Page tree
Skip to end of metadata
Go to start of metadata

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

Порядок настройки протокола CIFS для использования МРД в более ранних очередных обновлениях
см.Настройка протокола CIFS для использования МРД в Astra Linux Special Edition

Настройка протокола CIFS для использования МРД в Astra Linux Special Edition x.7

При использовании механизмов мандатного разграничения доступа в работе с разделяемыми ресурсами с применением протокола CIFS (SMB) в операционных системах:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)

требуется включить работу с МРД в настройках сервера.

Настройка сервера

На файловом сервере (сервере Samba) для работы с разделяемыми ресурсами, содержащими конфиденциальные данные, в обязательном порядке:

  1. Установить все доступные оперативные обновления;

  2. Настроить параметры протокола, для чего установить в конфигурации samba в секции [global] параметры:

    use socket MAC label = YES

    При использовании Samba в конфигурации ЕПП FreeIPA (когда конфигурация Samba хранится в реестре Samba) настройку параметров протокола можно сделать из командной строки. Команды:

    sudo net conf setparm global "use socket MAC label" "Yes"
    Если конфигурация хранится в файле /etc/samba/smb.conf, необходимо то внести изменения в файл;

  3. Независимо от того, где хранится конфигурация сервера (в файле или в реестре) - после изменения указанных параметров перезагрузить параметры конфигурации:

    sudo smbcontrol all reload-config

Создание разделяемого каталога с ненулевой классификационной меткой

Пример создания и настройки разделяемого каталога /srv/share:

  1. Создать каталог:

    sudo mkdir -p /srv/share

  2. Установить владельца права доступа, например (см. Samba):

    sudo chown nobody:nogroup /srv/share
    sudo chmod 775 /srv/share

  3. Установить на каталог классификационную метку, в которой иерархический уровень конфиденциальности и неиерархические категории конфиденциальности будут равны соответствующим максимальным значениям для содержащихся в ресурсе файловых объектов.

    sudo pdpl-file 3:0:-1 /srv/share

    В приведенном выше примере предполагается, что максимальный иерархический уровень конфиденциальности 3, и разрешены все неиерархические категории конфиденциальности (сокращенное обозначение всех разрешенных неиерархических категорий -1). Если в разделяемом каталоге предполагается размещать файловые объекты с классификационной меткой меньшей максимально допустимой для каталога, то дополнительно установить флаг CCNR (подробнее см. Метка безопасности: структура и состав):

    sudo pdpl-file 3:0:-1:CCNR /srv/share

Настройка клиента

На клиентских машинах специальные настройки не требуются.

  • No labels