Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Warning
Эта статья устарела. Актуальную версию см. Съемные носители в Astra Linux.

Table of Contents


Info
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)



Создание правила для USB-носителя

Warning

При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.


Warning

Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.

Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.

Warning
В более поздних версиях Astra Linux группа fuse не используется. Порядок работы с конфиденциальной информацией на USB-носителях для этих версий см

...

. в статье Съемные носители в Astra Linux.



Мандатное разграничение доступа возможно только на файловых системах, поддерживающих расширенные атрибуты. Для USB-носителей это файловые системы Ext2/Ext3/Ext4.

Для создания правила и разграничения доступа к носителю запустить fly-admin-smc (Политика безопасности), открыть закладку "Доступ к устройствам", ЛКМ "Устройства и Правила" и ЛКМ "+" ("Создать" в верхней панели").

После появления окна подключения и информации подключить заранее созданный носитель (см. ниже). После определения устройства нажать на название носителя (пример на снимке 1)

Снимок 1.

Image Modified

В свойствах устройства выставить флаг в чек-бокс "Включено", ввести имя носителя в поле "Наименование" (снимок 2)


Снимок 2.

Image Modified

Перейти в закладку "Общие", выставить флаги (разграничить доступ) в чек-боксах владельца, группы и остальных, выставить в выпадающих меню пользователя и группу (снимок 3)


Снимок 3.

Image Modified

Нажать "Применить" (зеленая галочка на панели инструментов)


Warning

Для того, чтобы изменения ограничений мандатного доступа вступили в силу,  следует переподключить носитель.
Для того, чтобы можно было получить доступ к носителю после перезагрузки компьютера следует переподключить носитель.

Дискреционная настройка носителя

Для корректного монтирования EXT-раздела в ОС Astra Linux необходимо изменить владельца носителя, права доступа и ACL.

...

Для этого

...

требуется смонтировать носитель и поменять владельца.

...

Порядок действий:

  1. Создать временный каталог:

    Command
    mkdir /tmp/ext

...


  1. Примонтировать раздел носителя:

    Command
    mount /dev/sdb3 /tmp/ext/

...


  1. Изменить владельца (пользователь.группа):

    Command
    chown

...

  1. <имя_владельца>.<имя_группы_владельца> /tmp/ext/

...


  1. Назначить права доступа:

    Command
    chmod 770 /tmp/ext/

...


  1. Отмонтировать носитель:

    Command
    umount /dev/sdb3



Создание правил для

...

многоуровневого флеш-накопителя

  1. Создать на накопителе несколько Ext2 разделов

...

  1. ;
  2. Задать метки разделам(Label), например: ns, dsp, sec, ss

...

  1. ;
  2. Зарегистрировать правило для каждого раздела, используя ID_SERIAL_SHORT и ID_FS_UUID, установить мандатный уровень, дискретные права пользователя и группы

...

  1. ;
  2. После регистрации правил установить дискретные права доступа на

...

  1. корневой каталог каждого раздела, как указано выше.