Принимая решение о допустимости хранения конфиденциальной информации на сменных носителях, следует помнить, что
наличие физического доступа к любому носителю информации
позволяет прочитать с него всё, что там хранится,
независимо от наличия и содержания мандатных меток
Для предотвращения утечки информации следует в обязательном порядке
- ограничить физический доступ к носителям,
- и применять защитное преобразование хранящейся информации
При размещении конфиденциальной информации на твердотельных носителях (SSD, Flash) следует помнить, что в силу их технических особенностей гарантированное полное стирание с них информации НЕВОЗМОЖНО.
Подробности см. Накопители информации с твердотельными носителями информации (SSD): особенности применения.
Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.
Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.
1. Поддерживаемые файловые системы для работы с конфиденциальной информацией на USB носителях: Ext2/Ext3/Ext4
и vfat
.
2.Для работы с конфиденциальной информацией нужно создать для USB носителя правила доступа с помощью графического инструмента fly-admin-smc
согласно документации.
3.Для vfat usb устройств работа возможна только при входе на уровне, который назначен администратором для устройства во fly-admin-smc
.
4.Работа на разных уровнях конфиденциальности на учтенном USB- носителе с EXT4 возможна пользователем в соответствии с его правами, заданными администратором.
Предварительно администратор должен создать дерево каталогов разного уровня на файловой системе такого USB-носителя.
5.1 Для создания ext4 usb
носителя для работы на нескольких уровнях можно использовать следующую программу (задав необходимые переменные USERNAME
и DEVICE
):
#!/bin/bash USERNAME="user" DEVICE="/dev/sdc1" mkfs.ext4 $DEVICE mkdir -p /media/usb mount $DEVICE /media/usb #multilevel pdpl-file 3:0:-1:ccnr /media/usb/ mkdir /media/usb/{0,1,2,3} pdpl-file 0:0:0:0 /media/usb/0 pdpl-file 1:0:0:0 /media/usb/1 pdpl-file 2:0:0:0 /media/usb/2 pdpl-file 3:0:0:0 /media/usb/3 chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3} ls -la /media/usb/ pdp-ls -M /media/usb/ umount /media/usb
5.2 Для создания ext4 usb
носителя для работы на одном 2ом уровне можно использовать следующую программу (задав необходимые переменные USERNAME
и DEVICE
):
#!/bin/bash USERNAME="user" DEVICE="/dev/sdc1" mkfs.ext4 $DEVICE mkdir -p /media/usb mount $DEVICE /media/usb #one level pdpl-file 2:0:0:0 /media/usb/ chown -R ${USERNAME}:${USERNAME} /media/usb/ ls -la /media/usb/ pdp-ls -M /media/usb/ umount /media/usb
6. При включении режима работы с отчуждаемыми носителями (USB-диск
) с конфиденциальной информацией все непривилегированные пользователи должны быть исключены из групп fuse и floppy
.