Справочный центр

Дерево страниц

Сравнение версий

Старая версия 13

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация
Актуальную версию статьи см. Съемные носители в Astra Linux

Оглавление

Информация

Данная статья применима к:

  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1
Предупреждение

Принимая решение о допустимости хранения конфиденциальной информации на сменных носителях, следует помнить, что 

наличие физического доступа к любому носителю информации
позволяет прочитать с него всё, что там хранится,
независимо от наличия и содержания мандатных меток

Для предотвращения утечки информации следует в обязательном порядке

  • ограничить физический доступ к носителям,
  • и применять защитное преобразование хранящейся информации
Предупреждение

При размещении конфиденциальной информации на твердотельных носителях (SSD, Flash) следует помнить, что  в силу их технических особенностей гарантированное полное стирание с них информации НЕВОЗМОЖНО.

Подробности см.  Твердотельные накопители (SSD): особенности применения

Поддерживаемые файловые системы

Информация

ext2/ext3/ext4
vfat

«В качестве файловых систем на носителях информации компьютеров с ОС (в том числе съемных машинных носителях информации) должны использоваться только файловые системы Ext2/Ext3/Ext4, поддерживающие расширенные (в т.ч. мандатные) атрибуты пользователей и обеспечивающие гарантированное уничтожение (стирание) информации»
«Руководство по КСЗ, Часть 1» РУСБ.10015-01 97 01-1, 2020г., п. 17.3.1 «Условия применения ОС»

Предупреждение
При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.

Порядок работы

Для работы с конфиденциальной информацией нужно создать для USB носителя правила доступа в графическом инструменте fly-admin-smc.
Для этого:

...

Предупреждение

Для того, чтобы изменения ограничений мандатного доступа вступили в силу,  следует переподключить носитель.
Для того, чтобы можно было получить доступ к носителю после перезагрузки компьютера следует переподключить носитель.

...

Все пользователи, для которых включается режим работы с конфиденциальной информацией на USB носителях
обязательно должны быть исключены из группы floppy (ОС СН Смоленск 1.5 и ОС СН Смоленск 1.6) и из группы fuse (ОС СН Смоленск 1.5).
(при обработке конфиденциальной информации это должны быть все пользователи, кроме администраторов из группы astra-admin).

Исключить пользователя из группы floppy можно командой:

Command
gpasswd -d username floppy

Сценарии для подготовки USB носителей ext4

Для подготовки USB носителя с файловой системой ext4 к работе на нескольких уровнях
можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):

Информация
#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#multilevel
pdpl-file 3:0:-1:ccnr /media/usb/
mkdir /media/usb/{0,1,2,3}
pdpl-file 0:0:0:0 /media/usb/0
pdpl-file 1:0:0:0 /media/usb/1
pdpl-file 2:0:0:0 /media/usb/2
pdpl-file 3:0:0:0 /media/usb/3
chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3}
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

Для подготовки USB носителя с файловой системой ext4 к работе для работы на одном (например, 2-м)
уровне можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):

...