Данная статья применима к:
- Astra Linux Common Edition РУСБ.10015-01 (очередное обновление 1.7)
- Astra Linux Common Edition РУСБ.10152-02 (очередное обновление 4.7)
Постановка задачи
На компьютере под управлением Astra Linux требуется настроить разделение прав прямого доступа пользователей к оптическим дискам.
При этом должны быть разграничены права пользователей на копирование и запись оптических дисков. Права на монтирование оптических дисков управляются отдельно (см. Съемные носители в ОС Astra Linux).
Особенности применения
Приводы оптических дисков представлены устройствами /dev/srX с дискретными правами доступа на чтение и запись для владельца root и группы cdrom:
brw-rw----+ 1 root cdrom 11, 0 авг 4 08:05 /dev/sr0
brw-rw----+ 1 root cdrom 11, 1 авг 4 08:05 /dev/sr1
getfacl: Removing leading '/' from absolute path names
# file: dev/sr0
# owner: root
# group: cdrom
user::rw-
user:<имя_пользователя>:rw-
group::rw-
mask::rw-
other::---
# file: dev/sr1
# owner: root
# group: cdrom
user::rw-
user:<имя_пользователя>:rw-
group::rw-
mask::rw-
other::---
Решение
Для отключения автоматически предоставляемого общего доступа:
Определить атрибуты, по которым можно идентифицировать устройство (или класс устройств):
sudo udevadm info --query=property --name=<имя_устройства>например:sudo udevadm info --query=property --name=/dev/sr0Далее в примере правила UDEV будет использоваться класс устройств ID_CDROM_DVD;Создать правило udev, которое будет выполняться после правила 70-uaccess.rules и удалять тэг uaccess. Например, создать файл 71-uaccess-astra.rules (порядок выполнения правил определяется алфавитной сортировкой имен файлов с правилами). Файл разместить в том же каталоге, в котором находится правило 70-uaccess.rules. Пример правила:
SUBSYSTEM=="block", ENV{ID_CDROM_DVD}=="1", TAG-="uaccess", RUN+="/usr/bin/logger 'Astra UDEV: remove uaccess tag for device %E{DEVNAME}'"
Перезагрузить компьютер.
После выполнения указанных действий прямой доступ к оптическим дискам на чтение и запись будет разрешен только суперпользователю (sudo) и пользователям, входящим в группу cdrom.