Информация | ||
---|---|---|
| ||
|
Создание правила для USB-носителя
Предупреждение |
---|
При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил. |
Предупреждение |
---|
Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп |
...
floppy и fuse. Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.
|
Мандатное разграничение доступа возможно только на файловых системах, поддерживающих расширенные атрибуты
...
. Для USB-носителей это
...
файловые системы Ext2/Ext3/Ext4.
Для создания правила и разграничения доступа к носителю запустить fly-admin-smc (Политика безопасности), открыть закладку "Доступ к устройствам", ЛКМ "Устройства и Правила" и ЛКМ "+" ("Создать" в верхней панели").
После появления окна подключения и информации подключить заранее созданный носитель (см. ниже). После определения устройства нажать на название носителя (пример на снимке 1)
Снимок 1.
В свойствах устройства выставить флаг в чек-бокс "Включено", ввести имя носителя в поле "Наименование" (снимок 2)
Снимок 2.
Перейти в закладку "Общие", выставить флаги (разграничить доступ) в чек-боксах владельца, группы и остальных, выставить в
...
выпадающих меню пользователя и группу (снимок 3)
Снимок 3.
Нажать "Применить" (зеленая галочка на панели инструментов)
...
Предупреждение |
---|
Для того, чтобы изменения ограничений мандатного доступа вступили в силу, следует переподключить носитель. |
Дискреционная настройка носителя
Для корректного монтирования EXT-раздела в ОС Astra Linux необходимо изменить владельца носителя, права доступа и ACL.
...
Для этого
...
требуется смонтировать носитель и поменять владельца.
...
Порядок действий:
Создать временный каталог:
Command mkdir /tmp/ext
...
Примонтировать раздел носителя:
Command mount /dev/sdb3 /tmp/ext/
...
Изменить владельца (пользователь.группа):
Command chown
...
<имя_владельца>.<имя_группы_владельца> /tmp/ext/
...
Назначить права доступа:
Command chmod 770 /tmp/ext/
...
Отмонтировать носитель:
Command umount /dev/sdb3
Создание правил для многоуровневого флеш-накопителя
- Создать на накопителе несколько Ext2 разделов;
- Задать метки разделам(Label), например: ns, dsp, sec, ss;
- Зарегистрировать правило для каждого раздела, используя ID_SERIAL_SHORT и ID_FS_UUID, установить мандатный уровень, дискретные права пользователя и группы;
- После регистрации правил установить дискретные права доступа на корневой каталог каждого раздела, как указано выше.