Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:
  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1
  • Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.8)
  • Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7) (см. уточнения в тексте)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) (см. уточнения в тексте)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2

  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

  • Astra Linux Common Edition (кроме раздела Учтенные съемные носители и работы с метками безопасности)



Предупреждение

Принимая решение о допустимости хранения конфиденциальной информации на сменных носителях, следует помнить, что 

наличие физического доступа к любому носителю информации
позволяет прочитать с него всёвсе, что там хранится в накопителе,
независимо от наличия и содержания меток безопасности

Для предотвращения утечки информации следует в обязательном порядке:

  • ограничить физический доступ к носителям, ;
  • и применять защитное преобразование хранящейся информации.



Предупреждение

При размещении конфиденциальной информации на твердотельных носителях (SSD, Flash) следует помнить, что  в силу их технических особенностей гарантированное полное стирание с них информации НЕВОЗМОЖНО.

Подробности см.  Твердотельные накопители (SSD): рекомендации по применению



Предупреждение

Данная статья применима к сменным носителям. Монтирование постоянно установленных носителей следует выполнять с помощью таблицы монтирования (файл /etc/fstab). Подробнее см. справки man fstab и man mount.


Предупреждение

Метки безопасности файловых объектов, применяемые в Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7), не имеют обратной совместимости с КСЗИ, применяемым в более ранних обновлениях Astra Linux. При этом:

  • Метки безопасности, установленные в Astra Linux Special Edition x.7 при использовании в более ранних обновлениях определяются как некорректные, и, в соответствии с правилами МРД, файловые объекты с такими метками недоступны;
  • Метки безопасности более ранних очередных обновлений при использовании в Astra Linux Special Edition x.7 опознаются, и доступ к файловым объектам с такими метками предоставляется в соответствии с правилами МРД;


Термины

  • Носитель - физическое устройство для хранения информации.
  • Съемный носитель - носитель, конструктивно предназначенный для подключения и отключения без перезапуска ОС и без использования инструментов. Обычно это USB-накопитель или CD/DVD-диск.
  • Отчуждаемый носитель - то же, что и съемный носитель.
  • Автоматическое монтирование:
    • Монтирование дисковых разделов при загрузке ОС  или по команде mount -a в соответствии с правилами, заданными в файле /etc/fstab. Применение к учтенным носителям не допускается.
    • Монтирование дисковых разделов  при подключении носителя в соответствии с правилами udev. Может быть настроено вручную. Применение к учтенным носителям не допускается.
  • Полуавтоматическое монтирование - монтирование дисковых разделов с помощью
  • автоматическое монтирование - автоматическое монтирование при загрузке системы или по команде mount -a. К сменным носителям практически не применяется;
  • полуавтоматическое монтирование - монтирование с помощь графического инструмента fly-admin-reflex (включает автоматическое обнаружение подключенного носителя, и выдачу пользователю графического запроса  на подключение);на монтирование обнаруженных на носителе дисковых разделов). Может применяться как к неучтенным, так и к учтенным носителям. Рекомендованный способ работы с учтенными носителями.
  • Монтирование монтирование - "ручное" монтирование дисковых разделов с помощью инструмента инструментов командной строки (mount
  • носитель - съёмный USB-накопитель или дисковый раздел на таком накопителе;
  • , udisksctl).
  • Дисковый раздел - структура данных на носителе, содержащая файловую систему (файловые объекты). На одном носителе может находиться несколько дисковых разделов.
  • Учтенный учтённый носитель - носитель информации, зарегистрированный в системе учёта, учета и подготовленный для размещения на нём нем классифицированной информации;.
  • неучтённый Неучтенный носитель - любой носитель, не являющийся учтённымучтенным.
  • Метка безопасности, классификационная метка - см. Метка безопасности: структура и состав

Настройки по умолчанию: неучтённые съёмные носители vfat и ntfs

  • .
  • Пользователь - непривилегированный пользователь, не имеющий прав суперпользователя.
  • Администратор - пользователь с правами суперпользователя (и с высоким уровнем целостности при условии использования МКЦ).
  • UUID - уникальный идентификатор дискового раздела или файловой системы (ФС). Генерируются случайным образом при создании раздела и создании на нем ФС.

Поддерживаемые файловые системы

Информация

В соответствии с эксплуатационной документацией Astra Linux Special Edition в

Информация

«В качестве файловых систем на носителях информации компьютеров с ОС (в том числе съемных машинных носителях информации) должны использоваться только файловые системы Ext2ext2/Ext3ext3/Ext4ext4, поддерживающие расширенные (в т.ч. мандатные) атрибуты пользователей и обеспечивающие гарантированное уничтожение (стирание) информации» информации. В Astra Linux Special Edition x.7 в дополнение к файловым системам ext2/ext3/ext4 может использоваться файловая система xfs.

Применимость файловых систем для используемой ОС см. в документе «Руководство по КСЗ, Часть 1» РУСБ.10015-01 97 01-1, 2020г., п. 17.3.1 «Условия применения ОС»

Настройки по умолчанию:

  • зарегистрированные носители отсутствуют;
  • этой ОС.

    Astra Linux Special Edition поддерживает работу с конфиденциальной информацией на дисковых разделах со следующими файловыми системами:

    • ext2/ext3/ext4;
    • xfs (начиная с Astra Linux Special Edition x.7);
    • vfat;
    • ntfs (поддерживается только полуавтоматическое монтирование в сессиях с нулевой классификационной меткой);
    • iso9660/udf;

    Управление монтированием

    Для включения блокировки монтирования (запрета выполнения монтирования непривилегированными пользователями) используется команда:

    Command
    sudo astra-mount-lock enable

    Для выключения блокировки монтирования используется команда:

    Command
    astra-mount-lock disable

    Подробно про работу этой команды:

    Раскрыть
    • При установке Astra Linux Special Edition x.7 создаются файлы:
      • /lib/udev/rules.d/91-group-floppy.rules — правило, контролирующее монтирование с использованием /etc/fstab.pdac. Монтирование разрешается пользователям, входящим в указанную в правиле группу. По умолчанию используется группа floppy. При включении блокировки монтирования группа в правиле заменятся на astra-admin. При выключении блокировки монтирования группа в правиле заменяется на floppy.
      • /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla — правило, контролирующее монтирование с помощью команды udisksctl. Применение правила зависит от установленных обновлений.
    • Astra Linux Special Edition x.7 с установленными оперативными обновлениями:
      • Правило, контролирующее монтирование с помощью команды udisksctl запрещает такое монтирование и активно независимо от включения и выключения блокировки монтирования;
      • При включении блокировки монтирования создается файл /usr/lib/udev/rules.d/73-astra-disable-unpreviledged-mtp-access.rules — правило, запрещающее монтирование устройств MTP пользователям, не входящим в группу astra-admin.
      • При выключении блокировки монтирования файл /usr/lib/udev/rules.d/73-astra-disable-unpreviledged-mtp-access.rules удаляется, монтирование разрешено всем пользователям.
    • Astra Linux Special Edition x.7 без установленных оперативных обновлений:
      • Правило, контролирующее монтирование с помощью команды udisksctl по умолчанию требует ввод пароля администратора для выполнения такого монтирования. Правило создается/удаляется при включении/выключении блокировки монтирования.


    Поддерживаемые способы монтирования

    Информация
    Для того, чтобы устройство могло быть примонтировано, на нем должна быть размечена файловая система (устройство должно быть отформатировано).

    Монтирование с помощью команды mount

    Команда mount в Astra Linux позволяет:

    • Монтировать произвольные устройства в произвольные каталоги. Выполнение такого монтирования по умолчанию запрещено пользователям, и доступно только администраторам с правами суперпользователя.
    • Монтировать определенные устройства в определенные каталоги. Порядок такого монтирования определяется в таблице монтирования в файле /etc/fstab. Такое монтирование может быть доступно непривилегированным пользователям (например, по умолчанию разрешено монтирование оптических дисков в каталог /media/cdrom0).
    • Монтировать определенные типы устройств в определенные типы каталогов. Монтируемые устройства и цели монтирования задаются с использованием регулярных выражений. Порядок такого монтирования определяется таблице монтирования в файле /etc/fstab.pdac (см. далее: Определение параметров полуавтоматического монтирования в файле /etc/fstab.pdac).

    При этом:

    • участие пользователей в специальных группах floppy, cdrom, disk запрет использования команды mount не отменяет;

      Информация
      Участие пользователей в специальных группах cdrom и disk  позволяет этим пользователям выполнять операции чтения/записи на устройствах /dev/srX (приводах оптических дисков) и /dev/fdX (приводах гибких дисков), однако право монтировать эти устройства не предоставляет. Специальная группа floppy используется в Astra Linux Special Edition для разрешения полуавтоматического монтирования.


    • в стандартной таблице монтирования (файл /etc/fstab):

      • присутствует запись, разрешающая пользователям монтировать компакт-диски в каталог /media/cdrom0:

        Блок кода
        /dev/sr0        /media/cdrom0   udf,iso9660 user,noauto     0       0


      • иные записи, определяющие порядок монтирования пользователями дисковых разделов, отсутствуют;

    Команда mount обычно используется в варианте с двумя аргументами:

    1. Монтируемое устройство (источник) - устройство, подлежащее монтированию;
    2. Точка монтирования (цель) - каталог, в который осуществляется монтирование

    Поиск целей монтирования выполняется в файле /etc/fstab, и в файле /etc/fstab.pdac. Для файла  /etc/fstab.pdac применяются регулярные выражения. Пример команд для монтирования устройства от имени непривилегированного пользователя с использованием файла /etc/fstab.pdac:

    1. Создать каталог для монтирования:

      Command
      mkdir /run/user/`id -u`/media/tmp

      Вместо команды

      Command
      id  -u

      автоматически подставляется числовой идентификатор текущего пользователя. Цель (каталог монтирования) при этом должна соответствовать каталогу, указанному для таких устройств в файле /etc/fstab.pdac (см. далее раздел Определение параметров полуавтоматического монтирования в файле /etc/fstab.pdac);

    2. Примонтировать устройство, действуя от имени непривилегированного пользователя:

      Command

      mount /dev/sda /run/user/`id -u`/media/tmp


    Если в команде mount указан только один аргумент, то производится попытка найти такую запись в конфигурационном файле /etc/fstab и получить из этой записи второй аргумент. Поиск в файле /etc/fstab выполняется по точному соответствию (регулярные выражения  не применяются).

    Монтирование с помощью команды udisksctl (пакет udisks2)

    Команда монтирования udisksctl в отличие от команды mount доступна непривилегированным пользователям. Команда использует только один аргумент - источник, а правила именования цели (точки монтирования) зафиксированы в системной службе udisks2.service. По умолчанию монтирование осуществляется в каталог:

    Блок кода
    /media/<имя_пользователя>/<UUID_ФС>

    Из командной строки монтирование может выполняться командой:

    Command
    udisksctl mount -b /dev/<имя_носителя>

    Размонтирование:

    Command
    udisksctl unmount -b /dev/<имя_носителя>

    Право выполнять операцию монтирования с помощью команды udisksctl контролируется с помощью правила /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla. Это правило создается при установке Astra Linux Special Edition и, в зависимости от используемого обновления:

    • в Astra Linux Special Edition x.7 с установленными оперативными обновлениями запрещает такие операции;
    • в Astra Linux Special Edition x.7 без установленных оперативных обновлений требует ввести пароля администратора для выполнения монтирования, и может быть удалено/восстановлено командами sudo astra-mount-lock disable/sudo astra-mount-lock enable;
    • в Astra Linux Special Edition 1.6 без установленных оперативных обновлений требует ввести пароля администратора для выполнения монтирования;
    • в Astra Linux Common Edition правило /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla отсутствует, то есть операция разрешена всем пользователям без запроса пароля.

    Монтирование с помощью графических инструментов fly-wm (полуавтоматическое монтирование)

    В состав Astra Linux входят следующие графических инструменты для выполнения монтирования:

    • графический файловый менеджер fly-fm;
    • графический инструмент fly-reflex-service (всплывающее окно, иконка в трее).

    Графические инструменты используют команду mount. Далее по тексту монтирование с помощью графический инструментов обозначается термином "полуавтоматическое монтирование".

    Якорь
    fatsb.pdac
    fatsb.pdac
    Определение параметров полуавтоматического монтирования в файле /etc/fstab.pdac

    При выполнении монтирования с помощью модифицированной команды mount порядок монтирования определяется правилами, хранящимися

    записи в файле /etc/fstab и в каталоге /etc/fstab.d/, определяющие порядок монтирования съёмных носителей, отсутствуют.
    При этом порядок монтирования съёмных носителей определяется записями

    в файле /etc/fstab.pdac. Монтирование выполняется в каталоги вида:

    Блок кода
    /run/user/<числовой_идентификатор_пользователя>/media/<серийный_номер_устройства>

    Содержимое файла /etc/fstab.pdac по умолчанию:

    Информация

    # /etc/fstab.pdac: parsec devices access control mount instructions
    #
    #<file system>          <mount point>           <type>          <options>                                                       <dump>  <pass>

    ### usb flash
    /dev/*fat               /run/user/*/media/*     auto            owner,group,noauto,nodev,noexec,iocharset=utf8,defaults         0       0
    /dev/*ntfs*             /run/user/*/media/*     auto            owner,group,noauto,nodev,noexec,iocharset=utf8,defaults         0       0
    /dev/sd*ext*            /run/user/*/media/*     auto            owner,group,nodev,noexec,noauto,defaults                        0       0

    ### [cd|dvd|bd]rom
    /dev/s*udf              /run/user/*/media/*     udf             owner,group,nodev,noexec,noauto,defaults                        0       0
    /dev/s*iso9660          /run/user/*/media/*     iso9660         owner,group,nodev,noexec,noauto,defaults                        0       0

    ### other
    /dev/sd*                /run/user/*/media/*     auto            owner,group,nodev,noexec,noauto,iocharset=utf8,defaults         0       0

    Эти

    эти правила:

        • для
    • учтённых
        • дисковых разделов учтенных носителей (все правила, кроме последнего):
          • разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex
    • в соответствии с правилами учёта
          • .

          • Правила включаются в работу по мере
    • появления
          • подключения зарегистрированных носителей;
        • для
    • неучтённых
        • дисковых разделов неучтенных носителей (последнее правило /dev/sd*):
          • для неучтенных носителей с ФС vfat и ntfs: разрешают и полностью поддерживают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex

    • носителей vfat и ntfs
          • ;

    • не обеспечивают полуавтоматическое монтирование носителей ext{2,3,4}
      (
          • для неучтенных носителей с ФС ext2, ext3, ext4, xfs: не поддерживают полуавтоматическое монтирование дисковых разделов с ext2, ext3, ext4, xfs:
            Так как правило содержит параметр iocharset, необходимый для корректного монтирования

    • носителей
          • дисковых разделов с файловой системой vfat, безразличный для

    • носителей
          • дисковых разделов с файловой системой ntfs, и не поддерживаемый

    • носителями ext{2,3,4}).
      При этом при обнаружении любого носителя
          • при монтировании дисковых разделов с файловыми системами ext2, ext3, ext4, xfs.  При обнаружении дискового раздела с файловой системой ext2, ext3, ext4,xfs запрос на полуавтоматическое монтирование

    • выдаётся
          • выдается, однако попытка монтирования

    • ext{2,3,4}
          • завершается ошибкой

    • и неудачей.

    При этом:

          • ;

          • для неучтенных носителей с ФС iso9660 (оптических дисков) для того, чтобы

    • пользователь мог монтировать неучтённые накопители, он должен быть добавлен в группу floppy. Монтирование при этом будет выполняться в соответствии с правилами, заданными в файле
          • пользователи могли выполнять их полуавтоматическое монтирование следует в файл /etc/fstab.pdac добавить строку:

            Блок кода
            /dev/sr*                /run/user/*/media/*     iso9660,udf     user,noauto             0       0


          • для монтирования носителей NVME следует использовать таблицу монтирования /etc/fstab. Для полуавтоматического монтирования таких носителей в файл /etc/fstab.pdac

    • . Добавить пользователя в группу floppy можно командой:
      Command
      sudo usermod -a -G floppy имя_пользователя
    • пользователь с правами администратора автоматически добавлен в группу floppy и может в ручном режиме монтировать любые носители (включая ext{2,3,4}) с помощью команды mount, действуя от имени суперпользователя (sudo)

    Переход на использование неучтённых съёмных носителей ext{2,3,4} и ntfs

          • добавить строку вида:

            Блок кода
            /dev/nvme*                /run/user/*/media/*     <параметры>     user,noauto             0       0

            где параметры указать в соответствии с файловой системой носителя.

    Пользователь с правами администратора действуя от имени суперпользователя (sudo) может монтировать любые дисковые разделы (включая дисковые разделы с файловыми системами ext2, ext3, ext4, xfs) с помощью команды mount с применением sudo.

    Astra Linux Special Edition: переход на использование дисковых разделов ext2, ext3, ext4,xfs на неучтенных носителях

    Как указано выше, в Astra Linux Special Edition правило подключения неучтенных съемных Как указано выше, правило подключения неучтённых съёмных носителей в файле /etc/fstab.pdac, используемое "по умолчанию", несовместимо с использованием носителей  ext{2,3,4}.дисковых разделов с файловыми системами ext2, ext3, ext4, xfs. Для того, чтобы можно было использовать носители ext{2,3,4} в режиме полуавтоматического подключения, полуавтоматическое подключение таких дисковых разделов, из соответствующего правила следует исключить параметр iocharset, приведя правило к следующему виду:

    Информация
    /dev/sd*                /run/user/*/media/*     auto            owner,group,nodev,noexec,noauto         0       0

    При этом в полуавтоматическом режиме носители vfat будут подключаться полуавтоматическое монтирование дисковых разделов с файловой системой vfat будет выполняться с неверно определяемой кодировкой, что не позволит корректно отображать и использовать русские названия файловых объектов, использующие кириллицу.
    На монтирование носителей и работу дисковых разделов с файловой системой ntfs указанное изменение правила не влияет, они монтируются монтирование выполняется правильно как при наличии, так и при отсутствии параметра iocharset.

    Данные с ненулевыми метками безопасности на

    неучтённых съёмных носителяхПринадлежность пользователя к группе floppy позволяет этому пользователю монтировать любые неучтённые USB-носители, и работать с ними по общим правилам мандатного разграничения доступа.

    неучтенных съемных носителях

    С учетом того, что информация о владельцах и правах доступа (дискреционное управление доступом) и метка безопасности (мандатное управление доступом) файлового объекта может могут сохраняться только на носителях ext{2,3,4}дисковых разделах с файловой системой ext2, ext3, ext4, xfs, а для  всех остальных носителей (vfat, ntfs) метка безопасности не сохраняется:

    • При при работе с неучтёнными носителями ext{2,3,4} дисковыми разделами ext2, ext3, ext4, xfs на неучтенных носителях пользователь может или не может читать, изменять, создавать файловые объекты в соответствии правилами дискреционного доступа и с правилами мандатного разграничения доступа;
    • Работать работать с неучтёнными носителями дисковыми разделами vfat и ntfs на неучтенных носителях могут только пользователи с нулевой меткой безопасности. Пользователям, работающих с ненулевыми метками безопасности, монтирование таких носителей дисковых разделов запрещено;

    Учтённые съёмные носители

    Подробная информация: Смоленск 1.6: Порядок работы с конфиденциальной информацией на учтённых USB носителях

    Принадлежность пользователя к группе floppy позволяет этому пользователю монтировать любые неучтённые USB-носители, и работать с ними по общим правилам мандатного разграничения доступа.

    Альтернативным  механизм разграничения доступа к носителям - механизм учёта носителей - позволят ограничить доступ к носителю, разрешив монтировать это носитель только пользователю, для которого этот носитель учтён.
    При этом учтённые носители не разрешено монтировать и пользователям, входящим в группу floppy, если эти носители не учтены для пользователя, выполняющего монтирование.
    Таким образом, пользователь, входящий в группу floppy, может монтировать любые носители, кроме учтённых не для него.
    Если пользователя исключить из группы floppy, то он потеряет возможность монтировать неучтённые носители, и у него останется только возможность монтировать только учтённые для него носители.

    Информация

    Исключить пользователя из группы floppy можно командой:

    Command
    gpasswd -d username floppy
    Учтённые носители, поддерживающие сохранение меток безопасности (ext{2,3,4}), так как для находящихся на них файловых объектов действуют общие правила мандатного разграничения доступа,

    Якорь
    USN
    USN
    Учтенные съемные носители

    Предупреждение

    Данный раздел неприменим к:

    • Astra Linux Common Edition;
    • Astra Linux Special Edition x.7 без установленных оперативных обновлений или с установленным оперативным обновлением x.7.1 (БЮЛЛЕТЕНЬ № 2021-0915SE17MD или БЮЛЛЕТЕНЬ № 2021-0915SE47MD) при работе на базовом или усиленном уровне защиты;

    В Astra Linux Special Edition 1.7 с установленным обновлением БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2) и выше работа с классификационными метками для учтенных съемных носителей поддерживается только на максимальном уровне защиты.

    Механизм учета носителей (дисковых разделов) позволяет ограничить доступ к данным, разрешив монтировать дисковые разделы только пользователю, для которого носитель (дисковый раздел) учтен.

    Правила учета носителей в равной мере применимы и к носителям и к дисковым разделам. При этом правила учета могут быть заданы отдельно для носителя и для находящихся на нем дисковых разделов (не рекомендуется). Если на носителе находится несколько дисковых разделов, то:

    • если учтен только носитель (например, носитель зарегистрирован по серийному номеру устройства без использования иных атрибутов), то правила учета равно применимы ко всем дисковым разделам на этом носителе;
    • если учтены дисковые разделы (например, дисковый раздел зарегистрирован по серийному номеру устройства и UUID дискового раздела), то правила учета применимы индивидуально к этому дисковому разделу.

      Предупреждение

      Во избежание конфликтов правил учета рекомендуется при учете устройств использовать принцип "одно устройство — один дисковый раздел", учитывая только физические устройства. Далее:

      • подразумевается, что носитель и единственный находящийся на этом носителе дисковый раздел учтены одинаково;
      • термины "носитель" и "дисковых раздел" взаимозаменяемы;
      • для краткости используется термин "носитель".


    Для носителей, файловые системы которых поддерживают сохранение меток управления доступом (файловые системы ext2, ext3, ext4, а также xfs в Astra Linux x.7), действуют общие правила дискреционного и мандатного разграничения доступа. Такие дисковые носители могут монтироваться пользователем, имеющим любую метку безопасности, независимо от не ниже метки безопасности, присвоенной при учёте учете этого носителя.

    Дополнительным эффектом учета носителей является возможность ввести мандатное разграничение доступа для носителей, не поддерживающих сохранение меток безопасности (носители с файловыми системами vfat, ntfs).
    При этом:

    • метка безопасности, с которой учтен носитель, фактически становится единой для всех файловых объектов, находящихся на учтённом  носителе;
    • монтирование такого носителя разрешается:
      • только пользователю, для которого этот носитель учтёнучтен;
      • и при условии, что метка безопасности сессии пользователя равна метке безопасности, присвоенной носителю при его учёте.

    Некоторые нюансы учёта съёмных носителей и дисковых разделов на этих носителях

    Итого (в таблице для обозначения возможности полуавтоматического монтирования применяется сокращение ПАМ ):

    Неучтенный носительУчтенный
    для пользователя носитель
    Учтенный
    для другого пользователя носитель
    ext2/ext3/ext4/xfsvfat/ntfsext2/ext3/ext4/xfsvfatntfsext2/ext3/ext4/xfs/vfat/ntfs
    ПАМ

    ПАМ только при
    нулевой метке безопасности
    сессии пользователя
    ПАМ

    ПАМ
    при условии, что:
    метка безопасности
    сессии пользователя равна
    метке безопасности,
    присвоенной носителю при его учете

    ПАМ
    только при
    нулевой метке безопасности
    сессии пользователя
    Нельзя монтировать


    Съемные носители с несколькими дисковыми разделами

    По умолчанию учёт съёмных носителей осуществляется по серийному номеру физического носителя (USB-накопителя).

    В ситуации, когда на носителе находится несколько дисковых разделов, монтирование этих разделов подчиняется указанным выше правилам для носителей:

    • разделы ext{2,3,4} дисковые разделы с файловыми системами ext2, ext3, ext4, xfs могут монтироваться пользователем, имеющим любую метку безопасности;
    • дисковые разделы с файловыми системами vfat и ntfs могут монтироваться только пользователем, имеющим метку равную метке, присвоенной при учете физическому носителю.

    При необходимости, Если это допускается действующими требованиями безопасности, то можно вручную ввести дополнительные правила, учитывающие параметры дисковых разделов, что позволит дифференцировать мандатные права доступа на уровне дисковых разделов.  Однако делать это не рекомендуется, так как параметры дисковых разделов, в отличие от серийного номера физического устройства, слишком легко поддаются фальсификации.

    Регистрация учтенных носителей

    Предупреждение
    На компьютерах, работающих с учтенными носителями, использование нештатных сценариев обработки событий, происходящих с устройствами (событий udev) допустимо только в рамках действующих правил безопасности.

    Регистрация учтенных носителей выполняется:

    • для локального компьютера - с помощью инструмента fly-admin-smc ("Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Устройства и правила" - "Устройства");
    • для доменных компьютеров в доменах ALD - с помощью инструмента "Доменная политика безопасности" ("Пуск" - "Панель управления" - "Сеть" - "Доменная политика безопасности" - "Устройства и правила" - "Устройства");
    • для доменных компьютеров в доменах FreeIPA - с помощью web-интерфейса FreeIPA ("Политики" - "Политика Parsec" - "Учтенные устройства", подробнее см. Особенности применения съемных носителей при работе с FreeIPA).

    Далее рассматривается процедура регистрации учтенного носителя для локального компьютера. Процедура регистрации для доменов ALD в целом аналогична процедуре для локального компьютера.

    Для регистрации учтенного носителя:

    1. Запустить инструмент fly-admin-smc:
      Image Added

      Информация

      В разделе меню "Устройства и правила" — "Устройства" в секции "Свойства" задаются идентификационные параметры со значениями для устройства. По этим параметрам устройства идентифицируются, и при несовпадении какого-то из заданного правил идентификации - устройство будет отнесено к незарегистрированному. Пример такого параметра — серийный номер устройства.
      В разделе меню "Устройства и правила" — "Правила" создаются идентификационные правила, позволяющие настроить определяющие параметры для групп устройств. Такие правила являются "шаблонными" или заготовками, которые можно добавлять при необходимости к правилам для зарегистрированных устройств ("Устройства и правила" — "Устройства" — вкладка на рабочей панели "Правила).



    2. Перейти в "Устройства и правила" - "Устройства":
      Image Added

    3. Если регистрируемый носитель уже подключен к компьютеру, то отключить носитель;

    4. Выбрать добавление устройства (иконка с символом "+" в строке иконок или горячая клавиша Ctrl+N):
      Image Added

    5. Подключить носитель к компьютеру:
      Image Added

    6. Выбрать регистрируемое устройство или регистрируемый дисковый раздел. Отображение списка дисковых разделов зависит от того, как отформатирован носитель. Для использованного при написании статьи носителя список дисковых разделов не отображается:
      Image Added

    7. После выбора носителя нажать кнопку "Да", после чего будет отображена форма данных о носителе:
      Image Added
    8. В форме данных:
      1. Закладка "Общие":
        1. Выбрать наименование носителя (произвольное имя для удобства идентификации);
        2. Выбрать пользователя и группу, для которых регистрируется носитель;
        3. Установить права доступа для пользователя, группы и всех остальных пользователей;
        4. Задать правила идентификации носителя. По умолчанию предлагается идентификация по серийному номеру (параметр окружения (ENV) ID_SERIAL). Серийный номер определяется автоматически;
      2. Перейти в закладку "МРД" и установить параметры конфиденциальности для регистрируемого устройства.:
        Image Added

      3. Перейти в закладку "Аудит" и установить параметры аудита для регистрируемого устройства:
        Image Added

      4. Перейти в закладку "Правила" и указать дополнительные правила, применяемые для устройства (описание работы с правилами см. ниже);


      5. Завершить регистрацию, сохранив введенные данные. Носитель можно отключить от компьютера.

    Предупреждение
    Каждый учтенный носитель должен иметь только одно правило учета. Если для устройства создано несколько записей регистрации, то результаты обработки таких правил не определены.


    Предупреждение
    Созданные правила учета носителей начинают действовать после входа пользователя, для которого учтен носитель, в сессию.

    Использование учтенных USB носителей

    При работе в пользовательской сессии подключение носителей контролируется Astra Linux и при подключении носителя пользователю выдается сообщение-подсказка с возможностью выбора действий с носителем:

    Image Added

    Если подключенный носитель учтен для пользователя, то пользователь может "Подключить" (примонтировать) устройство (полуавтоматическое монтирование). При полуавтоматическом монтировании:

    • устройства монтируются в автоматически создаваемые подкаталоги (точки монтирования) каталога /run/user/<UID>/media, где UID - числовой идентификатор пользователя (для текущего пользователя UID может быть получен командой id -u);
    • в названиях точек монтирования используются числовые UUID монтируемых ФС, дополненные префиксом "by-uuid-", например:

      Command
      Titlepdp-ls -lM /run/user/`id -u`/media
      итого 12
      drwxrwxrwx---  1 macuser macuser Уровень_0:Низкий:Нет:0x0 by-uuid-70F46A0B5A206A1A
      drwxr-xr-x---  3 macuser macuser Уровень_0:Низкий:Нет:0x0 by-uuid-94c8364e-f482-4144-acd9-550208d7a977
      drwxr-xr-xm--  2 macuser macuser Уровень_3:Низкий:Нет:0x0 by-uuid-DCDD-DECE


    • монтирование дисковых разделов с файловой системой ext2/ext3/ext4/xfs выполняется:
    • монтирование дисковых разделов с файловой системой vfat выполняется:
      • c именем и группой пользователя, для которого учтено устройство;
      • с уровнем конфиденциальности, на котором учтено устройство;
    • монтирование дисковых разделов с файловой системой ntfs выполняется:
      • c именем и группой пользователя, для которого учтено устройство;
      • только на нулевом уровне конфиденциальности;
    • монтирование дисковых разделов iso9660/udf:
      • только для чтения;
      • с именем и группой root;
      • с уровнем конфиденциальности, на котором учтено устройство;


    Якорь
    ext4prepare
    ext4prepare
    Сценарий подготовки носителей с файловой системой ext4 к учету

    Для размещения конфиденциальной информации носитель должен получить соответствующие атрибуты и на носителе должна быть подготовлена соответствующая структура каталогов.

    Учтенному носителю с файловой системой ext4 в обязательно порядке должны быть присвоены следующие атрибуты:

    • пользователь-владелец и группа-владелец (пользователь и группа, для которых учтен носитель);
    • классификационная метка, с которой учтен носитель;

    Сделать это можно следующими командами:

    • создать подкаталог для монтирования в каталоге с высоким уровнем конфиденциальности и атрибутом ccnr, Например, в каталоге /run:

      Command

      sudo mkdir /run/media


    • примонтировать носитель (дисковый раздел) в созданный каталог. Например, для дискового раздела /dev/sda1:

      Command
      sudo mount /dev/sda1 /run/media


    • установить на каталог классификационную метку, равную метке с которой учтено  устройство. Например, установить иерархический уровень конфиденциальности 3:

      Command
      sudo pdpl-file 3 /run/media


    • если на носителе предполагается хранить информацию с разными уровнями конфиденциальности, то создать структуру каталогов для хранения такой информации (см. далее возможный сценарий);

    • установить для каталога владельца и группу, для которых учтено устройство:

      Command
      sudo chown -R <имя_пользователя>:<имя_группы>  /run/media


    • отмонтировать устройство:

      Command
      sudo umount  /run/media


    Для подготовки структуры каталогов, обеспечивающей хранение разноуровневой информации, можно использовать следующий сценарий (задав значения переменных USERNAME (имя пользователя, для которого учитывается устройство) и DEVICE (имя учитываемого устройства) и задав список уровней конфиденциальности LEVELS):

    Предупреждение
    При применении представленного далее сценария носитель будет отформатирован с потерей всех хранящихся данных


    Блок кода
    languagebash
    #!/bin/bash
    USERNAME="macuser"
    DEVICE="/dev/sdc1"
    LEVELS=( 0 1 2 3 )
    
    dir=`mktemp -d -p /run`
    mkfs.ext4 $DEVICE
    mount $DEVICE "$dir"
    pdpl-file ${LEVELS[-1]}:0:-1:ccnr "$dir"
    for level in ${LEVELS[@]} ; do
            mkdir "$dir/$level"
            pdpl-file "$level":0:0:0 "$dir/$level"
    done
    chown -R ${USERNAME}:${USERNAME} "$dir"
    ls -la "$dir"
    pdp-ls -M "$dir"
    umount "$dir"
    rmdir "$dir"

    Запрет полуавтоматического монтирования непривилегированными пользователями

    Для запрета выполнения полуавтоматического монтирования непривилегированными пользователями следует использовать входящий в состав пакета astra-safepolicy (см. Инструменты командной строки astra-safepolicy) инструмент astra-mount-lock.
    Для включения запрета выполнить команду:

    Command
    sudo astra-mount-lock enable

    Для выключения запрета выполнить команду:

    Command
    sudo astra-mount-lock disable