特定のUSBドライブを読み取り専用でマウントする方法

元の（事前systemd）実装はあまりにもudev強力であることが判明しました。競合状態やその他のセキュリティ問題が発生しました。その結果、最新バージョンはsystemd-udevd以前のバージョンよりも制限され、以前のバージョンと同じ機能をすべて実行することはできません。 old を使用してリムーバブルディスクをマウントする方法に関する多くの情報がありますが、udev現在の推奨事項は次のとおりです。あなたはそうしないでください。、udevd新しいリリースで実装されたサンドボックスやその他のセキュリティ制限により、実際にはますます困難または非実用的になりました。

現在の理解は基本的にudevこれです。基本的なタイムリーに適切な所有権と権限を持つデバイスノードを作成および管理することがミッションであり、オプションで他のサービスで使用できるように、デバイスノードにいくつかの追加のメタデータを提供してください。基本的な作業を損なう可能性がある他のものは避けるべきです。したがって、udev長期実行プロセスを開始させるすべての動作は正しいです。

ファイルシステムのマウントに時間がかかることがあります。特に、ファイルシステムが大規模または破損した場合は、直接実行するのではなくudevd他のサービスに任せる必要があります。udisks2

Mint 21.1のバージョンが2.9.0以上であれば、より良い場所になりますudisks2（パッケージ名はおそらく現在のバージョンより前に他の実装があったからです）。libudisks2-0udisks/etc/udisks2/mount_options.conf

次のことができます。

[/dev/disk/by-label/SCRATCH]
defaults=ro
# removed "rw" from the global default list of allowed mount options
allow=exec,noexec,nodev,nosuid,atime,noatime,nodiratime,ro,sync,dirsync,noload

このドキュメントには、mount_options.conf特定の USB ストレージデバイスをデバイスのシリアル番号で一致させるサンプル udev ルールなど、多くの例が含まれています.これは、必要なファイルシステムラベルを使用するよりも安全です。 http://storagged.org/doc/udisks2-api/latest/mount_options.html

通常、リムーバブルメディアデバイスは、TAG+="uaccess"ローカルにログインしたユーザーにデバイスへの書き込みアクセスを提供するudevルールを取得します。これは、リムーバブルメディアデバイスでファイルシステムのラベルを変更するために必要なすべての権限を自動的に持つことを意味します。これは、悪意のある変更を防ぐためにファイルシステムラベルを使用する提案された戦略は簡単に解決できますが、安全ではないことを意味します。