私のUbuntuシステムでは、特定のファイルマネージャは、USBポートの1つを介して接続されたドライブを開くと、ルートではなくドライブとしてマウントできることを確認しました。これが発生しないように、次のように設定しました/etc/fstab
。
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/mapper/vgubuntu-root / ext4 errors=remount-ro 0 1
# /boot was on /dev/nvme0n1p3 during installation
UUID=485794d0-6773-4136-9df9-c8f97fc3c3bc /boot ext4 defaults 0 2
# /boot/efi was on /dev/nvme0n1p2 during installation
UUID=5E62-20EC /boot/efi vfat umask=0077 0 1
/dev/mapper/vgubuntu-swap_1 none swap sw 0 0
#/media/j/sandisk-32GB is my primary USB drive for backups
PARTUUID=d199a40a-b5cc-724b-b70b-1b90e4274ea9 /media/user_xyz/sandisk-32GB ext4 defaults,nofail 0 3
1.root
ドライブ/パーティションユーザー以外のユーザーによる自動マウントまたはインストールを防ぐ方法いいえ/etc/fstab
私?
2.root
ホワイトリストに含まれるドライブ以外のドライブのインストールをさらに制限できますか?たとえば、設定しようとしている構成を変更しないと、root
実行を試みて失敗します。mount PARTUUID=this-partition-is-not-whitelisted /media/user_xyz/not-whitelisted
ポリスチレンこの詳細PARTUUID
は、私が表現したいアイデアを伝えることだけです。正しい形式ではないことがわかっているため、root
インストールできません。私はUbuntu 22.04 LTSを使用しています。
ベストアンサー1
ファイルマネージャのマウント/自動マウントは実際に完了しましたが、すべてのタスクはタスクとルール(誰が何をできるか...)を定義するudisks
認証というメカニズムを経ます。polkit
名前付き設定ファイルを使用してデフォルト設定を上書きできますrules
。
この特別な場合にアクションを呼び出します。
org.freedesktop.udisks2.filesystem-mount
このタスクのデフォルト設定は、以下で確認できます。
pkaction --verbose --action-id org.freedesktop.udisks2.filesystem-mount
次の内容を返します。
org.freedesktop.udisks2.filesystem-mount:
description: Mount a filesystem
message: Authentication is required to mount the filesystem
vendor: The Udisks Project
vendor_url: https://github.com/storaged-project/udisks
icon: drive-removable-media
implicit any: auth_admin
implicit inactive: auth_admin
implicit active: yes
最後の行に示すように、active
ファイルシステムのマウントに対するユーザーの暗黙的な権限はに設定されますyes
。新しいルールを作成してそれを上書きできます。これはあなたにリストされているコンテンツには影響しません/etc/fstab
。ファイルの作成
/etc/polkit-1/rules.d/90-disable-automount.rules
次のコンテンツが含まれています。
polkit.addRule(function(action, subject) {
if (action.id == "org.freedesktop.udisks2.filesystem-mount" ) {
return polkit.Result.AUTH_ADMIN;
}
});
システムを再起動すると、管理者権限を持たないユーザーはドライブをマウント/自動マウントできません。管理者パスワードの入力を求められます。このプロンプトも無効にするには、AUTH_ADMIN
に置き換えますNO
。