Термины

• автоматическое монтирование:
  • монтирование дисковых разделов при загрузке ОС  или по команде mount -a в соответствии с правилами, заданными в файле /etc/fstab. Применение к учтенным носителям не допускается;
  • монтирование дисковых разделов  при подключении носителя в соответствии с правилами udev. Может быть настроено вручную. Применение к учтенным носителям не допускается;
• полуавтоматическое монтирование - монтирование дисковых разделов с помощью графического инструмента fly-admin-reflex (включает автоматическое обнаружение подключенного носителя, и выдачу пользователю графического запроса  на монтирование обнаруженных на носителе дисковых разделов). Может применяться к неучтенным и к учтенным носителям. Рекомендованный способ работы с учтенными носителями;
• монтирование - "ручное" монтирование дисковых разделов с помощью инструмента командной строки mount;
• носитель - физическое устройство, обычно съемный USB-накопитель, CD/DVD-диск или иное устройство;
• дисковый раздел - структура данных на носителе, содержащая файловую систему (файловые объекты). На одном носителе может находиться несколько дисковых разделов;
• учтенный носитель - носитель информации, зарегистрированный в системе учета и подготовленный для размещения на нем классифицированной информации;
• неучтенный носитель - любой носитель, не являющийся учтенным;
• метка безопасности, классификационная метка - см. Метка безопасности: структура и состав

Поддерживаемые файловые системы

Astra Linux Special Edition поддерживает работу с конфиденциальной информацией на дисковых разделах со следующими файловыми системами:

• ext2/ext3/ext4;
• xfs (начиная с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7));
• vfat;
• ntfs (поддерживается только полуавтоматическое монтирование в сессиях с нулевой классификационной меткой);
• iso9660/udf;

Настройки по умолчанию

Настройки Astra Linux Special Edition, принятые по умолчанию:

Ручное монтирование

Выполнение операции "ручного" монтирования (mount) пользователями, не имеющими привилегий суперпользователя, запрещено и доступно только суперпользователю, при этом:

• запрет монтирования в Astra Linux Common Edition осуществляется на уровне базовой системы (характерная ошибка при попытке монтирования: mount: only root can do that);

• запрет монтирования в Astra Linux Special Edition осуществляется настройками КСЗИ (характерная ошибка: mount: ***: can't find in /etc/fstab.);

• участие непривилегированных пользователей в специальных группах floppy, cdrom, disk запрет монтирования не отменяет;

  Участие пользователей в специальных группах cdrom и disk  позволяет этим пользователям выполнять операции чтения/записи на устройствах /dev/srX и /dev/fdX (т.е. на приводах оптических дисков и приводах гибких дисков), однако право монтировать эти устройства не предоставляет. Специальная группа floppy не используется.

• записи в стандартной таблице монтирования (файл /etc/fstab), определяющие порядок монтирования пользователями дисковых разделов, отсутствуют;

• в таблице монтирования КСЗИ Astra Linux Special Edition присутствует запись, разрешающая монтирование дисковых разделов на неучтенных носителях;

Полуавтоматическое монтирование

Полуавтоматическое монтирование непривилегированными пользователями по умолчанию разрешено и выполняется с помощью astra-fly-reflex, при этом:

• при использовании Astra Linux Common Edition точка монтирования определена в приложении astra-fly-reflex и полуавтоматическое монтирование осуществляется в каталог /media/<имя_пользователя>/<метка_носителя>;

• при использовании Astra Linux Special Edition порядок определяется правилами, хранящимися в файле /etc/fstab.pdac. Содержимое файла /etc/fstab.pdac по умолчанию:

  # /etc/fstab.pdac: parsec devices access control mount instructions
#
#<file system>          <mount point>           <type>          <options>                                                       <dump>  <pass>

  ### usb flash
/dev/*fat               /run/user/*/media/*     auto            owner,group,noauto,nodev,noexec,iocharset=utf8,defaults         0       0
/dev/*ntfs*             /run/user/*/media/*     auto            owner,group,noauto,nodev,noexec,iocharset=utf8,defaults         0       0
/dev/sd*ext*            /run/user/*/media/*     auto            owner,group,nodev,noexec,noauto,defaults                        0       0

  ### [cd|dvd|bd]rom
/dev/s*udf              /run/user/*/media/*     udf             owner,group,nodev,noexec,noauto,defaults                        0       0
/dev/s*iso9660          /run/user/*/media/*     iso9660         owner,group,nodev,noexec,noauto,defaults                        0       0

  ### other
/dev/sd*                /run/user/*/media/*     auto            owner,group,nodev,noexec,noauto,iocharset=utf8,defaults         0       0

  Эти правила:

• для дисковых разделов учтенных носителей (все правила, кроме последнего):
  • разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex. Правила включаются в работу по мере подключения зарегистрированных носителей;
• для дисковых разделов неучтенных носителей (последнее правило /dev/sd*):
  

  • разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex неучтенных носителей vfat и ntfs;

  • не обеспечивают полуавтоматическое монтирование дисковых разделов ext2, ext3, ext4, xfs. Так как правило содержит параметр iocharset, необходимый для корректного монтирования дисковых разделов с файловой системой vfat, безразличный для дисковых разделов с файловой системой ntfs, и не поддерживаемый при монтировании дисковых разделов с файловыми системами ext2, ext3, ext4, xfs.  При обнаружении дискового раздела с файловой системой ext2, ext3, ext4 запрос на полуавтоматическое монтирование выдается, однако попытка монтирования завершается ошибкой;

  • Для того, чтобы пользователи могли выполнять полуавтоматическое монтирование компакт-дисков следует в файл /etc/fstab.pdac добавить строку:

    /dev/sr*                /run/user/*/media/*     iso9660,udf     user,noauto             0       0

Переход на использование дисковых разделов ext2, ext3, ext4,xfs на неучтенных носителях

Как указано выше, правило подключения неучтенных съемных носителей в файле /etc/fstab.pdac, используемое "по умолчанию", несовместимо с использованием дисковых разделов с файловыми системами ext2, ext3, ext4, xfs.

Для того, чтобы можно было использовать такие дисковые разделы в режиме полуавтоматического подключения, из соответствующего правила следует исключить параметр iocharset, приведя правило к следующему виду:

При этом в полуавтоматическом режиме дисковые разделы с файловой системой vfat будут монтироваться с неверно определяемой кодировкой, что не позволит корректно отображать и использовать названия файловых объектов, использующие кириллицу. На монтирование и работу дисковых разделов с файловой системой ntfs указанное изменение правила не влияет, монтирование выполняется правильно как при наличии, так и при отсутствии параметра iocharset.

Данные с ненулевыми метками безопасности на неучтенных съемных носителях

С учетом того, что информация о владельцах и правах доступа (дискреционное управление доступом) и метка безопасности (мандатное управление доступом) файлового объекта могут сохраняться только на дисковых разделах с файловой системой ext2, ext3, ext4, xfs, а для  всех остальных носителей метка безопасности не сохраняется:

• при работе с дисковыми разделами ext2, ext3, ext4, xfs на неучтенных носителях пользователь может или не может читать, изменять, создавать файловые объекты в соответствии правилами дискреционного доступа и с правилами мандатного разграничения доступа;
• работать с дисковыми разделами vfat и ntfs на неучтенных носителях могут только пользователи с нулевой меткой безопасности. Пользователям, работающих с ненулевыми метками безопасности, монтирование таких дисковых разделов запрещено;

Учтенные съемные носители

Механизм учета носителей (дисковых разделов) позволяет ограничить доступ к данным, разрешив монтировать дисковые разделы только пользователю, для которого носитель (дисковый раздел) учтен.

Правила учета носителей в равной мере применимы и к носителям и к дисковым разделам. При этом правила учета могут быть заданы отдельно для носителя и для находящихся на нем дисковых разделов (не рекомендуется). Если на носителе находится несколько дисковых разделов, то:

• если учтен только носитель (например, носитель зарегистрирован по серийному номеру устройства без использования иных атрибутов), то правила учета равно применимы ко всем дисковым разделам на этом носителе;
• если учтены дисковые разделы (например, зарегистрирован дисковый раздел по серийному номеру устройства и идентификатору (UUID) дискового раздела), то правила учета применимы индивидуально к этому дисковому разделу.

Дополнительным эффектом учета носителей является возможность ввести мандатное разграничение доступа для носителей, не поддерживающих сохранение меток безопасности (носители с файловыми системами vfat, ntfs).
При этом:

• метка безопасности, с которой учтен носитель, фактически становится единой для всех файловых объектов, находящихся на учтённом  носителе;
• монтирование такого носителя разрешается:
  • только пользователю, для которого этот носитель учтен;
  • при условии, что метка безопасности сессии пользователя равна метке безопасности, присвоенной носителю при его учёте.

Итого (в таблице для обозначения возможности полуавтоматического монтирования применяется сокращение ПАМ ):

Съемные носители с несколькими дисковыми разделами

В ситуации, когда на носителе находится несколько дисковых разделов, монтирование этих разделов подчиняется указанным выше правилам для носителей:

• дисковые разделы с файловыми системами ext2, ext3, ext4, xfs могут монтироваться пользователем, имеющим любую метку безопасности;
• дисковые разделы с файловыми системами vfat и ntfs могут монтироваться только пользователем, имеющим метку равную метке, присвоенной при учете физическому носителю.

При необходимости, можно вручную ввести дополнительные правила, учитывающие параметры дисковых разделов, что позволит дифференцировать мандатные права доступа на уровне дисковых разделов.  Однако делать это не рекомендуется, так как параметры дисковых разделов, в отличие от серийного номера физического устройства, слишком легко поддаются фальсификации.

Регистрация учтенных носителей

Регистрация учтенных носителей выполняется:

• для локального компьютера - с помощью инструмента fly-admin-smc ("Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Устройства и правила" - "Устройства");
• для доменных компьютеров в доменах ALD - с помощью инструмента "Доменная политика безопасности" ("Пуск" - "Панель управления" - "Сеть" - "Доменная политика безопасности" - "Устройства и правила" - "Устройства");
• для доменных компьютеров в доменах FreeIPA - с помощью web-интерфейса FreeIPA.

Далее рассматривается процедура регистрации учтенного носителя для локального компьютера. Процедура регистрации для доменов ALD в целом аналогична процедуре для локального компьютера.

Для регистрации учтенного носителя:

1. Запустить инструмент fly-admin-smc:
   
   
   
2. Перейти в "Устройства и правила" - "Устройства":
   
   
   
3. Если регистрируемый носитель уже подключен к компьютеру, то отключить носитель;
   
   
4. Выбрать добавление устройства (иконка с символом "+" в строке иконок или горячая клавиша Ctrl+N):
   
   
   
5. Подключить носитель к компьютеру:
   
   
   
6. Выбрать регистрируемое устройство или регистрируемый дисковый раздел. Отображение списка дисковых разделов зависит от того, как отформатирован носитель. Для использованного при написании статьи носителя список дисковых разделов не отображается:
   
   
   
7. После выбора носителя нажать кнопку "Да", после чего будет отображена форма данных о носителе:
   
8. В форме данных:
   1. Закладка "Общие":
      1. Выбрать наименование носителя (произвольное имя для удобства идентификации);
      2. Выбрать пользователя и группу, для которых регистрируется носитель;
      3. Установить права доступа для пользователя, группы и всех остальных пользователей;
      4. Задать правила идентификации носителя. По умолчанию предлагается идентификация по серийному номеру (параметр окружения (ENV) ID_SERIAL). Серийный номер определяется автоматически;
   2. Перейти в закладку "МРД" и установить параметры конфиденциальности для регистрируемого устройства.:
      
      
      
   3. Перейти в закладку "Аудит" и установить параметры аудита для регистрируемого устройства:
      
      
      
   4. Перейти в закладку "Правила" и указать дополнительные правила, применяемые для устройства (описание работы с правилами см. ниже);
      
      
   5. Завершить регистрацию, сохранив введенные данные. Носитель можно отключить от компьютера.
      
      

Использование учтенных USB носителей

При работе в пользовательской сессии подключение носителей контролируется Astra Linux и при подключении носителя пользователю выдается сообщение-подсказка с возможностью выбора действий с носителем:

Если подключенный носитель учтен для пользователя, то пользователь может "Подключить" (примонтировать) устройство (полуавтоматическое монтирование). При полуавтоматическом монтировании:

• устройства монтируются в автоматически создаваемые подкаталоги (точки монтирования) каталога /run/user/<UID>/media, где UID - числовой идентификатор пользователя (для текущего пользователя UID может быть получен командой id -u);

• в названиях точек монтирования используются числовые идентификаторы (UUID) монтируемых дисковых разделов, дополненные префиксом "by-uuid-", например:

  pdp-ls -lM /run/user/`id -u`/media
  

  ---

  итого 12
drwxrwxrwx---  1 macuser macuser Уровень_0:Низкий:Нет:0x0 by-uuid-70F46A0B5A206A1A
drwxr-xr-x---  3 macuser macuser Уровень_0:Низкий:Нет:0x0 by-uuid-94c8364e-f482-4144-acd9-550208d7a977
drwxr-xr-xm--  2 macuser macuser Уровень_3:Низкий:Нет:0x0 by-uuid-DCDD-DECE

• монтирование дисковых разделов с файловой системой ext2/ext3/ext4/xfs выполняется:
  • с именем и группой пользователя, присвоенной устройству при подготовке носителя (см. Сценарий для подготовки учтенных USB носителей с файловой системой ext4);
  •  уровнем конфиденциальности, присвоенном носителю при подготовке носителя (см. Сценарий для подготовки учтенных USB носителей с файловой системой ext4);;
• монтирование дисковых разделов с файловой системой vfat выполняется:
  • c именем и группой пользователя, для которого учтено устройство;
  • с уровнем конфиденциальности, на котором учтено устройство;
• монтирование дисковых разделов с файловой системой ntfs выполняется:
  • c именем и группой пользователя, для которого учтено устройство;
  • только на нулевом уровне конфиденциальности;
• монтирование дисковых разделов iso9660/udf:
  • только для чтения;
  • с именем и группой root;
  • с уровнем конфиденциальности, на котором учтено устройство;

Сценарий для подготовки учтенных USB носителей с файловой системой ext4

Для размещения конфиденциальной информации носитель должен получить соответствующие атрибуты и на носителе должна быть подготовлена соответствующая структура каталогов.

Учтенному носителю с файловой системой ext4 в обязательно порядке должны быть присвоены следующие атрибуты:

• пользователь-владелец и группа-владелец (пользователь и группа, для которых учтен носитель);
• классификационная метка, с которой учтен носитель;

Сделать это можно следующими командами:

• создать подкаталог для монтирования в каталоге с высоким уровнем конфиденциальности и атрибутом ccnr, Например, в каталоге /run:

  sudo mkdir /run/media

• примонтировать носитель (дисковый раздел) в созданный каталог. Например, для дискового раздела /dev/sda1:

  sudo mount /dev/sda1 /run/media

• установить на каталог классификационную метку, равную метке с которой учтено  устройство. Например, установить иерархический уровень конфиденциальности 3:

  sudo pdpl-file 3 /run/media

• если на носителе предполагается хранить информацию с разными уровнями конфиденциальности, то создать структуру каталогов для хранения такой информации (см. далее возможный сценарий);
  
  

• установить для каталога владельца и группу, для которых учтено устройство:

  sudo chown -R <имя_пользователя>:<имя_группы>  /run/media

• отмонтировать устройство:

  sudo umonut  /run/media

Для подготовки структуры каталогов, обеспечивающей хранение разноуровневой информации, можно использовать следующий сценарий (задав значения переменных USERNAME (имя пользователя, для которого учитывается устройство) и DEVICE (имя учитываемого устройства) и задав список уровней конфиденциальности LEVELS):

#!/bin/bash
USERNAME="macuser"
DEVICE="/dev/sdc1"
LEVELS=( 0 1 2 3 )

dir=`mktemp -d -p /run`
mkfs.ext4 $DEVICE
mount $DEVICE "$dir"
pdpl-file ${LEVELS[-1]}:0:-1:ccnr "$dir"
for level in ${LEVELS[@]} ; do
        mkdir "$dir/$level"
        pdpl-file "$level":0:0:0 "$dir/$level"
done
chown -R ${USERNAME}:${USERNAME} "$dir"
ls -la "$dir"
pdp-ls -M "$dir"
umount "$dir"
rmdir "$dir"

Запрет полуавтоматического монтирования непривилегированными пользователями

Для запрета выполнения полуавтоматического монтирования непривилегированными пользователями следует использовать входящий в состав пакета astra-safepolicy (см. Инструменты командной строки astra-safepolicy) инструмент astra-mount-lock.
Для включения запрета выполнить команду: