Справочный центр

Дерево страниц

Сравнение версий

Старая версия 5

changes.mady.by.user Алексей Осипов

Сохранено

по сравнению с

Новая версия 6

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleСтатья применима к:
  • ОС СН Смоленск 1.6 (начиная с  обновления безопасности № 20200327SE16 и выше)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5) и выше

Для более ранних обновлений Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) см. статью


Создание глобального правила регистрации отчуждаемых носителей

Создание глобального правила

Регистрация отчуждаемых носителей в домене FreeIPA осуществляется из web-интерфейса управления контроллера домена , путем создания глобальных правил для носителей. Для регистрации носителя необходимо открыть :

  1. Открыть web-интерфейс управления доменом
и выбрать
  1. ;
  2. Выбрать раздел "Политика" → "Политика PARSEC"
и выбрать
  1. ;
  2. Выбрать в выпадающем списке "Registerd device":
Image Removed
  1. Image Added
  2. Задать имя регистрируемого носителя, а также права доступа для пользователя и группы:
    Image Modified
  3. Значение параметра "Device attributes" необходимо скопировать из графической утилиты "Политика безопасности". Для этого выполнить следующие действия:
    1. Запустить утилиту "Политика безопасности": "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности".
      Предупреждение о том, что компьютер находится под управлением домена можно игнорировать;
    2. Выбрать раздел "Устройства и правила" → "Устройства", затем нажать кнопку добавления устройства и следовать подсказкам мастера:
      Image Modified

    3. При запросе мастера подключить устройство и выбрать

раздел

    1. появившееся устройство:
      Image Modified

Скопировать значение правила в поле "Device attributes" в web-интерфейсе управления доменом.

Выставить чек-бокс "Device is ON" и сохранить правило.

    1. Примечание

      Обращаем внимание, что необходимо прервать создание локального правила в  "Политика безопасности" (fly-admin-smc) без сохранения изменений.


    2. Скопировать значение правила определения устройства:
      Image Modified
    3. Перейти в web-интерфейс FreeIPA и вставить скопированное правило определения устройства:Image Modified
    4. Выставить чек-бокс "Device is ON" и сохранить правило.



Предупреждение

После создания правил перед проверкой работоспособности правил , в обязательном порядке необходимо осуществить извлечение накопителя перед проверкой работоспособности правилизвлечь накопителя.

Подготовка носителя

Подготовка носителей для работы

в ненулевой сессии пользователя

Информация

Обращаем внимание, что работа накопителей в мандатном контексте с несколькими различными классификационными метками возможна лишь с файловыми системами поддерживающими расширенные файловые атрибуты. Для USB-носителей это файловые системы Ext*Ext2/Ext3/Ext4 (для Astra Linux Special Edition x.7 также файловая система xfs) . Подробную информацию по применению носителей с другими файловыми системами (NTFS, VFAT, ) см. Съемные носители в ОС Astra Linux.

Сценарий

подготовки 

подготовки USB носителей Ext4/XFS для работы

на нескольких уровнях конфиденциальности

c несколькими различными классификационными метками

Для подготовки USB-носителя с файловой системой ext4 к работе на нескольких уровнях с несколькими различными классификационными метками можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE и по необходимости откорректировав классификационные метки, присваиваемые каталогам):

Блок кода
titlemultilevel.sh
#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#multilevel
pdpl-file 3:0:-1:ccnr /media/usb/
mkdir /media/usb/{0,1,2,3}
pdpl-file 0:0:0:0 /media/usb/0
pdpl-file 1:0:0:0 /media/usb/1
pdpl-file 2:0:0:0 /media/usb/2
pdpl-file 3:0:0:0 /media/usb/3
chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3}
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

Сделать скрипт сценарий исполняемым выполнив команду:

Блок кода
$ sudo chmod +x multilevel.sh

Создать глобальные правила в web-интерфейсе управления доменом для каждого из созданных уровней:

Сценарий подготовки  USB носителей

ext4

Ext4/XFS для работы на одном уровне конфиденциальности

Для подготовки USB-носителя с файловой системой Ext4 для работы на одном (например, 2-м) уровне, можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE и откорректировав классификационную метку, присваиваемую устройству):

Блок кода
titlesinglelevel.sh
#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#one level
pdpl-file 2:0:0:0 /media/usb/
chown -R ${USERNAME}:${USERNAME} /media/usb/
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

Сделать скрипт сценарий исполняемым выполнив команду:

Блок кода
$ sudo chmod +x multilevelsinglelevel.sh

Создать глобальные правила в web-интерфейсе управления доменом для необходимого уровня по методике описанной ранее.