如何将只能安装到 /etc/fstab 中具有条目的驱动器/分区列入白名单？

Question 1

文件管理器的挂载/自动挂载确实是通过以下方式完成的，udisks但是，这一切都经过一个名为的授权机制，polkit该机制定义了操作和规则（谁可以做什么......）。人们可以通过名为的配置文件覆盖默认设置rules。
在这种特殊情况下，该操作称为

org.freedesktop.udisks2.filesystem-mount

您可以通过检查此操作的默认设置

pkaction --verbose --action-id org.freedesktop.udisks2.filesystem-mount

它返回类似这样的内容：

org.freedesktop.udisks2.filesystem-mount:
  description:       Mount a filesystem
  message:           Authentication is required to mount the filesystem
  vendor:            The Udisks Project
  vendor_url:        https://github.com/storaged-project/udisks
  icon:              drive-removable-media
  implicit any:      auth_admin
  implicit inactive: auth_admin
  implicit active:   yes

正如您在最后一行看到的，用户active挂载文件系统的隐式权限设置为yes。您可以通过编写新规则来覆盖它。这不会对您的中列出的内容产生任何影响/etc/fstab。创建文件

/etc/polkit-1/rules.d/90-disable-automount.rules

包含以下内容：

polkit.addRule(function(action, subject) {
               if (action.id == "org.freedesktop.udisks2.filesystem-mount" ) {
                   return polkit.Result.AUTH_ADMIN;
               }
           });

当您重新启动系统时，任何用户都不应能够安装/自动安装驱动器，除非他们具有管理员权限：系统将提示他们输入管理员密码。如果您也想禁用该提示，请替换AUTH_ADMIN 为NO。

Answer

文件管理器的挂载/自动挂载确实是通过以下方式完成的，udisks但是，这一切都经过一个名为的授权机制，polkit该机制定义了操作和规则（谁可以做什么......）。人们可以通过名为的配置文件覆盖默认设置rules。
在这种特殊情况下，该操作称为

org.freedesktop.udisks2.filesystem-mount

您可以通过检查此操作的默认设置

pkaction --verbose --action-id org.freedesktop.udisks2.filesystem-mount

它返回类似这样的内容：

org.freedesktop.udisks2.filesystem-mount:
  description:       Mount a filesystem
  message:           Authentication is required to mount the filesystem
  vendor:            The Udisks Project
  vendor_url:        https://github.com/storaged-project/udisks
  icon:              drive-removable-media
  implicit any:      auth_admin
  implicit inactive: auth_admin
  implicit active:   yes

正如您在最后一行看到的，用户active挂载文件系统的隐式权限设置为yes。您可以通过编写新规则来覆盖它。这不会对您的中列出的内容产生任何影响/etc/fstab。创建文件

/etc/polkit-1/rules.d/90-disable-automount.rules

包含以下内容：

polkit.addRule(function(action, subject) {
               if (action.id == "org.freedesktop.udisks2.filesystem-mount" ) {
                   return polkit.Result.AUTH_ADMIN;
               }
           });

当您重新启动系统时，任何用户都不应能够安装/自动安装驱动器，除非他们具有管理员权限：系统将提示他们输入管理员密码。如果您也想禁用该提示，请替换AUTH_ADMIN 为NO。

Question 2

问题的解答1）在这里找到：https://askubuntu.com/questions/1062719/how-do-i-disable-the-auto-mounting-of-internal-drives-in-ubuntu-or-kubuntu-18-04

基本上，关闭 udiks2。

systemctl stop udisks2.service

然后测试，并永久执行：

systemctl mask udisks2

这将阻止“普通”用户自动安装驱动器...您还应该确保他们不在 adm 或 sudo 组中，因为这样他们仍然可以安装驱动器。

正如马库斯·穆勒 (Marcus Müller) 在评论中指出的那样，解决方案2）我认为这不是一件容易的事。我一时想不出好的答案（例如，如果我是 root，我该如何防止自己安装任何驱动器？）。root 必须能够安装驱动器，这是内核启动、加载 RAM 磁盘等的方式。

此外，正如 Guntram Blohm 在评论中指出的那样，他补充道：

systemctl mask udisks2

将防止它在未来被拉回到系统中，这是一件“好事”。

Answer

问题的解答1）在这里找到：https://askubuntu.com/questions/1062719/how-do-i-disable-the-auto-mounting-of-internal-drives-in-ubuntu-or-kubuntu-18-04

基本上，关闭 udiks2。

systemctl stop udisks2.service

然后测试，并永久执行：

systemctl mask udisks2

这将阻止“普通”用户自动安装驱动器...您还应该确保他们不在 adm 或 sudo 组中，因为这样他们仍然可以安装驱动器。

正如马库斯·穆勒 (Marcus Müller) 在评论中指出的那样，解决方案2）我认为这不是一件容易的事。我一时想不出好的答案（例如，如果我是 root，我该如何防止自己安装任何驱动器？）。root 必须能够安装驱动器，这是内核启动、加载 RAM 磁盘等的方式。

此外，正如 Guntram Blohm 在评论中指出的那样，他补充道：

systemctl mask udisks2

将防止它在未来被拉回到系统中，这是一件“好事”。

Question 3

通过我的 USB 端口之一连接...

所以你的安装条目/etc/fstab，但要处理磁盘热插拔通过USB你可以使用USB卫士。

我不知道它是否适用于 Ubuntu，就像适用于 Redhat 一样，但这是一个简单的安装、配置问题/etc/usbguard/usbguard-daemon.conf根据您的喜好进行配置，但默认值可能就足够了。然后在启动usbguard服务之前，你必须创建该/etc/usbguard/rules.conf文件，否则您将不会有任何东西被列入白名单以在 USB 端口上工作，包括您的键盘和鼠标，并且您将拉动电源线重新启动，然后启动到单用户模式进行更正，

当您执行此usbguard generate-policy > /etc/usbguard/rules.conf操作之前，service usbguard start将自动捕获现有的 USB 设备，并且您可以识别文件中的设备rules.conf，其中之一将是您的 USB 连接的磁盘设备，这些设备将通过 id、序列号等具体明确地识别。这将管理什么外部 USB 磁盘在系统上是否工作，您将在 udisks 发现并安装它们之前在 USB 连接级别对其进行管理。

有关一些 usbguard 详细信息，请参阅：usbguard规则允许任何键盘和鼠标

Answer