Gsyleric/uuid-locked-access
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity
3 Commits 1 Branch 0 Tags
daf9ce29c65ef454d7d183faa3feb37c87aecd48
Go to file
Clone
Open with VS Code Open with VSCodium Open with Intellij IDEA
Download ZIP Download TAR.GZ Download BUNDLE
Ssyleric daf9ce29c6 Create check-only-authorized-disk.sh
2025-03-30 20:44:47 +02:00
check-only-authorized-disk.sh
Create check-only-authorized-disk.sh
2025-03-30 20:44:47 +02:00
README.md
Update README.md
2025-03-30 20:44:17 +02:00

README.md

README - Verrouiller l'accès à un seul dock USB (UUID spécifique) dans PBS

Objectif

Empêcher que Proxmox Backup Server (PBS) accède ou monte un autre disque que le RAID USB autorisé, identifié par son UUID :

UUID=e55055f6-c8a4-45a0-a0a3-d3c12ab12905

Étapes réalisées

1. Configuration de /etc/fstab

Pour s'assurer que seul ce disque est monté automatiquement (et ne bloque pas le boot si absent) :

UUID=e55055f6-c8a4-45a0-a0a3-d3c12ab12905 /mnt/pveusbkp ext4 defaults,nofail 0 2

2. Création du point de montage

mkdir -p /mnt/pveusbkp

3. Test du montage manuel

mount -a

Vérifier :

df -h | grep pveusbkp

4. Blocage des montages automatiques de disques USB non autorisés (udev)

Fichier udev pour ignorer tous les disques sauf l'UUID autorisé :

nano /etc/udev/rules.d/99-allow-only-authorized-usb.rules

Contenu :

# Autoriser uniquement le disque avec cet UUID, bloquer les autres
action=="add|change", KERNEL=="sd[b-z][0-9]", ENV{ID_FS_UUID}!="e55055f6-c8a4-45a0-a0a3-d3c12ab12905", ENV{UDISKS_IGNORE}="1"

Recharger les règles :

udevadm control --reload-rules
udevadm trigger

5. Surveillance optionnelle (script cron + Telegram)

Script pour vérifier que seul l'UUID autorisé est présent :

nano /home/scripts/check-only-authorized-disk.sh

Contenu :

#!/bin/bash
AUTHORIZED_UUID="e55055f6-c8a4-45a0-a0a3-d3c12ab12905"
FOUND=$(lsblk -o UUID | grep -v "$AUTHORIZED_UUID" | grep -v "^$" | wc -l)

if [ "$FOUND" -ne 0 ]; then
  echo "Disque non autorisé détecté sur PBS !" | \
  curl -s -X POST "https://api.telegram.org/bot<token>/sendMessage" \
  -d chat_id=<chat_id> -d text="$(hostname): Un disque non autorisé est branché !"
fi

Rendre le script exécutable :

chmod +x /home/scripts/check-only-authorized-disk.sh

Ajout dans crontab (toutes les 15 minutes) :

crontab -e

Contenu :

*/15 * * * * /home/scripts/check-only-authorized-disk.sh

📄 Conclusion

  • Le disque USB RAID de 4 To est monté de manière fiable
  • Aucun autre disque ne peut être monté automatiquement
  • Le système démarre toujours proprement (grâce à nofail)
  • Une alerte peut être envoyée si un disque non autorisé est connecté

Tu es blindé 🚀

Reference in New Issue View Git Blame Copy Permalink
Description
No description provided
Readme 65 KiB
Languages
Shell 100%