Информация |
---|
Актуальную версию статьи см. Съемные носители в Astra Linux |
Оглавление |
---|
Информация |
---|
Данная статья применима к:
|
Предупреждение |
---|
Принимая решение о допустимости хранения конфиденциальной информации на сменных носителях, следует помнить, что: наличие физического доступа к любому носителю информации позволяет прочитать с него всё, что там хранится, независимо от наличия и содержания мандатных меток Для предотвращения утечки информации следует в обязательном порядке
|
Предупреждение |
---|
При размещении конфиденциальной информации на твердотельных носителях (SSD, Flash) следует помнить, что в силу их технических особенностей гарантированное полное стирание с них информации НЕВОЗМОЖНО. Подробности см. Твердотельные накопители (SSD): особенности применения |
Поддерживаемые файловые системы
Информация |
---|
ext2/ext3/ext4 «В качестве файловых систем на носителях информации компьютеров с ОС (в том числе съемных машинных носителях информации) должны использоваться только файловые системы Ext2/Ext3/Ext4, поддерживающие расширенные (в т.ч. мандатные) атрибуты пользователей и обеспечивающие гарантированное уничтожение (стирание) информации» |
Предупреждение |
---|
При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил. |
Порядок учёта накопителей
Для учёта USB-накопителя для работы с конфиденциальной информацией нужно создать для этого накопителя правила доступа в графическом инструменте fly-admin-smc.
этого:
Для
...
Предупреждение |
---|
Для того, чтобы изменения ограничений мандатного доступа вступили в силу, следует переподключить носитель. |
Примечание |
---|
Для учтённых USB-накопителей с файловой системой vfat: работа на учтенном для данного пользователя USB-накопителе возможна только при входе пользователя на уровне конфиденциальности, назначенном администратором для данного накопителя с помощью инструмента fly-admin-smc . |
Примечание |
---|
Для учтенных USB-накопителей с файловой системой ext4: |
...
Все пользователи, для которых включается режим работы с конфиденциальной информацией на USB носителях обязательно должны быть исключены из группы floppy (Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)) и из группы fuse (ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)).
(при обработке конфиденциальной информации это должны быть все пользователи, кроме администраторов из группы astra-admin).
Исключить пользователя из группы floppy можно командой:
Command |
---|
gpasswd -d username floppy |
Сценарии для подготовки USB носителей ext4
Для подготовки USB носителя с файловой системой ext4 к работе на нескольких уровнях
можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):
Информация |
---|
#!/bin/bash USERNAME="user" DEVICE="/dev/sdc1" mkfs.ext4 $DEVICE mkdir -p /media/usb mount $DEVICE /media/usb #multilevel pdpl-file 3:0:-1:ccnr /media/usb/ mkdir /media/usb/{0,1,2,3} pdpl-file 0:0:0:0 /media/usb/0 pdpl-file 1:0:0:0 /media/usb/1 pdpl-file 2:0:0:0 /media/usb/2 pdpl-file 3:0:0:0 /media/usb/3 chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3} ls -la /media/usb/ pdp-ls -M /media/usb/ umount /media/usb |
Для подготовки USB носителя с файловой системой ext4 к работе для работы на единственном (например, втором)
уровне можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):
...