Данная статья применима к:
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Astra Linux Special Edition РУСБ.10015-16 исп. 1
Astra Linux Special Edition РУСБ.10015-16 исп. 2
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Принимая решение о допустимости хранения конфиденциальной информации на сменных носителях, следует помнить, что
наличие физического доступа к любому носителю информации
позволяет прочитать с него все, что там хранится,
независимо от наличия и содержания меток безопасности
Для предотвращения утечки информации следует в обязательном порядке
- ограничить физический доступ к носителям,
- и применять защитное преобразование хранящейся информации
При размещении конфиденциальной информации на твердотельных носителях (SSD, Flash) следует помнить, что в силу их технических особенностей гарантированное полное стирание с них информации НЕВОЗМОЖНО.
Подробности см. Твердотельные накопители (SSD): рекомендации по применению
Термины
- автоматическое монтирование - автоматическое монтирование при загрузке системы или по команде mount -a. К сменным носителям практически не применяется;
- полуавтоматическое монтирование - монтирование с помощь графического инструмента fly-admin-reflex (включает автоматическое обнаружение подключенного носителя, и выдачу пользователю графического запроса на монтирование обнаруженного носителя);
- монтирование - "ручное" монтирование с помощью инструмента командной строки mount;
- носитель - съёмный USB-накопитель или дисковый раздел на таком накопителе;
- учтенный носитель - носитель информации, зарегистрированный в системе учета, и подготовленный для размещения на нем классифицированной информации;
- неучтённый носитель - любой носитель, не являющийся учтённым.
- Метка безопасности, классификационная метка - см. Метка безопасности: структура и состав
Настройки по умолчанию
«В качестве файловых систем на носителях информации компьютеров с ОС (в том числе съемных машинных носителях информации) должны использоваться только файловые системы Ext2/Ext3/Ext4, поддерживающие расширенные (в т.ч. мандатные) атрибуты пользователей и обеспечивающие гарантированное уничтожение (стирание) информации»
«Руководство по КСЗ, Часть 1» РУСБ.10015-01 97 01-1, 2020г., п. 17.3.1 «Условия применения ОС»
Настройки Astra Linux Special Edition, принятые по умолчанию:
- учтенные носители отсутствуют;
записи в таблице монтирования (файл /etc/fstab), определяющие порядок монтирования съемных носителей, отсутствуют. Порядок монтирования съемных носителей определяется правилами, хранящимися в файле /etc/fstab.pdac. Содержимое файла /etc/fstab.pdac по умолчанию:
# /etc/fstab.pdac: parsec devices access control mount instructions##<file system> <mount point> <type> <options> <dump> <pass>### usb flash/dev/*fat /run/user/*/media/* auto owner,group,noauto,nodev,noexec,iocharset=utf8,defaults 0 0/dev/*ntfs* /run/user/*/media/* auto owner,group,noauto,nodev,noexec,iocharset=utf8,defaults 0 0/dev/sd*ext* /run/user/*/media/* auto owner,group,nodev,noexec,noauto,defaults 0 0### [cd|dvd|bd]rom/dev/s*udf /run/user/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0/dev/s*iso9660 /run/user/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0### other/dev/sd* /run/user/*/media/* auto owner,group,nodev,noexec,noauto,iocharset=utf8,defaults 0 0Эти правила:
- для учтенных носителей (все правила, кроме последнего):
- разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex. Правила включаются в работу по мере подключения зарегистрированных носителей;
- для неучтенных носителей (последнее правило /dev/sd*):
разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex неучтенных носителей vfat и ntfs;
не обеспечивают полуавтоматическое монтирование носителей ext{2,3,4}. Так как правило содержит параметр iocharset, необходимый для корректного монтирования носителей vfat, безразличный для носителей ntfs, и не поддерживаемый носителями ext{2,3,4}), при обнаружении носителя ext{2,3,4} запрос на полуавтоматическое монтирование выдается, однако попытка монтирования ext{2,3,4} завершается ошибкой и неудачей.
- для учтенных носителей (все правила, кроме последнего):
Для того, чтобы пользователь мог монтировать неучтенные накопители, он должен быть добавлен в группу floppy (или в Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.5 - в группу fuse).
Актуально для Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.5
Изменить участие пользователя в группах можно с помощью графического инструмента fly-admin-smc. При использовании командной строки:
Добавить пользователя в группу floppy можно командой:
sudo usermod -a -G floppy <имя_пользователя>
Удалить пользователя из группы floppy можно командой:
sudo gpasswd -d <имя_пользователя> floppy
Пользователь с правами администратора автоматически добавлен в группу floppy и может в ручном режиме монтировать любые носители (включая ext{2,3,4}) с помощью команды mount, действуя от имени суперпользователя (sudo).
Переход на использование неучтенных съемных носителей ext{2,3,4} и ntfs
Как указано выше, правило подключения неучтенных съемных носителей в файле /etc/fstab.pdac, используемое "по умолчанию", несовместимо с использованием носителей ext{2,3,4}.
Для того, чтобы можно было использовать носители ext{2,3,4} в режиме полуавтоматического подключения, из соответствующего правила следует исключить параметр iocharset, приведя правило к следующему виду:
/dev/sd* /run/user/*/media/* auto
owner,group,nodev,noexec,noauto 0
0При этом в полуавтоматическом режиме носители vfat будут монтироваться с неверно определяемой кодировкой, что не позволит корректно отображать и использовать названия файловых объектов, использующие кириллицу.
На монтирование носителей ntfs указанное изменение правила не влияет, они монтируются правильно как при наличии, так и при отсутствии параметра iocharset.
Данные с ненулевыми метками безопасности на неучтенных съемных носителях
Принадлежность пользователя к группе floppy позволяет этому пользователю монтировать любые неучтенные USB-носители, и работать с ними по общим правилам мандатного разграничения доступа.
С учетом того, что метка безопасности файлового объекта может сохраняться только на носителях ext{2,3,4}, а для всех остальных носителей (vfat, ntfs) метка безопасности не сохраняется:
- При работе с неучтенными носителями ext{2,3,4} пользователь может или не может читать, изменять, создавать файловые объекты в соответствии с правилами мандатного разграничения доступа;
- Работать с неучтенными носителями vfat и ntfs могут только пользователи с нулевой меткой безопасности. Пользователям с ненулевыми метками безопасности монтирование таких носителей запрещено;
Учтенные съемные носители
Подробная информация: Порядок работы с конфиденциальной информацией на учтенных USB носителях
Принадлежность пользователя к группе floppy позволяет этому пользователю монтировать любые неучтённые USB-носители, и работать с ними по общим правилам мандатного разграничения доступа.
Альтернативным механизм разграничения доступа к носителям - механизм учёта носителей - позволяет ограничить доступ к носителю, разрешив монтировать это носитель только пользователю, для которого этот носитель учтён.
При этом учтённые носители не разрешено монтировать и пользователям, входящим в группу floppy, если эти носители не учтены для пользователя, выполняющего монтирование.
Таким образом, пользователь, входящий в группу floppy, может монтировать любые носители, кроме учтённых не для него (или, другими словами, монтировать любые неучтенные носители и носители, учтенные для него).
Если пользователя исключить из группы floppy, то он потеряет возможность монтировать все неучтённые носители, и у него останется только возможность монтировать учтенные для него носители.
Для файловых объектов, находящихся на учтённых носителях, поддерживающих сохранение меток безопасности (ext{2,3,4}), действуют общие правила мандатного разграничения доступа. Такие носители могут монтироваться пользователем, имеющим любую метку безопасности, независимо от метки безопасности, присвоенной при учёте этого носителя.
Дополнительным эффектом учета носителей является возможность ввести мандатное разграничение доступа для носителей, не поддерживающих сохранение меток безопасности (носители с файловыми системами vfat, ntfs).
При этом:
- метка безопасности, с которой учтен носитель, фактически становится единой для всех файловых объектов, находящихся на учтённом носителе;
- монтирование такого носителя разрешается:
- только пользователю, для которого этот носитель учтен;
- при условии, что метка безопасности сессии пользователя равна метке безопасности, присвоенной носителю при его учёте.
Итого:
| Пользователь | Неучтенный носитель | Учтенный для пользователя носитель | Учтенный для другого пользователя носитель | ||
|---|---|---|---|---|---|
| ext2 / ext3 /ext4 | vfat / ntfs | ext2 / ext3 /ext4 | vfat / ntfs | vfat / ntfs / ext2 / ext3 /ext4 | |
| Входит в группу floppy (fuse) | Может монтировать | Может монтировать только при нулевой метке безопасности | Может монтировать | Может монтировать при условии, что: | Не может монтировать |
| Не входит в группу floppy (fuse) | Не может монтировать | ||||
Некоторые нюансы учета съемных носителей и дисковых разделов на этих носителях
По умолчанию учет съемных носителей осуществляется по серийному номеру физического носителя (USB-накопителя).
В ситуации, когда на носителе находится несколько дисковых разделов, монтирование этих разделов подчиняется указанным выше правилам для носителей:
- разделы ext{2,3,4} могут монтироваться пользователем, имеющим любую метку безопасности;
- разделы vfat и ntfs могут монтироваться только пользователем, имеющим метку равную метке, присвоенной при учете физическому носителю.
При необходимости, можно вручную ввести дополнительные правила, учитывающие параметры дисковых разделов, что позволит дифференцировать мандатные права доступа на уровне дисковых разделов. Однако делать это не рекомендуется, так как параметры дисковых разделов, в отличие от серийного номера физического устройства, слишком легко поддаются фальсификации.