Empêcher à Linux tout accès à des disques durs [Résolu]

[sjrd]

Bonjour,

Ma question est un peu contre-nature. D'habitude, on se plein que Linux ne reconnaît pas un disque dur, alors qu'on voudrait qu'il le fasse. Moi je veux l'inverse : je voudrais configurer un LiveCD Ubuntu 9.10 pour qu'il n'ait aucun moyen d'accéder à un disque dur. (j'ai déjà passé la phase comment faire un LiveCD perso)

Pourquoi ? Parce qu'on (quelques étudiants et moi) va faire une présentation d'Ubuntu dans une école, et que l'admin système (comprenez gestionnaire des salles infos) est paranoïaque. Il veut bien nous laisser faire s'il a la garantie que des petits malins ne pourront pas toucher au système en place.

Le plus simple est donc, selon moi, de désactiver tout support matériel pour les disques durs. Y aurait-il une série de modules du noyau qu'il me suffirait de blacklister ? Ou alors je devrais m'orienter vers la solution plus brutale de recompiler un noyau sans support disque dur ?

Si un effet secondaire est de bousiller le support de disques USB, ça me convient aussi.

Je précise pour finir que je ne connais rien de la config matérielle des machines sur lesquelles je vais devoir lancer ce LiveCD, hormis que c'est Windows qui est installé dessus. Donc il faudrait que la solution soit... euh... générique

J'espère que vous aurez des idées Merci d'avance

[frp31]

vu que tu pars de la creation du live CD tu fixe ton fstab et ton mttab sur le cd ça interdira toute modif au lieu de les charger en ram ... ça doit suffir non ?

ou tu as déjà testé ?

[sjrd]

Non je n'ai pas essayé. Mais d'après moi ça n'empêche pas de monter le disque "à la main", avec un sudo mount.
Ca n'empêche pas non plus de faire "sudo parted" et de bousiller les partitions à la bourrin

[tonton fred]

Salut,
Tu pourrais mettre un bon mdp au mode single user, et interdire a tes utilisateurs de lancer mount, dd etc...

[sjrd]

J'ai pensé à ça aussi, mais c'est plus complexe que ça en a l'air à première vue. Si je veux faire ça, je dois interdire les shells aussi, les interpréteurs, etc. Bref, il y a plein de logiciels que je dois interdire.

J'ai aussi pensé à l'inverse, autoriser seulement les logiciels que je veux (genre Synaptic), mais ce n'est pas plus simple.

Sans compter qu'il y a toujours les "facilités" de Gnome qui permettent de faire des actions root sans l'être (parce que X est en root) : l'auto-montage des disques qui apparaissent dans le menu Raccourcis par exemple

Donc oui j'ai déjà pensé à pas mal de choses, et ce n'est pas "au hasard" que j'ai dis qu'il me semblait que le plus simple était de casser le support matériel des hdd.

[frp31]

éliminer le disque dur (bouter dessus) et monter les partition en ro
ou mieux encore les graver sur un DVD, et mettre un LECTEUR-NONGRAVEUR interne (innaccessible depuis l'exterieur du boitier)... là y peuvent tjrs monter l'image en ram en RW au bout suivant toute modif n'a servi à rien ...

C'est crado et barbare mais efficace par contre pour les mises à jour tu peux te brosser.

[sjrd]

Hum... Je ne suis pas certain que ça s'applique à mon problème. Ce ne doit pas être une installation définitive : c'est une démo (2 heures) avec plein de LiveCD, un par étudiant.

Et tu penses bien que si le gestionnaire a peur qu'on lui bousille ses disques en software grâce au LiveCD, il est clair qu'il ne va pas nous laisser modifier sa config matérielle avant la séance (genre débrancher les disques durs).

[dahtah]

Salut,
tu peux créer ton propre live cd, créer un user avec un shell lshell, et là tu n'autorise que les commandes que tu veux.

[sjrd]

Citation:

Envoyé par dahtah

tu peux créer ton propre live cd

Oui ça c'était mon idée de base

Citation:

Envoyé par dahtah

créer un user avec un shell lshell, et là tu n'autorise que les commandes que tu veux.

Oui, c'est un bon pas en avant. Ca limitera déjà pas mal de choses.

Mais ça n'empêche pas encore de lancer gParted avec le menu par exemple.

Entre temps j'ai essayé de blacklister tous les modules noyaux qui contenaient ata, scsi ou ide... Mais ça ne fonctionne pas. Ils n'apparaissent effectivement plus dans lsmod, mais ça n'empêche pas les disques durs de fonctionner.
Donc c'est compilé dans le noyau. Aussi je suis en train d'apprendre à recompiler un noyau pour Ubuntu.

[dahtah]

Citation:

Envoyé par sjrd

Mais ça n'empêche pas encore de lancer gParted avec le menu par exemple.

Je suis pas sur de ce que je dis, mais si tu accordes à ton user la commande startx (en gros les étudiants arrivent devant un prompt console au démarrage), le serveur X devrait tourner avec les droits de cet user. Donc gparted et tout logiciel "admin" devrait demander le mot de passe root au démarrage... A vérifier

[Winnt]

Salut,

Citation:

Envoyé par dahtah

Donc gparted et tout logiciel "admin" devrait demander le mot de passe root au démarrage... A vérifier

C'est effectivement le cas. Pour toutes commande d'administration il faut le mot de passe du premier utilisateur créé pour les effectuer (utilisateur avec droit d'administration donc).

Le plus simple à mon avis c'est de modifier la config de la commande sudo. Sachant que Ubuntu utilise sudo et que le compte root n'a pas de mot de passe.

[frp31]

en plus du lshell :

tu peux aussi créer un user
puis retirer le compte root (moins risqué de le renommer juste)
et retirer le compte user crée de base par ubuntu (ou de le desactiver (lock password))

mais bon là c'est hardcore comme solution... et il y a des risques de plantage potentiellement... lorsque'une appli demande le password root si elle verifie son existance ça peut eventuellement planter....

[Winnt]

Salut,

@frp31 : Pas de problème à ce niveau sous Ubuntu (car c'est sur ubuntu qu'il veut le faire) l'utilisateur root n'as pas de mot de passe. A la place c'est le premier utilisateur qui as les droits d'administration via sudo.

Donc je pense que modifier le fichier de config de sudo tout simplement sera la meilleure parade.

[sjrd]

Donc si je comprends bien, vous êtes plutôt d'avis de modifier la config de sudo, plutôt que désactiver le support des hdd.

Alors OK, partons dans cette optique. J'ai donc le choix entre 1) désactiver les programmes que je ne veux pas ou 2) autoriser seulement ceux que je veux. Pour les raisons que j'ai évoquées plus haut, le 1) est ingérable. Donc va pour la 2).

Je dois donc établir une liste des logiciels dont je veux que les étudiants (et nous en cas de problème) puissent les lancer. Le but étant de leur faire découvrir Ubuntu, dans le but qu'ils l'installent et le gèrent eux-mêmes par la suite, il y a effectivement quelques logiciels "root" que je veux qu'ils puissent utiliser.

Il y a au moins Synaptic/apt-get/aptitude/Ubuntu software center. Probablement la gestion des utilisateurs. ifconfig aussi.

Si je fais ça, il n'y aura vraiment moyen de contourner ? Genre il n'y a pas un package dont rien que l'installer va permettre d'altérer les disques ?

[Winnt]

Salut,

Il me semble bien que la commande sudo peut être paramêtrée pour n'être effective que pour tel ou tel programme.
Pour en être certain voir le man et la doc

[dahtah]

Citation:

Envoyé par Winnt

Il me semble bien que la commande sudo peut être paramêtrée pour n'être effective que pour tel ou tel programme.

Oui bien sur, c'est tout son intérêt. La config est à faire dans /etc/sudoers. La syntaxe est expliquée en début de fichier. C'est assez simple.

[sjrd]

Alors j'avance. J'ai donc prévu d'ajouter la bonne ligne dans le /etc/sudoers. Mais... Ce voyou de LiveCD rajoute la ligne suivante après le boot :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

%admin ALL=(ALL) NOPASSWD: ALL

Donc là je cherche soit à l'empêcher de faire ça, soit à trouver un moyen de faire mon ajout après celui du LiveCD.

Je n'ai pas encore exploré les pistes, mais comme ça je vous tiens au courant.

[sjrd]

Ah ah ! Résolu J'ai dû modifié le script 10adduser qui est dans l'init ram-disk. Je referai une explication détaillée et propre de ma solution ce week-end, pour la postérité