Термины

• автоматическое монтирование:
  • монтирование дисковых разделов при загрузке ОС  или по команде mount -a в соответствии с правилами, заданными в файле /etc/fstab. Применение к учтенным носителям не допускается;
  • монтирование дисковых разделов  при подключении носителя в соответствии с правилами udev. Может быть настроено вручную. Применение к учтенным носителям не допускается;
• полуавтоматическое монтирование - монтирование дисковых разделов с помощью графического инструмента fly-admin-reflex (включает автоматическое обнаружение подключенного носителя, и выдачу пользователю графического запроса  на монтирование обнаруженных на носителе дисковых разделов). Может применяться как к неучтенным, так и к учтенным носителям. Рекомендованный способ работы с учтенными носителями;
• монтирование - "ручное" монтирование дисковых разделов с помощью инструментов командной строки (mount, udisksctl);
• носитель - физическое устройство, обычно съемный USB-накопитель, CD/DVD-диск или иное устройство;
• дисковый раздел - структура данных на носителе, содержащая файловую систему (файловые объекты). На одном носителе может находиться несколько дисковых разделов;
• учтенный носитель - носитель информации, зарегистрированный в системе учета и подготовленный для размещения на нем классифицированной информации;
• неучтенный носитель - любой носитель, не являющийся учтенным;
• метка безопасности, классификационная метка - см. Метка безопасности: структура и состав;
• пользователь - непривилегированный пользователь, не имеющий прав суперпользователя;
• администратор - пользователь с правами суперпользователя (и с высоким уровнем целостности при условии использования МКЦ);
• UUID - уникальный идентификатор дискового раздела или файловой системы (ФС). Генерируются случайным образом при создании раздела и создании на нем ФС.

Поддерживаемые файловые системы

Astra Linux Special Edition поддерживает работу с конфиденциальной информацией на дисковых разделах со следующими файловыми системами:

• ext2/ext3/ext4;
• xfs (начиная с Astra Linux Special Edition x.7);
• vfat;
• ntfs (поддерживается только полуавтоматическое монтирование в сессиях с нулевой классификационной меткой);
• iso9660/udf;

Настройки монтирования по умолчанию (для неучтенных носителей)

Ручное монтирование

Монтирование с помощью команды mount

Выполнение операции "ручного" монтирования (команда mount) произвольных устройств в произвольные каталоги по умолчанию запрещено пользователям, и доступно только администраторам, при этом:

• участие пользователей в специальных группах floppy, cdrom, disk запрет ручного монтирования не отменяет;

  Участие пользователей в специальных группах cdrom и disk  позволяет этим пользователям выполнять операции чтения/записи на устройствах /dev/srX (приводах оптических дисков) и /dev/fdX (приводах гибких дисков), однако право монтировать эти устройства не предоставляет. Специальная группа floppy используется в Astra Linux Special Edition для разрешения полуавтоматического монтирования.

• в стандартной таблице монтирования (файл /etc/fstab):

  • присутствует запись, разрешающая пользователям монтировать компакт-диски в каталог /media/cdrom0:
    

    /dev/sr0        /media/cdrom0   udf,iso9660 user,noauto     0       0

  • иные записи, определяющие порядок монтирования пользователями дисковых разделов, отсутствуют;

• в таблице монтирования КСЗИ Astra Linux Special Edition (файл /etc/fstab.pdac) присутствует запись, разрешающая пользователям полуавтоматическое монтирование дисковых разделов (подробности далее);

Команда mount обычно используется в варианте с двумя аргументами: 1) что монтировать (источник) и 2) куда монтировать (точка монтирования). Если указан только один аргумент, то производится попытка такую запись в конфигурационном файле /etc/fstab (для Astra Linux Special Edition - также в файле /etc/fstab.pdac), и определить по этой записи второй аргумент. При этом поиск в файле /etc/fstab выполняется по точному соответствию, а поиск в файле /etc/fstab.pdac выполняется с использованием регулярных выражений.

Монтирование с помощью команды udisksctl (пакет udisks2)

Команда монтирования udisksctl в отличие от команды mount использует только один аргумент - имя источника, а точка монтирования жестко определена в системной службе udisks2.service (см. Ubuntu – Why has Ubuntu moved the default mount points) и монтирование осуществляется в каталог:

/media/<имя_пользователя>/<UUID_ФС>

Из командной строки монтирование может выполняться командой:

Монтирование с помощью udisksctl:

• по умолчанию ограничено в Astra Linux Special Edition (требуется пароль администратора);
• по умолчанию разрешено в Astra Linux Common Edition.

Полуавтоматическое монтирование

Полуавтоматическое монтирование с точки зрения пользователя выполняется с помощью инструмента fly-admin-reflex  (всплывающее окно при подключении носителя, иконка в трее). Полуавтоматическое монтирование всегда осуществляется в заранее определенные точки монтирования, исключающие подмену системных файлов. 

• в Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7):
  • при установке ОС с установочного диска:
    • автоматически создаются файлы:
      • /lib/udev/rules.d/91-group-floppy.rules - правило udev, присваивающее подключаемым блочным устройствам группу-владельца floppy (как в в Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6));
      • /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla - правило Policy Kit, требующее пароль администратора для монтирования съемных носителей с использованием udisks2;
    • по умолчанию приняты следующие настройки:
      • на усиленном уровне защищенности полуавтоматическое монтирование разрешается всем пользователям и выполняется с помощью пакета udisks2 (системная служба udisks2.service) (как в Astra Linux Common Edition, см. далее);
      • на максимальном уровне защищенности полуавтоматическое монтирование разрешается пользователям, входящим в группу floppy или astra-admin с помощью команды mount, а порядок монтирования определяется правилами, хранящимися в файле /etc/fstab.pdac. (как в Astra Lunux Specail Edition 1.6, см. далее);
  • при установке оперативного обновления БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 7.1):

    • в ОС регистрируется системная служба astra-mount-lock.service, автоматически вызывающая команду astra-mount-lock при перезагрузке ОС (см. Инструменты командной строки astra-safepolicy). При этом определяется текущий уровень защищенности (Базовый, Усиленный, Максимальный), выбранный при установке ОС, и, если контроль монтирования включен (enabled), настройки приводятся в соответствие с принятыми по умолчанию для установленного уровня защищенности. Настройки также приводятся в состояние принятое по умолчанию при включении контроля (astra-mount-lock enable); Изначально при установке ОС контроль монтирования отключен (служба astra-mount-lock.service отключена) и после установки обновления его нужно включить командой: 

      sudo systemctl enable astra-mount-lock

  • при использовании ОС без установленных оперативных обновлений: 
    • при установке ОС автоматически создаются файлы:
      • /lib/udev/rules.d/91-group-floppy.rules - правило udev, присваивающее подключаемым блочным устройствам группу-владельца floppy (как в в Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6));
      • /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla - правило Policy Kit, требующее пароль администратора для монтирования съемных носителей с использованием udisks2;
    • при установке и работе на усиленном уровне защищености:
      • полуавтоматическое монтирование  выполняется с помощью системной службы udisks2;
      • в процессе работы ОС:
        • первоначально, с учетом установленных файлов, полуавтоматическое монтирование возможно только с предъявлением пароля администратора. При этом вызов команды astra-mount-lock (см. Инструменты командной строки astra-safepolicy) с параметром status сообщает, что ограничение монтирования неактивно (из-за того, что в файле /lib/udev/rules.d/91-group-floppy.rules указана группа floppy, а не astra-admin);
        • при запуске команды astra-mount-lock без параметров вышеуказанные файлы будут удалены, и полуавтоматическое монтирование с помощью udisks2 станет доступно всем пользователям. При этом никаких сообщений об изменениях на выдается, изменения вступают в силу немедленно. Вызов команды astra-mount-lock с параметром status сообщает, что ограничение монтирования неактивно;
        • при запуске команды astra-mount-lock с параметром enable создается файл /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla, запрещающий полуавтоматическое монтирование без предъявления пароля. Что сообщает вызов команды astra-mount-lock с параметром status зависит от наличия и содержимого файла /lib/udev/rules.d/91-group-floppy.rules;
        • при запуске команды astra-mount-lock с параметром disable удаляется файл /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla, запрещающий полуавтоматическое монтирование без предъявления пароля. Вызов команды astra-mount-lock с параметром status сообщает, что ограничения неактивно, независимо от наличия и содержимого файла /lib/udev/rules.d/91-group-floppy.rules (так как монтирование выполняется через udisks2 - группа-владелец устройства неважна);
    • при установке и работе на максимальном уровне защищенности:
      • полуавтоматическое монтирование работает по правилам, определенным в /etc/fstab.pdac как описано далее для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6):
        • разрешается для пользователей - участников группы floppy;
        • правило PolicyKit /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla игнорируется, так как udisks2 не используется;

• в Astra Linux Common Edition:

  • по умолчанию полуавтоматическое монтирование разрешается всем пользователям;

  • полуавтоматическое монтирование выполняется с помощью пакета udisks2 (системная служба udisks2.service), устанавливаемого по умолчанию при установке ОС;

• в Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6):

  • разрешается пользователям, входящим в группу floppy или astra-admin;

  • полуавтоматическое монтирование выполняется с помощью команды mount, а порядок монтирования определяется правилами, хранящимися в файле /etc/fstab.pdac. Монтирование выполняется в каталоги вида:

    /run/user/<числовой_идентификатор_пользователя>/media/<серийный_номер_устройства>

    Содержимое файла /etc/fstab.pdac по умолчанию:

    # /etc/fstab.pdac: parsec devices access control mount instructions
#
#<file system>          <mount point>           <type>          <options>                                                       <dump>  <pass>

    ### usb flash
/dev/*fat               /run/user/*/media/*     auto            owner,group,noauto,nodev,noexec,iocharset=utf8,defaults         0       0
/dev/*ntfs*             /run/user/*/media/*     auto            owner,group,noauto,nodev,noexec,iocharset=utf8,defaults         0       0
/dev/sd*ext*            /run/user/*/media/*     auto            owner,group,nodev,noexec,noauto,defaults                        0       0

    ### [cd|dvd|bd]rom
/dev/s*udf              /run/user/*/media/*     udf             owner,group,nodev,noexec,noauto,defaults                        0       0
/dev/s*iso9660          /run/user/*/media/*     iso9660         owner,group,nodev,noexec,noauto,defaults                        0       0

    ### other
/dev/sd*                /run/user/*/media/*     auto            owner,group,nodev,noexec,noauto,iocharset=utf8,defaults         0       0

    эти правила:

• • • для дисковых разделов учтенных носителей (все правила, кроме последнего):
      • разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex. Правила включаются в работу по мере подключения зарегистрированных носителей;
    • для дисковых разделов неучтенных носителей (последнее правило /dev/sd*):
      

      • для неучтенных носителей с ФС vfat и ntfs: разрешают и полностью поддерживают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex ;

      • для неучтенных носителей с ФС ext2, ext3, ext4, xfs: не поддерживают полуавтоматическое монтирование дисковых разделов с ext2, ext3, ext4, xfs:
        Так как правило содержит параметр iocharset, необходимый для корректного монтирования дисковых разделов с файловой системой vfat, безразличный для дисковых разделов с файловой системой ntfs, и не поддерживаемый при монтировании дисковых разделов с файловыми системами ext2, ext3, ext4, xfs.  При обнаружении дискового раздела с файловой системой ext2, ext3, ext4,xfs запрос на полуавтоматическое монтирование выдается, однако попытка монтирования завершается ошибкой;

      • для неучтенных носителей с ФС iso9660 (оптических дисков) для того, чтобы пользователи могли выполнять их полуавтоматическое монтирование следует в файл /etc/fstab.pdac добавить строку:

        /dev/sr*                /run/user/*/media/*     iso9660,udf     user,noauto             0       0

Astra Linux Special Edition: переход на использование дисковых разделов ext2, ext3, ext4,xfs на неучтенных носителях

Как указано выше, в Astra Linux Special Edition правило подключения неучтенных съемных носителей в файле /etc/fstab.pdac, используемое "по умолчанию", несовместимо с использованием дисковых разделов с файловыми системами ext2, ext3, ext4, xfs. Для того, чтобы можно было использовать полуавтоматическое подключение таких дисковых разделов, из соответствующего правила следует исключить параметр iocharset, приведя правило к следующему виду:

При этом полуавтоматическое монтирование дисковых разделов с файловой системой vfat будет выполняться с неверно определяемой кодировкой, что не позволит корректно отображать и использовать названия файловых объектов, использующие кириллицу. На монтирование и работу дисковых разделов с файловой системой ntfs указанное изменение правила не влияет, монтирование выполняется правильно как при наличии, так и при отсутствии параметра iocharset.

Данные с ненулевыми метками безопасности на неучтенных съемных носителях

С учетом того, что информация о владельцах и правах доступа (дискреционное управление доступом) и метка безопасности (мандатное управление доступом) файлового объекта могут сохраняться только на дисковых разделах с файловой системой ext2, ext3, ext4, xfs, а для  всех остальных носителей метка безопасности не сохраняется:

• при работе с дисковыми разделами ext2, ext3, ext4, xfs на неучтенных носителях пользователь может или не может читать, изменять, создавать файловые объекты в соответствии правилами дискреционного доступа и с правилами мандатного разграничения доступа;
• работать с дисковыми разделами vfat и ntfs на неучтенных носителях могут только пользователи с нулевой меткой безопасности. Пользователям, работающих с ненулевыми метками безопасности, монтирование таких дисковых разделов запрещено;

Учтенные съемные носители

Механизм учета носителей (дисковых разделов) позволяет ограничить доступ к данным, разрешив монтировать дисковые разделы только пользователю, для которого носитель (дисковый раздел) учтен.

Правила учета носителей в равной мере применимы и к носителям и к дисковым разделам. При этом правила учета могут быть заданы отдельно для носителя и для находящихся на нем дисковых разделов (не рекомендуется). Если на носителе находится несколько дисковых разделов, то:

• если учтен только носитель (например, носитель зарегистрирован по серийному номеру устройства без использования иных атрибутов), то правила учета равно применимы ко всем дисковым разделам на этом носителе;

• если учтены дисковые разделы (например, дисковый раздел зарегистрирован по серийному номеру устройства и UUID дискового раздела), то правила учета применимы индивидуально к этому дисковому разделу.

  Во избежание конфликтов правил учета рекомендуется при учете устройств использовать принцип "одно устройство - один дисковый раздел", учитывая только физические устройств)а. Далее подразумевается, что носитель и находящийся на носителе дисковый раздел учтены одинаково, термины "носитель" и "дисковых раздел" взаимозаменяемы. Далее для краткости используется термин "носитель".

Дополнительным эффектом учета носителей является возможность ввести мандатное разграничение доступа для носителей, не поддерживающих сохранение меток безопасности (носители с файловыми системами vfat, ntfs).
При этом:

• метка безопасности, с которой учтен носитель, фактически становится единой для всех файловых объектов, находящихся на учтённом  носителе;
• монтирование такого носителя разрешается:
  • только пользователю, для которого этот носитель учтен;
  • при условии, что метка безопасности сессии пользователя равна метке безопасности, присвоенной носителю при его учёте.

Итого (в таблице для обозначения возможности полуавтоматического монтирования применяется сокращение ПАМ ):

Съемные носители с несколькими дисковыми разделами

В ситуации, когда на носителе находится несколько дисковых разделов, монтирование этих разделов подчиняется указанным выше правилам для носителей:

• дисковые разделы с файловыми системами ext2, ext3, ext4, xfs могут монтироваться пользователем, имеющим любую метку безопасности;
• дисковые разделы с файловыми системами vfat и ntfs могут монтироваться только пользователем, имеющим метку равную метке, присвоенной при учете физическому носителю.

Если это допускается действующими требованиями безопасности, то можно вручную ввести дополнительные правила, учитывающие параметры дисковых разделов, что позволит дифференцировать мандатные права доступа на уровне дисковых разделов.  Однако делать это не рекомендуется, так как параметры дисковых разделов, в отличие от серийного номера физического устройства, слишком легко поддаются фальсификации.

Регистрация учтенных носителей

Регистрация учтенных носителей выполняется:

• для локального компьютера - с помощью инструмента fly-admin-smc ("Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Устройства и правила" - "Устройства");
• для доменных компьютеров в доменах ALD - с помощью инструмента "Доменная политика безопасности" ("Пуск" - "Панель управления" - "Сеть" - "Доменная политика безопасности" - "Устройства и правила" - "Устройства");
• для доменных компьютеров в доменах FreeIPA - с помощью web-интерфейса FreeIPA ("Политики" - "Политика Parsec" - "Учтенные устройства", подробнее см. Регистрация отчуждаемых носителей при работе с FreeIPA).

Далее рассматривается процедура регистрации учтенного носителя для локального компьютера. Процедура регистрации для доменов ALD в целом аналогична процедуре для локального компьютера.

Для регистрации учтенного носителя:

1. Запустить инструмент fly-admin-smc:
   
   
   
2. Перейти в "Устройства и правила" - "Устройства":
   
   
   
3. Если регистрируемый носитель уже подключен к компьютеру, то отключить носитель;
   
   
4. Выбрать добавление устройства (иконка с символом "+" в строке иконок или горячая клавиша Ctrl+N):
   
   
   
5. Подключить носитель к компьютеру:
   
   
   
6. Выбрать регистрируемое устройство или регистрируемый дисковый раздел. Отображение списка дисковых разделов зависит от того, как отформатирован носитель. Для использованного при написании статьи носителя список дисковых разделов не отображается:
   
   
   
7. После выбора носителя нажать кнопку "Да", после чего будет отображена форма данных о носителе:
   
8. В форме данных:
   1. Закладка "Общие":
      1. Выбрать наименование носителя (произвольное имя для удобства идентификации);
      2. Выбрать пользователя и группу, для которых регистрируется носитель;
      3. Установить права доступа для пользователя, группы и всех остальных пользователей;
      4. Задать правила идентификации носителя. По умолчанию предлагается идентификация по серийному номеру (параметр окружения (ENV) ID_SERIAL). Серийный номер определяется автоматически;
   2. Перейти в закладку "МРД" и установить параметры конфиденциальности для регистрируемого устройства.:
      
      
      
   3. Перейти в закладку "Аудит" и установить параметры аудита для регистрируемого устройства:
      
      
      
   4. Перейти в закладку "Правила" и указать дополнительные правила, применяемые для устройства (описание работы с правилами см. ниже);
      
      
   5. Завершить регистрацию, сохранив введенные данные. Носитель можно отключить от компьютера.
      
      

Использование учтенных USB носителей

При работе в пользовательской сессии подключение носителей контролируется Astra Linux и при подключении носителя пользователю выдается сообщение-подсказка с возможностью выбора действий с носителем:

Если подключенный носитель учтен для пользователя, то пользователь может "Подключить" (примонтировать) устройство (полуавтоматическое монтирование). При полуавтоматическом монтировании:

• устройства монтируются в автоматически создаваемые подкаталоги (точки монтирования) каталога /run/user/<UID>/media, где UID - числовой идентификатор пользователя (для текущего пользователя UID может быть получен командой id -u);

• в названиях точек монтирования используются числовые UUID монтируемых ФС, дополненные префиксом "by-uuid-", например:

  pdp-ls -lM /run/user/`id -u`/media
  

  ---

  итого 12
drwxrwxrwx---  1 macuser macuser Уровень_0:Низкий:Нет:0x0 by-uuid-70F46A0B5A206A1A
drwxr-xr-x---  3 macuser macuser Уровень_0:Низкий:Нет:0x0 by-uuid-94c8364e-f482-4144-acd9-550208d7a977
drwxr-xr-xm--  2 macuser macuser Уровень_3:Низкий:Нет:0x0 by-uuid-DCDD-DECE

• монтирование дисковых разделов с файловой системой ext2/ext3/ext4/xfs выполняется:
  • с именем и группой пользователя, присвоенной устройству при подготовке носителя (см. Сценарий для подготовки учтенных USB носителей с файловой системой ext4);
  •  уровнем конфиденциальности, присвоенном носителю при подготовке носителя (см. Сценарий для подготовки учтенных USB носителей с файловой системой ext4);;
• монтирование дисковых разделов с файловой системой vfat выполняется:
  • c именем и группой пользователя, для которого учтено устройство;
  • с уровнем конфиденциальности, на котором учтено устройство;
• монтирование дисковых разделов с файловой системой ntfs выполняется:
  • c именем и группой пользователя, для которого учтено устройство;
  • только на нулевом уровне конфиденциальности;
• монтирование дисковых разделов iso9660/udf:
  • только для чтения;
  • с именем и группой root;
  • с уровнем конфиденциальности, на котором учтено устройство;

Сценарий для подготовки учтенных USB носителей с файловой системой ext4

Для размещения конфиденциальной информации носитель должен получить соответствующие атрибуты и на носителе должна быть подготовлена соответствующая структура каталогов.

Учтенному носителю с файловой системой ext4 в обязательно порядке должны быть присвоены следующие атрибуты:

• пользователь-владелец и группа-владелец (пользователь и группа, для которых учтен носитель);
• классификационная метка, с которой учтен носитель;

Сделать это можно следующими командами:

• создать подкаталог для монтирования в каталоге с высоким уровнем конфиденциальности и атрибутом ccnr, Например, в каталоге /run:

  sudo mkdir /run/media

• примонтировать носитель (дисковый раздел) в созданный каталог. Например, для дискового раздела /dev/sda1:

  sudo mount /dev/sda1 /run/media

• установить на каталог классификационную метку, равную метке с которой учтено  устройство. Например, установить иерархический уровень конфиденциальности 3:

  sudo pdpl-file 3 /run/media

• если на носителе предполагается хранить информацию с разными уровнями конфиденциальности, то создать структуру каталогов для хранения такой информации (см. далее возможный сценарий);
  
  

• установить для каталога владельца и группу, для которых учтено устройство:

  sudo chown -R <имя_пользователя>:<имя_группы>  /run/media

• отмонтировать устройство:

  sudo umount  /run/media

Для подготовки структуры каталогов, обеспечивающей хранение разноуровневой информации, можно использовать следующий сценарий (задав значения переменных USERNAME (имя пользователя, для которого учитывается устройство) и DEVICE (имя учитываемого устройства) и задав список уровней конфиденциальности LEVELS):

#!/bin/bash
USERNAME="macuser"
DEVICE="/dev/sdc1"
LEVELS=( 0 1 2 3 )

dir=`mktemp -d -p /run`
mkfs.ext4 $DEVICE
mount $DEVICE "$dir"
pdpl-file ${LEVELS[-1]}:0:-1:ccnr "$dir"
for level in ${LEVELS[@]} ; do
        mkdir "$dir/$level"
        pdpl-file "$level":0:0:0 "$dir/$level"
done
chown -R ${USERNAME}:${USERNAME} "$dir"
ls -la "$dir"
pdp-ls -M "$dir"
umount "$dir"
rmdir "$dir"

Запрет полуавтоматического монтирования непривилегированными пользователями

Для запрета выполнения полуавтоматического монтирования непривилегированными пользователями следует использовать входящий в состав пакета astra-safepolicy (см. Инструменты командной строки astra-safepolicy) инструмент astra-mount-lock.
Для включения запрета выполнить команду: