使用 udev 的 USB 閃存白名單

Question 1

您沒有說您是否安裝了其他自動安裝所有驅動器的軟體。我下面的解決方案假設您不這樣做。如果您這樣做，那麼您的問題就不同了：您應該指定它是什麼，以便有人可以建議如何卸載它或控制它。

以下是僅安裝允許的磁碟機的 udev 規則範例（未經測試，但基於我使用的類似規則）：

#-- Skip if not an appropriate "sd" device
KERNEL!="sd[b-z]*", GOTO="99_exit"
SUBSYSTEM!="block", GOTO="99_exit"

#-- Handle 'remove' and 'change' events
SUBSYSTEMS=="usb", ACTION=="remove", RUN+="/usr/bin/pumount /dev/%k", GOTO="99_exit"
ACTION=="remove|change", GOTO="99_exit"

#-- Create useful environment variables
SUBSYSTEMS=="usb", ENV{ID_SERIAL}!="?*", IMPORT{builtin}="usb_id"
SUBSYSTEMS=="usb", ENV{ID_FS_LABEL}!="?*", IMPORT{program}="/sbin/blkid -o udev -p %N"

#-- Skip if this is not a filesystem (e.g. if this is the whole drive, not a formatted partition)
ENV{ID_FS_USAGE}!="filesystem", GOTO="99_exit"

#-- Mount only allowed drives:
SUBSYSTEMS=="usb", ACTION=="add", ENV{ID_FS_LABEL}=="something_allowed", RUN+="/usr/bin/sudo -u someuser /usr/bin/pmount -t vfat /dev/%k /media/some_name"
SUBSYSTEMS=="usb", ACTION=="add", ENV{ID_FS_LABEL}=="other_allowed", RUN+="/usr/bin/sudo -u someuser /usr/bin/pmount -t vfat /dev/%k /media/other_name"

#-- Exit
LABEL="99_exit"

當然，您使用的安裝命令取決於您的偏好。我展示的只是一個例子。

更新：我從你的評論中了解到，你確實安裝了一些可以自動安裝的東西。在我的系統（Debian Wheezy）上，我沒有。我嘗試了你建議的 grep 並得到了不同的結果。在中/lib/udev/rules.d/80-udisks.rules，我找到了這段程式碼：

# Mark devices that shouldn't be automounted / autoassembled etc.
#
# Deny all, then punch holes for what looks like physical drives
# (TODO: this heuristic might need some work)
#

ENV{UDISKS_PRESENTATION_NOPOLICY}="1"
KERNEL=="sd*|hd*|sr*|mmcblk*|mspblk*", ENV{DISKS_PRESENTATION_NOPOLICY}="0"

這表明，如果我安裝了自動掛載軟體，它可以由 UDISKS_PRESENTATION_NOPOLICY 環境變數控制。您尚未指定您的發行版，但它顯然有所不同。

Answer

您沒有說您是否安裝了其他自動安裝所有驅動器的軟體。我下面的解決方案假設您不這樣做。如果您這樣做，那麼您的問題就不同了：您應該指定它是什麼，以便有人可以建議如何卸載它或控制它。

以下是僅安裝允許的磁碟機的 udev 規則範例（未經測試，但基於我使用的類似規則）：

#-- Skip if not an appropriate "sd" device
KERNEL!="sd[b-z]*", GOTO="99_exit"
SUBSYSTEM!="block", GOTO="99_exit"

#-- Handle 'remove' and 'change' events
SUBSYSTEMS=="usb", ACTION=="remove", RUN+="/usr/bin/pumount /dev/%k", GOTO="99_exit"
ACTION=="remove|change", GOTO="99_exit"

#-- Create useful environment variables
SUBSYSTEMS=="usb", ENV{ID_SERIAL}!="?*", IMPORT{builtin}="usb_id"
SUBSYSTEMS=="usb", ENV{ID_FS_LABEL}!="?*", IMPORT{program}="/sbin/blkid -o udev -p %N"

#-- Skip if this is not a filesystem (e.g. if this is the whole drive, not a formatted partition)
ENV{ID_FS_USAGE}!="filesystem", GOTO="99_exit"

#-- Mount only allowed drives:
SUBSYSTEMS=="usb", ACTION=="add", ENV{ID_FS_LABEL}=="something_allowed", RUN+="/usr/bin/sudo -u someuser /usr/bin/pmount -t vfat /dev/%k /media/some_name"
SUBSYSTEMS=="usb", ACTION=="add", ENV{ID_FS_LABEL}=="other_allowed", RUN+="/usr/bin/sudo -u someuser /usr/bin/pmount -t vfat /dev/%k /media/other_name"

#-- Exit
LABEL="99_exit"

當然，您使用的安裝命令取決於您的偏好。我展示的只是一個例子。

更新：我從你的評論中了解到，你確實安裝了一些可以自動安裝的東西。在我的系統（Debian Wheezy）上，我沒有。我嘗試了你建議的 grep 並得到了不同的結果。在中/lib/udev/rules.d/80-udisks.rules，我找到了這段程式碼：

# Mark devices that shouldn't be automounted / autoassembled etc.
#
# Deny all, then punch holes for what looks like physical drives
# (TODO: this heuristic might need some work)
#

ENV{UDISKS_PRESENTATION_NOPOLICY}="1"
KERNEL=="sd*|hd*|sr*|mmcblk*|mspblk*", ENV{DISKS_PRESENTATION_NOPOLICY}="0"

這表明，如果我安裝了自動掛載軟體，它可以由 UDISKS_PRESENTATION_NOPOLICY 環境變數控制。您尚未指定您的發行版，但它顯然有所不同。

Question 2

你可以嘗試USB衛士。它在 UDev 和 Linux 核心 USB 授權框架之上實作了 USB 裝置黑名單/白名單。您可以使用 UDev 實現與已經建議的相同的效果，但 USBGuard 是用於該工作的專用工具，並且它有一個規則語言和（可選）GUI 小程式。

由於USB隨身碟通常都有序號，因此在usbguard中使用VID：PID和序號將其列入白名單會像這樣：

allow 1234:5678 serial "123456" with-interface equals { 08:*:* }
allow 1234:5678 serial "abcdef" with-interface equals { 08:*:* }
block

這將允許（授權）連接兩個僅具有大容量儲存介面、VID:PID 或 1234:5678 以及 iSerial 值「123456」或「abcdef」的 USB 裝置。其他一切都會被阻止。

免責聲明：我是該專案的作者。

Answer

你可以嘗試USB衛士。它在 UDev 和 Linux 核心 USB 授權框架之上實作了 USB 裝置黑名單/白名單。您可以使用 UDev 實現與已經建議的相同的效果，但 USBGuard 是用於該工作的專用工具，並且它有一個規則語言和（可選）GUI 小程式。

由於USB隨身碟通常都有序號，因此在usbguard中使用VID：PID和序號將其列入白名單會像這樣：

allow 1234:5678 serial "123456" with-interface equals { 08:*:* }
allow 1234:5678 serial "abcdef" with-interface equals { 08:*:* }
block

這將允許（授權）連接兩個僅具有大容量儲存介面、VID:PID 或 1234:5678 以及 iSerial 值「123456」或「abcdef」的 USB 裝置。其他一切都會被阻止。

免責聲明：我是該專案的作者。

使用 udev 的 USB 閃存白名單

答案1

答案2

相關內容