Hallo Leute,

ich möchte Programme von einem USB-Stick laufen lassen, konkret einen verschlüsselten Bereich mit “SecureStick” auf diesem anlegen. Also portable Versionen dieses Programms auf den Stick kopiert und jetzt das:

micha@linux-kow7:/media/INTENSYS/util/SecureStick> ls -l SecurStick-linux
-rw-r--r-- 1 micha users 296414  1. Feb 2011  SecurStick-linux

micha@linux-kow7:/media/INTENSYS/util/SecureStick> file SecurStick-linux
SecurStick-linux: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped

micha@linux-kow7:/media/INTENSYS/util/SecureStick> su 
Passwort: ************

linux-kow7:/media/INTENSYS/util/SecureStick # chmod 777 SecurStick-linux

linux-kow7:/media/INTENSYS/util/SecureStick # echo $?
0

linux-kow7:/media/INTENSYS/util/SecureStick # ls -l SecurStick-linux
-rw-r--r-- 1 micha users 296414  1. Feb 2011  SecurStick-linux

Also chmod gibt keinen Fehler zurück, aber die Rechte ändern sich nicht.

1. Ich möchte verstehen, welcher Mechanismus Wechselmedien so einhängt und behandelt, dass man die Rechte von Files auf diesen nicht beliebig ändern kann. Im Verdacht habe ich udev mit seinen Rules, udisks, wo ich nicht weiß, wie das konfiguriert wird und das PolicyKit, welches ich auch noch nicht ganz verstanden habe. 1 Abend google brachte mich nicht so wirklich weiter, a.l.suse leider auch nicht.

Wenn ich jetzt mal unterstelle, es handelt sich um eine Sicherheitsmaßnahme, damit von Wechselmedien/USB-Sticks nicht bösartige Programme gestartet werden, irritiert mich aber dieses:
Da im gleichen Verzeichnis auch Versionen für Windows liegen, also:

linux-kow7:/media/INTENSYS/util/SecureStick # ls -l SecurStick.exe
-rwxr-xr-x 1 micha users 393216  1. Feb 2011  SecurStick.exe

linux-kow7:/media/INTENSYS/util/SecureStick # file SecurStick.exe
SecurStick.exe: PE32 executable for MS Windows (console) Intel 80386 32-bit

probierte ich:

linux-kow7:/media/INTENSYS/util/SecureStick # cp SecurStick-linux irgendeine.exe
linux-kow7:/media/INTENSYS/util/SecureStick # ls -l irgendeine.exe
-rwxr-xr-x 1 micha users 296414  4. Nov 09:17 irgendeine.exe

Tada, Ausführungsrechte! Von ganz allein, ohne chmod. Offenbar reagiert hier irgendwas auf die Dateiendung!
Verwirrend!

2. Wie geht denn so was. Und, ist es, wenn es so geht, wirklich ein Sicherheitsfeature?

Manuelles Mounten (nach explizitem umount des auto-gemounteten Sticks) erlaubt dann klassisches chmod 777.

Die Umgebung:

openSUSE 11.4 (GNOME)

uname -a

Linux linux-kow7.site 2.6.37.6-0.7-desktop #1 SMP PREEMPT 2011-07-21 02:17:24 +0200 i686 i686 i386 GNU/Linux

# mount|grep sdc1
/dev/sdc1 on /media/INTENSYS type vfat (rw,nosuid,nodev,relatime,uid=1000,gid=100,fmask=0022,dmask=0077,codepage=cp437,iocharset=iso8859-1,shortname=mixed,showexec,utf8,flush,errors=remount-ro,uhelper=udisks)

Stick ist formatiert mit FAT32 (0xb)

Ach ja - ich weiß, dass FAT32 keine Rechte unterstützt; auf stumpf gemounteten FAT-Dateisystemen erscheint immer alles ausführbar. Aber eben nicht, wenn so ein Wechselmedium auf (m)einer 11.4 automatisch eingehängt wurde.

Vielen Dank für jede Anregung.

Hallo,
ich bin auf der Suche nach einer Lösung exakt desselben Problems über den Beitrag gestolpert. Einziger Unterschied: Bei mir ist das Basissystem ein Debian (Squeeze), das nach einem kürzlich vorgenommenen Upgrade der Vorversion (Lenny) nun ein solches Verhalten zeigt. HAL ist nicht mehr im Spiel, aber udisks, polkit und udev. Aber wie spielt das alles zusammen?

harald@aladin ~ $  mount | grep /dev/sde1
/dev/sde1 on /media/disk type vfat (rw,nosuid,nodev,uhelper=udisks,uid=1000,gid=1000,shortname=mixed,dmask=0077,utf8=1,showexec,flush)

Wichtig ist hier dmask=0077, was unveränderbaren Rechten führt:

harald@aladin ~ $  ll /media | grep disk
drwx------ 4 harald harald 16384 Jan  1  1970 disk/
harald@aladin ~ $ chmod 755 /media/disk && echo $?
0
harald@aladin ~ $ ll /media | grep disk
drwx------ 4 harald harald 16384 Jan  1  1970 disk/

Mitleidend
Harald