Оглавление |
---|
Информация | ||
---|---|---|
|
- ОС СН Смоленск 1.6 (начиная с обновления безопасности № 20200327SE16 и выше)
Для более ранних обновлений Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) см. статью |
Создание глобального правила регистрации отчуждаемых носителей
Создание глобального правилаРегистрация отчуждаемых носителей в домене FreeIPA осуществляется из web-интерфейса управления контроллера домена , путем создания глобальных правил для носителей. Для регистрации носителя необходимо открыть :
- Открыть web-интерфейс управления доменом
- ;
- Выбрать раздел "Политика" → "Политика PARSEC"
- ;
- Выбрать в выпадающем списке "Registerd device":
- Задать имя регистрируемого носителя, а также права доступа для пользователя и группы:
- Значение параметра "Device attributes" необходимо скопировать из графической утилиты "Политика безопасности". Для этого выполнить следующие действия:
- Запустить утилиту "Политика безопасности": "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности".
Предупреждение о том, что компьютер находится под управлением домена можно игнорировать; - Выбрать раздел "Устройства и правила" → "Устройства", затем нажать кнопку добавления устройства и следовать подсказкам мастера:
При запросе мастера подключить устройство и выбрать
- Запустить утилиту "Политика безопасности": "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности".
появившееся устройство:
Скопировать значение правила в поле "Device attributes" в web-интерфейсе управления доменом.
Выставить чек-бокс "Device is ON" и сохранить правило.Примечание Обращаем внимание, что необходимо прервать создание локального правила в "Политика безопасности" (fly-admin-smc) без сохранения изменений.
- Скопировать значение правила определения устройства:
- Перейти в web-интерфейс FreeIPA и вставить скопированное правило определения устройства:
- Выставить чек-бокс "Device is ON" и сохранить правило.
Предупреждение |
---|
После создания правил перед проверкой работоспособности правил , в обязательном порядке необходимо осуществить извлечение накопителя перед проверкой работоспособности правилизвлечь накопителя. |
Подготовка носителей для работы
в ненулевой сессии пользователяИнформация |
---|
Обращаем внимание, что работа накопителей в мандатном контексте с несколькими различными классификационными метками возможна лишь с файловыми системами поддерживающими расширенные файловые атрибуты. Для USB-носителей это файловые системы Ext*Ext2/Ext3/Ext4 (для Astra Linux Special Edition x.7 также файловая система xfs) . Подробную информацию по применению носителей с другими файловыми системами (NTFS, VFAT, ) см. Съемные носители в ОС Astra Linux. |
Сценарий
подготовкиподготовки USB носителей Ext4/XFS для работы
на нескольких уровнях конфиденциальностиc несколькими различными классификационными метками
Для подготовки USB-носителя с файловой системой ext4 к работе на нескольких уровнях с несколькими различными классификационными метками можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE и по необходимости откорректировав классификационные метки, присваиваемые каталогам):
Блок кода | ||
---|---|---|
| ||
#!/bin/bash USERNAME="user" DEVICE="/dev/sdc1" mkfs.ext4 $DEVICE mkdir -p /media/usb mount $DEVICE /media/usb #multilevel pdpl-file 3:0:-1:ccnr /media/usb/ mkdir /media/usb/{0,1,2,3} pdpl-file 0:0:0:0 /media/usb/0 pdpl-file 1:0:0:0 /media/usb/1 pdpl-file 2:0:0:0 /media/usb/2 pdpl-file 3:0:0:0 /media/usb/3 chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3} ls -la /media/usb/ pdp-ls -M /media/usb/ umount /media/usb |
Сделать скрипт сценарий исполняемым выполнив команду:
Блок кода |
---|
$ sudo chmod +x multilevel.sh |
Создать глобальные правила в web-интерфейсе управления доменом для каждого из созданных уровней:
Сценарий подготовки USB носителей
ext4Ext4/XFS для работы на одном уровне конфиденциальности
Для подготовки USB-носителя с файловой системой Ext4 для работы на одном (например, 2-м) уровне, можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE и откорректировав классификационную метку, присваиваемую устройству):
Блок кода | ||
---|---|---|
| ||
#!/bin/bash USERNAME="user" DEVICE="/dev/sdc1" mkfs.ext4 $DEVICE mkdir -p /media/usb mount $DEVICE /media/usb #one level pdpl-file 2:0:0:0 /media/usb/ chown -R ${USERNAME}:${USERNAME} /media/usb/ ls -la /media/usb/ pdp-ls -M /media/usb/ umount /media/usb |
Сделать скрипт сценарий исполняемым выполнив команду:
Блок кода |
---|
$ sudo chmod +x multilevelsinglelevel.sh |
Создать глобальные правила в web-интерфейсе управления доменом для необходимого уровня по методике описанной ранее.