Hallo alles zusammen,

wir betreiben hier ein Netzwerk aus 30 Ubuntu-Clients. Die Mitarbeiter nehmen ab und an Daten mit nach Hause, um von dort aus zu arbeiten. Eigens dafür haben wir USB-Sticks angeschafft.

Gibt es eine Möglichkeit, dass nur unsere USB-Sticks auf den Clients gemountet werden?

Viele Grüße, Morfio

Gibt es eine Möglichkeit, dass nur unsere USB-Sticks auf den Clients gemountet werden?


koennte mir udev regeln gehen...

Ich wundere mich nur, warum?
Was ist so anders an diesen USB-Sticks?
Wenn man Angst vor bösen Daten, die über fremde US-Sticks kommen, hat, dann müsste man eigentlich auch Angst vor eigenen haben, da ein Bösewicht da ja auch böse Daten drauf tun könnte.
Wenn man Angst hat ein Bösewicht könnte mit einem fremden USB-Stick kommen und Daten klaun, dann müsste man ja eigentlich auch Angst haben, dass ein Bösewicht mit einem der eigenen USB-Sticks Daten klaut, indem er einen solchen in seinen Besitz bringt.

@muell200 Danke, werde ich mir mal genauer ansehen

@oziris Das hat mehrere Gründe. Zum einen ist es die psychologische Schiene, die dem Mitarbeiter sagt: "Hey, der Stick ist ein geschäftlicher Stick, bitte keine 'Raubkopien' drauf und auf virenfreiheit achten". Des weiteren sind unsere Kollegen eigentlich vertrauenswürdig, nicht aber unbedingt unsere Gäste. Geht der Kollege mal auf die Toilette und sperrt den Rechner nicht, kann ein unbefugter fleißig loslegen. (Ich weiss, dass es die Sache nicht sicher macht, aber schonmal schwieriger)

Das irgendwie zu verwalten wird aber ganz schön arg.

Wieviele USB-Sticks und von insgesamt wieviel Marken? Haben die Benutzer root-Rechte auf ihren Maschinen?

Edit: Zumindest die Rechnerzahl habe ich beim 2. Lesen erfolgreich erkannt ^^

koennte mir udev regeln gehen...

Das Ganze in Kombination mit einer -natürlich vorher anzulegenden und regelmäßig zu wartenden- Liste "erlaubter" UUIDS und einem passenden "Prüfscript", welches per udev beim Einstöpseln aufgerufen wird, könnte funktionieren.

Bei nur 30 Sticks ist das vielleicht sogar noch halbwegs überschaubar, aber ich wünsche Euch jetzt schon viel Spaß dabei.

zu MiGos Anmerkung wegen "Knecht Rootrecht": sollte das der Fall sein, dann kannst Du das Ganze schon von vorne herein prinzipbedingt knicken.

Hi, es sind um die 15 Sticks, alle selber Hersteller und selbes Modell. Da wir eine Software geschrieben haben, um Daten/Programme/was auch immer automatisch an alle Clients zu verteilen, wäre das mit der Liste überhaupt kein Problem (auch bei 50000 Geräten nicht) und das Verteilen ein Aufwand von wenigen Sekunden.

Root-Rechte haben die natürlich nicht.

Hi, es sind um die 15 Sticks, alle selber Hersteller und selbes Modell
Dann sollte sich das komfortabel über die Vendor- und DeviceID in udev machen lassen.

Ja, nee, dann muss man nur den gleichen Stick privat kaufen...

War da nicht auch irgendeine ID dabei, die einigermaßen eindeutig ist? Ansonsten muss man wohl eine in einen unpartitionierten/unformatierten Bereich tun und prüfen... könnte Arbeit werden. Vor allem, weil man das alles vor dem Mounten bzw. erzeugen der Device-Node-Symlinks einbauen muss.

Von pam_usb weiß ich, dass es irgendwas ziemlich eindeutiges gibt. Ich hab jetzt keine Zeit das nachzusehen, aber aus pamusb-conf bekomme ich folgendes:
Vendor (z.B. JetFlash)
Model (z.B. TS2GJFT3)
Serial (z.B. JetFlash_TS2GJFT3_XXX9X9X9-9:9)
UUID (z.B. 4B40-A147)
Wobei die UUID wohl aus dem Dateisystem kommt und daher leicht kopiert/geändert werden kann.

Vielleicht genügt Dir sowas grobes ja schon als zusätzliche Hürde für Bösewichter.

Ich bin mir fast sicher, dass das die /dev/disk/by-id/ ist, die ist zumindest bei einen beiden baugleichen Festplatten unterschiedlich.

Die Seriennummer sollte wohl pro Gerät eindeutig sein - dann musst du aber einen entsprechend großen Regelsatz verwenden und entsprechend Konsistent halten (Defekte Sticks austauschen, verlorene Austragen...) was zu einem ganz schönen Verwaltungsoverhead führen dürfte.

Wenns mehr um eine psychologische Hürde für Mitarbeiter gehen soll bzw. darum, die Spielkinder unter den Besuchern rauszufiltern, sollte die Device-ID reichen.