Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
Astra Linux Special Edition РУСБ.10015-16 исп. 1
Astra Linux Special Edition РУСБ.10015-16 исп. 2
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Принимая решение о допустимости хранения конфиденциальной информации на сменных носителях, следует помнить, что
наличие физического доступа к любому носителю информации позволяет прочитать с него все, что хранится в накпителе, независимо от наличия и содержания меток безопасности
Для предотвращения утечки информации следует в обязательном порядке
- ограничить физический доступ к носителям,
- применять защитное преобразование хранящейся информации
При размещении конфиденциальной информации на твердотельных носителях (SSD, Flash) следует помнить, что в силу их технических особенностей гарантированное полное стирание с них информации НЕВОЗМОЖНО.
Подробности см. Твердотельные накопители (SSD): рекомендации по применению
Термины
- автоматическое монтирование:
- монтирование дисковых разделов при загрузке ОС или по команде mount -a в соответствии с правилами, заданными в файле /etc/fstab. Применение к учтенным носителям не допускается;
- монтирование дисковых разделов при подключении носителя в соответствии с правилами udev. Может быть настроено вручную. Применение к учтенным носителям не допускается;
- полуавтоматическое монтирование - монтирование дисковых разделов с помощь графического инструмента fly-admin-reflex (включает автоматическое обнаружение подключенного носителя, и выдачу пользователю графического запроса на монтирование обнаруженных на носителе дисковых разделов). Рекомендованный способ работы с учтенными носителями;
- монтирование - "ручное" монтирование дисковых разделов с помощью инструмента командной строки mount;
- носитель - физическое устройство, обычно съемный USB-накопитель, CD/DVD-диск или иное устройство;
- дисковый раздел - структура данных на носителе, содержащая файловую систему (файловые объекты). Но одном носителе может находиться несколько дисковых разделов;
- учтенный носитель - носитель информации, зарегистрированный в системе учета, и подготовленный для размещения на нем классифицированной информации;
- неучтенный носитель - любой носитель, не являющийся учтенным;
- метка безопасности, классификационная метка - см. Метка безопасности: структура и состав
Поддерживаемые файловые системы
«В качестве файловых систем на носителях информации компьютеров с ОС (в том числе съемных машинных носителях информации) должны использоваться только файловые системы Ext2/Ext3/Ext4, поддерживающие расширенные (в т.ч. мандатные) атрибуты пользователей и обеспечивающие гарантированное уничтожение (стирание) информации»
«Руководство по КСЗ, Часть 1» РУСБ.10015-01 97 01-1, 2020г., п. 17.3.1 «Условия применения ОС»
Astra Linux Special Edition поддерживает работу с конфиденциальной информацией на носителях со следующими файловыми системами:
- ext2/ext3/ext4;
- vfat;
- ntfs (поддерживается только полуавтоматическое монтирование в сессиях с нулевой класссификационной меткой);
- iso9660/udf;
Настройки по умолчанию
Настройки Astra Linux Special Edition, принятые по умолчанию:
- учтенные носители отсутствуют;
записи в таблице монтирования (файл /etc/fstab), определяющие порядок монтирования съемных носителей, отсутствуют. Порядок монтирования съемных носителей определяется правилами, хранящимися в файле /etc/fstab.pdac. Содержимое файла /etc/fstab.pdac по умолчанию:
# /etc/fstab.pdac: parsec devices access control mount instructions
#
#<file system> <mount point> <type> <options> <dump> <pass>
### usb flash
/dev/*fat /run/user/*/media/* auto owner,group,noauto,nodev,noexec,iocharset=utf8,defaults 0 0
/dev/*ntfs* /run/user/*/media/* auto owner,group,noauto,nodev,noexec,iocharset=utf8,defaults 0 0
/dev/sd*ext* /run/user/*/media/* auto owner,group,nodev,noexec,noauto,defaults 0 0
### [cd|dvd|bd]rom
/dev/s*udf /run/user/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0
/dev/s*iso9660 /run/user/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0
### other
/dev/sd* /run/user/*/media/* auto owner,group,nodev,noexec,noauto,iocharset=utf8,defaults 0 0
Эти правила:
- для учтенных носителей (все правила, кроме последнего):
- разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex. Правила включаются в работу по мере подключения зарегистрированных носителей;
- для неучтенных носителей (последнее правило /dev/sd*):
разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex неучтенных носителей vfat и ntfs;
не обеспечивают полуавтоматическое монтирование носителей ext{2,3,4}. Так как правило содержит параметр iocharset, необходимый для корректного монтирования носителей vfat, безразличный для носителей ntfs, и не поддерживаемый носителями ext{2,3,4}), при обнаружении носителя ext{2,3,4} запрос на полуавтоматическое монтирование выдается, однако попытка монтирования ext{2,3,4} завершается ошибкой и неудачей.
- для учтенных носителей (все правила, кроме последнего):
Для того, чтобы пользователь мог монтировать неучтенные накопители, он должен быть добавлен в группу floppy (или в Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.5 - в группу fuse).
Актуально для Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.5
Изменить участие пользователя в группах можно с помощью графического инструмента fly-admin-smc. При использовании командной строки:
Добавить пользователя в группу floppy можно командой:
sudo usermod -a -G floppy <имя_пользователя>
Удалить пользователя из группы floppy можно командой:
sudo gpasswd -d <имя_пользователя> floppy
Пользователь с правами администратора автоматически добавлен в группу floppy и может в ручном режиме монтировать любые носители (включая ext{2,3,4}) с помощью команды mount, действуя от имени суперпользователя (sudo).
Переход на использование неучтенных съемных носителей ext{2,3,4} и ntfs
Как указано выше, правило подключения неучтенных съемных носителей в файле /etc/fstab.pdac, используемое "по умолчанию", несовместимо с использованием носителей ext{2,3,4}.
Для того, чтобы можно было использовать носители ext{2,3,4} в режиме полуавтоматического подключения, из соответствующего правила следует исключить параметр iocharset, приведя правило к следующему виду:
/dev/sd* /run/user/*/media/* auto
owner,group,nodev,noexec,noauto 0
0
При этом в полуавтоматическом режиме носители vfat будут монтироваться с неверно определяемой кодировкой, что не позволит корректно отображать и использовать названия файловых объектов, использующие кириллицу.
На монтирование носителей ntfs указанное изменение правила не влияет, они монтируются правильно как при наличии, так и при отсутствии параметра iocharset.
Данные с ненулевыми метками безопасности на неучтенных съемных носителях
Принадлежность пользователя к группе floppy позволяет этому пользователю монтировать любые неучтенные USB-носители, и работать с ними по общим правилам мандатного разграничения доступа.
С учетом того, что метка безопасности файлового объекта может сохраняться только на носителях ext{2,3,4}, а для всех остальных носителей (vfat, ntfs) метка безопасности не сохраняется:
- При работе с неучтенными носителями ext{2,3,4} пользователь может или не может читать, изменять, создавать файловые объекты в соответствии с правилами мандатного разграничения доступа;
- Работать с неучтенными носителями vfat и ntfs могут только пользователи с нулевой меткой безопасности. Пользователям с ненулевыми метками безопасности монтирование таких носителей запрещено;
Учтенные съемные носители
Подробная информация: Порядок работы с конфиденциальной информацией на учтенных USB носителях
Механизм учета носителей позволяет ограничить доступ к носителю, разрешив монтировать это носитель только пользователю, для которого этот носитель учтён.
При этом учтенные носители не разрешено монтировать и пользователям, входящим в группу floppy, если эти носители не учтены для пользователя, выполняющего монтирование.
Таким образом, пользователь, входящий в группу floppy, может монтировать любые носители, кроме учтённых не для него (или, другими словами, монтировать любые неучтенные носители и носители, учтенные для него).
Если пользователя исключить из группы floppy, то он потеряет возможность монтировать неучтенные носители, и у него останется только возможность монтировать учтенные для него носители.
Для файловых объектов, находящихся на учтенных носителях, поддерживающих сохранение меток безопасности (ext{2,3,4}), действуют общие правила мандатного разграничения доступа. Такие носители могут монтироваться пользователем, имеющим любую метку безопасности, независимо от метки безопасности, присвоенной при учёте этого носителя.
Дополнительным эффектом учета носителей является возможность ввести мандатное разграничение доступа для носителей, не поддерживающих сохранение меток безопасности (носители с файловыми системами vfat, ntfs).
При этом:
- метка безопасности, с которой учтен носитель, фактически становится единой для всех файловых объектов, находящихся на учтённом носителе;
- монтирование такого носителя разрешается:
- только пользователю, для которого этот носитель учтен;
- при условии, что метка безопасности сессии пользователя равна метке безопасности, присвоенной носителю при его учёте.
Итого:
Пользователь | Неучтенный носитель | Учтенный для пользователя носитель | Учтенный для другого пользователя носитель | |||
---|---|---|---|---|---|---|
ext2/ext3/ext4 | vfat/ntfs | ext2/ext3/ext4 | vfat | ntfs | vfat/ntfs/ext2/ext3/ext4 | |
Входит в группу floppy (fuse) | Может монтировать | Может монтировать только при нулевой метке безопасности | Может монтировать | Может монтировать | Может монтировать только при нулевой метке безопасности | Не может монтировать |
Не входит в группу floppy (fuse) | Не может монтировать |
Cъемные носители с несколькими дисковыми разделами
В ситуации, когда на носителе находится несколько дисковых разделов, монтирование этих разделов подчиняется указанным выше правилам для носителей:
- дисковые разделы с файловыми системами ext{2,3,4} могут монтироваться пользователем, имеющим любую метку безопасности;
- дисковые разделы с файловыми системами vfat и ntfs могут монтироваться только пользователем, имеющим метку равную метке, присвоенной при учете физическому носителю.
При необходимости, можно вручную ввести дополнительные правила, учитывающие параметры дисковых разделов, что позволит дифференцировать мандатные права доступа на уровне дисковых разделов. Однако делать это не рекомендуется, так как параметры дисковых разделов, в отличие от серийного номера физического устройства, слишком легко поддаются фальсификации.
Регистрация учтенных носителей
Регистрация учтенных носителей выполняется:
- для локального компьютера - с помощью инструмента fly-admin-smc ("Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Устройства и правила" - "Устройства");
- для доменных компьютеров в доменах ALD - с помощью инструмента "Доменная политика безопасности" ("Пуск" - "Панель управления" - "Сеть" - "Доменная политика безопасности" - "Устройства и правила" - "Устройства");
- для доменных компьютеров в доменах FreeIPA - с помощью web-интерфеса FreeIPA.
Далее рассматривается процедура регистрации учтенного носителя для локального компьютера. Процедура регистрации для доменов ALD в целом аналогична процедуре для локального компьютера.
Для регистрации учтенного носителя:
- Запустить инструмент fly-admin-smc:
- Перейти в "Устройства и правила" - "Устройства":
- Если регистрируемый носитель уже подключен к компьютеру, то отключить носитель;
- Выбрать добавление устройства (иконка с символом "+" в строке иконок или горячая клавиша Ctrl+N):
- Подключить носитель к компьютеру:
- Выбрать регистрируемое устройство или регистрируемый дисковый раздел. Отображение списка дисковых разделов зависит от того, как отформатирован носитель. Для использованного при написании статьи носителя список дисковых разделов не отображается:
- После выбора носителя нажать кнопку "Да", после чего будет отображена форма данных о носителе:
- В форме данных:
- Закладка "Общие":
- Выбрать наименование носителя (произвольное имя для удобства идентификации);
- Выбрать пользователя и группу, для которых регистрируется носитель;
- Установить права доступа для пользователя, группы и всех остальных пользователей;
- Задать правила идентификации носителя. По умолчанию предлагается идентификация по серийному номеру (параметр окружения (ENV) ID_SERIAL). Серийный номер определяется автоматически;
- Перейти в закладку "МРД" и установить параметры конфиденциальности для регистрируемого устройства.:
- Перейти в закладку "Аудит" и установить параметры аудита для регистрируемого устройства:
- Перейти в закладку "Правила" и указать дополнительные правила, применяемые для устройства (описание работы с правилами см. ниже);
- Завершить регистрацию, сохранив введенные данные. Носитель можно отключить от компьютера.
- Закладка "Общие":
Использование учтенных USB носителей
При работе в пользовательской сессии подключение носителей контролируется Astra Linux и при подключении носителя пользователю выдается сообщение-подсказка с возможностью выбора действий с носителем:
Если подключенный носитель учтен для пользователя, то по пользователь может "Подключить" (примонтировать) устройство (полуавтоматическое монтирование). При полуавтоматическом монтировании:
- устройства монтируются в автоматически создаваемые подкаталоги (точки монтирования) каталога /run/user/<UID>/media, где UID - числовой идентификатор пользователя (для текущего пользователя может быть получен командой id -u);
в названиях точек монтирования используются числовые идентификаторы (UUID) монтируемых дисковых разделов, дополненные префиксом "by-uuid-", например:
pdp-ls -lM /run/user/`id -u`/mediaитого 12
drwxrwxrwx--- 1 macuser macuser Уровень_0:Низкий:Нет:0x0 by-uuid-70F46A0B5A206A1A
drwxr-xr-x--- 3 macuser macuser Уровень_0:Низкий:Нет:0x0 by-uuid-94c8364e-f482-4144-acd9-550208d7a977
drwxr-xr-xm-- 2 macuser macuser Уровень_3:Низкий:Нет:0x0 by-uuid-DCDD-DECE
- монтирование дисковых разделов с файловой системой ext2/ext3/ext4 выполняется:
- с именем и группой пользователя, присвоенной устройству при подготовке носителя (см. Сценарий для подготовки учтенных USB носителей с файловой системой ext4);
- уровнем конфиденциальности, присвоенном носителю при подготовке носителя (см. Сценарий для подготовки учтенных USB носителей с файловой системой ext4);;
- монтирование дисковых разделов с файловой системой vfat выполняется:
- c именем и группой пользователя, для которого учтено устройство;
- с уровнем конфиденциальности, на котором учтено устройство;
- монтирование дисковых разделов с файловой системой ntfs выполняется:
- c именем и группой пользователя, для которого учтено устройство;
- только на нулевом уровне конфиденциальности;
- монтирование дисковых разделов iso9660/udf:
- только для чтения;
- с именем и группой root;
- с уровнем конфиденциальности, на котором учтено устройство;
Сценарий для подготовки учтенных USB носителей с файловой системой ext4
Для размещения конфиденциальной информации носитель должен получить сотвествующие атрибуты и на носителе должна быть подготовлена соответствующая структура каталогов.
Учтенному носителю с файловой системой ext4 в обязательно порядке должны быть присвоены следующие атрибуты:
- пользователь-владелец и группа-владелец (пользователь и группа, для которых учтен носитель);
- уровень конфиденциальности, на котором учтен носитель;
Сделать это можно следующими командами:
- создать подкаталог для монтирования в каталоге с высоким уровнем конфиденциальности и атрибутом ccnr, Например, в каталоге /run:
примонтировать носитель (дисковый раздел) в созданный каталог. Например, для дискового раздела /dev/sda1:
sudo mount /dev/sda1 /run/mediaустановить на каталог классификационную метку, равную метке с которой учтено устройство. Например, установить иерархический уровень конфиденциальности 3:
sudo pdpl-file 3 /run/media- если на носителе предполагается хранить информацию с разными уровнями конфиденциальности, то создать структуру каталогов для хранения такой информации (см. далее возможный сценарий);
установить для каталога владельца и группу, для которых учтено устройство:
sudo chown -R <имя_пользователя>:<имя_группы> /run/mediaотмонтировать устройство:
sudo umonut /run/media
Для подготовки структуры каталогов обеспечивающей хранение разноуровневой информации можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE и список уровней конфиденциальности LEVELS):
#!/bin/bash USERNAME="macuser" DEVICE="/dev/sdc1" LEVELS=( 0 1 2 3 ) dir=`mktemp -d -p /run` mkfs.ext4 $DEVICE mount $DEVICE "$dir" pdpl-file ${LEVELS[-1]}:0:-1:ccnr "$dir" for level in ${LEVELS[@]} ; do mkdir "$dir/$level" pdpl-file "$level":0:0:0 "$dir/$level" done chown -R ${USERNAME}:${USERNAME} "$dir" ls -la "$dir" pdp-ls -M "$dir" umount "$dir" rmdir "$dir"