Forum Linux.debian/ubuntu Périphériques USB pour utilisateur, liste blanche par "types" ?

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
3
6
mar.
2022

Bonjour,

Nous préparons un système basé sur Debian Stable Gnome qui devra équiper une centaine d’ordinateurs portables dans des salles de cours "déconnectées" (pas d’internet).

Pour le profile élève, l’USB ne doit pas pouvoir être utilisé pour support des masse (« clé USB ») mais bien pour la souris. Ça, c’est le départ de la réflexion…

Mais ensuite, en y réfléchissant, il faudra pouvoir brancher plusieurs modèles de souris. Si la souris d’origine devait tomber en pane par exemple… Et aussi peut-être un tablette graphique !

Nous avons donc là une " liste blanche" de "type" de périphériques (souris et tablettes) que l’utilisateur peut brancher et utiliser.

Cela est-il possible sous GNU/Linux (ici Debian) ?

Comment ?

Merci d’avance.

  • # usbguard ?

    Posté par  . Évalué à 2. Dernière modification le 06/03/22 à 22:15.

    Peut-être usbguard (dans l'archive Debian stable / Bullseye) répond-il au besoin ?

    • [^] # Re: usbguard ?

      Posté par  (site web personnel) . Évalué à 6. Dernière modification le 06/03/22 à 23:06.

      Je précise la réponse de symp :

      USBGard semble bien pouvoir faire l'affaire.

      La documentation ici donne une idée des filtrage possible.

      Il y a un champ "device ID" qui permet d'autoriser un modèle précis de périphérique USB.

      Pour n'autoriser que les souris, le plus simple serait d'utiliser un filtrage sur interface-type, en se sevrant des codes définis sur cette page de usb.org. Les souris étant des périphériques de classe "HID (Human Interface Device)". En autorisant tous les périphériques HID, vous autorisez les claviers, les souris, les joystick et c'est à peu près tout…

      Attention cependant, sur mon ordinateur portable, j'ai plusieurs périphériques USB qui sont intégrés à l'ordinateur (tel la webcam, le lecteur d'empreinte et les hub USB). Ce serait dommage de bloquer involontairement ces fonctions. Pour lister les équipements USB, utilisez la commande lsusb.

  • # Blocage par liste noire

    Posté par  (site web personnel) . Évalué à 5.

    Il est également possible d’empêcher certains modules noyaux de se charger (dont celui pour le stockage USB) via /etc/modprobe.d/blacklist.

    • [^] # Re: Blocage par liste noire

      Posté par  . Évalué à 4.

      C'est ce que je fais pour l'instant, mais l'approche par liste d'autorisation (tout interdit, sauf ce qui est autorisé) est plus efficace.

      Par exemple j'ai eu des soucis quand des gens branchaient leurs smartphones pour les recharger : ça ajoute parfois une carte réseau… Qui permet de contourner les sécurités mises en place sur le LAN.

      • [^] # Re: Blocage par liste noire

        Posté par  (site web personnel) . Évalué à 2.

        Dans ce cas, une option est de faire la liste des modules chargés en temps normal avec lsmod et de bloquer tous les autres modules possibles (tu peux les lister).

  • # Commentaire supprimé

    Posté par  . Évalué à 2.

    Ce commentaire a été supprimé par l’équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.