte el disco, como usuario normal, con:

udisksctl mount -b /dev/sdb

Y verifique la salida con journalctl.

Question 3

Puede configurarlo sudopara permitir que los usuarios ejecuten algún script especialmente diseñado para montar unidades USB en un punto de montaje fijo que indique solo el dispositivo. Como ejemplo, podrían ejecutar:

sudo mount-usb /dev/sdb

donde el script intentará montar /dev/usb y montarlo, por ejemplo, en /mnt/usb, e informar de ello al usuario. De manera similar, podemos tener un umount-usbscript para desmontar la unidad con:

sudo umount-usb

El script mount-usb podría ser así:

#!/bin/bash
# mount-usb: mount drives in /mnt/usb
[ -z "$1" ] && echo "Use: $0 device" && exit
if ! [[ $1 =~ ^/dev/.*$ ]] ; then
   echo "Use /dev/xxx as device"
   exit
fi
mount -t auto -o uid=$SUDO_UID,gid=$SUDO_UID,ro "$1" /mnt/usb
mount | grep /mnt/usb    #-- show result

Usamos SUDO* vars para obtener la identificación/gid real del usuario que llama y realizar una verificación simple de la especificación del dispositivo con una expresión regular. Lo correspondiente umount-usbserá entonces:

#!/bin/bash
# umount-usb: unmounts the device in /mnt/usb
umount /mnt/usb

La configuración de sudose realiza editando el /etc/sudoersarchivo con el visudocomando (o VISUAL=nano visudousar otro editor en lugar de vi), donde podemos dejar que algunos usuarios o grupos ejecuten ciertos comandos como root sin pedir contraseña. Ejemplo para el usuario john y el grupo usb-mounters:

Defaults       !lecture
Cmnd_Alias     USBMNT = /root/mount-usb ^/dev/.*$, umount-usb ""
john           ALL=NOPASSWD: USBMNT
%usb-mounters  ALL=NOPASSWD: USBMNT

Tenga en cuenta la expresión regular para habilitar solo los argumentos /dev/xx mount-usby la cadena nula para deshabilitarlos umount-usb(como se describe en elmanual de usuario). Podemos omitir la prueba para /dev/xx en el script con esta definición, pero prefiero mantenerla en cualquier caso.

Answer

Puede configurarlo sudopara permitir que los usuarios ejecuten algún script especialmente diseñado para montar unidades USB en un punto de montaje fijo que indique solo el dispositivo. Como ejemplo, podrían ejecutar:

sudo mount-usb /dev/sdb

donde el script intentará montar /dev/usb y montarlo, por ejemplo, en /mnt/usb, e informar de ello al usuario. De manera similar, podemos tener un umount-usbscript para desmontar la unidad con:

sudo umount-usb

El script mount-usb podría ser así:

#!/bin/bash
# mount-usb: mount drives in /mnt/usb
[ -z "$1" ] && echo "Use: $0 device" && exit
if ! [[ $1 =~ ^/dev/.*$ ]] ; then
   echo "Use /dev/xxx as device"
   exit
fi
mount -t auto -o uid=$SUDO_UID,gid=$SUDO_UID,ro "$1" /mnt/usb
mount | grep /mnt/usb    #-- show result

Usamos SUDO* vars para obtener la identificación/gid real del usuario que llama y realizar una verificación simple de la especificación del dispositivo con una expresión regular. Lo correspondiente umount-usbserá entonces:

#!/bin/bash
# umount-usb: unmounts the device in /mnt/usb
umount /mnt/usb

La configuración de sudose realiza editando el /etc/sudoersarchivo con el visudocomando (o VISUAL=nano visudousar otro editor en lugar de vi), donde podemos dejar que algunos usuarios o grupos ejecuten ciertos comandos como root sin pedir contraseña. Ejemplo para el usuario john y el grupo usb-mounters:

Defaults       !lecture
Cmnd_Alias     USBMNT = /root/mount-usb ^/dev/.*$, umount-usb ""
john           ALL=NOPASSWD: USBMNT
%usb-mounters  ALL=NOPASSWD: USBMNT

Tenga en cuenta la expresión regular para habilitar solo los argumentos /dev/xx mount-usby la cadena nula para deshabilitarlos umount-usb(como se describe en elmanual de usuario). Podemos omitir la prueba para /dev/xx en el script con esta definición, pero prefiero mantenerla en cualquier caso.

¿Existe una buena manera de permitir que usuarios no root monten unidades USB externas arbitrarias en Linux?

Respuesta1

Configuración

Ejemplos de uso

Respuesta2

Respuesta3

información relacionada