Bonjour,
Nous préparons un système basé sur Debian Stable Gnome qui devra équiper une centaine d’ordinateurs portables dans des salles de cours "déconnectées" (pas d’internet).
Pour le profile élève, l’USB ne doit pas pouvoir être utilisé pour support des masse (« clé USB ») mais bien pour la souris. Ça, c’est le départ de la réflexion…
Mais ensuite, en y réfléchissant, il faudra pouvoir brancher plusieurs modèles de souris. Si la souris d’origine devait tomber en pane par exemple… Et aussi peut-être un tablette graphique !
Nous avons donc là une " liste blanche" de "type" de périphériques (souris et tablettes) que l’utilisateur peut brancher et utiliser.
Cela est-il possible sous GNU/Linux (ici Debian) ?
Comment ?
Merci d’avance.
# usbguard ?
Posté par symp . Évalué à 2. Dernière modification le 06/03/22 à 22:15.
Peut-être usbguard (dans l'archive Debian stable / Bullseye) répond-il au besoin ?
[^] # Re: usbguard ?
Posté par Keuronde (site web personnel) . Évalué à 6. Dernière modification le 06/03/22 à 23:06.
Je précise la réponse de symp :
USBGard semble bien pouvoir faire l'affaire.
La documentation ici donne une idée des filtrage possible.
Il y a un champ "device ID" qui permet d'autoriser un modèle précis de périphérique USB.
Pour n'autoriser que les souris, le plus simple serait d'utiliser un filtrage sur
interface-type
, en se sevrant des codes définis sur cette page de usb.org. Les souris étant des périphériques de classe "HID (Human Interface Device)". En autorisant tous les périphériques HID, vous autorisez les claviers, les souris, les joystick et c'est à peu près tout…Attention cependant, sur mon ordinateur portable, j'ai plusieurs périphériques USB qui sont intégrés à l'ordinateur (tel la webcam, le lecteur d'empreinte et les hub USB). Ce serait dommage de bloquer involontairement ces fonctions. Pour lister les équipements USB, utilisez la commande
lsusb
.# Blocage par liste noire
Posté par flan (site web personnel) . Évalué à 5.
Il est également possible d’empêcher certains modules noyaux de se charger (dont celui pour le stockage USB) via /etc/modprobe.d/blacklist.
[^] # Re: Blocage par liste noire
Posté par cg . Évalué à 4.
C'est ce que je fais pour l'instant, mais l'approche par liste d'autorisation (tout interdit, sauf ce qui est autorisé) est plus efficace.
Par exemple j'ai eu des soucis quand des gens branchaient leurs smartphones pour les recharger : ça ajoute parfois une carte réseau… Qui permet de contourner les sécurités mises en place sur le LAN.
[^] # Re: Blocage par liste noire
Posté par flan (site web personnel) . Évalué à 2.
Dans ce cas, une option est de faire la liste des modules chargés en temps normal avec lsmod et de bloquer tous les autres modules possibles (tu peux les lister).
# Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.