Описание: обеспечение доступа к смарт-картам через службу PC/SC (фоновая служба).

Назначение:  Служба PC/SC используется для динамического подключения/отключения драйверов считывателей смарт-карт «на лету» и управления соединениями со считывателями.

Глобальные настройки

Для обеспечения возможности работы службы pcscd с ненулевой меткой безопасности

сокету pcscd.socket

необходимо добавить привилегию PARSEC_CAP_PRIV_SOCK (см. Привилегии PARSEC). Для этого

:

1. Выполнить команду:

   Command
   sudo systemctl edit pcscd.socket

1. 
   

2. В открывшемся текстовом редакторе указать следующий текст:

   Блок кода
   [Socket]

1. CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

1. 
   

2. Сохранить изменения;

3. Перезапустить сокет:

   Command
   sudo systemctl restart pcscd.socket

   
   

После

перезапуска сокета pcscd.socket убедиться, что

ему присвоен атрибут ehole. Для этого

использовать команду:

sudo pdp-ls -Ma /var/run/pcscd/pcscd.comm

Пример вывода команды:

srw-rw-rw-m-- 1 root root Уровень_0:Низкий:Нет:ehole /var/run/pcscd/pcscd.comm

Проверка

Для проверки

обратиться к токену из процесса с ненулевой

классификационной меткой. Для обращения к токену можно использовать команду  opensc-explorer.

В Astra Linux Special Edition x.7 выполнить команду с ненулевой классификационной меткой можно с помощью команды pdp-exec:

В более ранних очередных обновлениях команду opensc-explorer следует выполнить в пользовательской сессии с ненулевой классификационной меткой.

В случае успеха

Opensc explorer сообщит, что обратился к слоту с токеном:

root@smolensk: # opensc-explorer 
OpenSC Explorer version 0.16.0
Using reader with a card: Aktiv Rutoken ECP 00 00
OpenSC [3F00]>

Запуск с определенным уровнем конфиденциальности 

Для запуска службы pcscd с определенной ненулевой классификационной меткой

следует назначить службе эту метку. Для этого

:

1. Выполнить команду:

   Command
   sudo systemctl edit pcscd.service

1. 
   

2. В открывшемся текстовом редакторе указать имя секции [Service] и нужную метку, например, для задания метки иерархическим уровнем конфиденциальности равным единице:

   Блок кода

1. [Service]

1. PDPLabel=1:63:0

1. 
   

   Информация
   title Формат метки:
   PDPLabel=<Уровень>:<Уровень целостности>:<Категории> Формат метки PDPLabel аналогичен принятому в системе PARSEC за исключением поля типа - метки.

1. 
   

2. Сохранить изменения;
   
   

3. Перезапустить службу:

   Command
   sudo systemctl restart pcscd.service