Содержание

Skip to end of metadata
Go to start of metadata

Принимая решение о допустимости хранения конфиденциальной информации на сменных носителях, следует помнить, что 

наличие физического доступа к любому носителю информации
позволяет прочитать с него всё, что там хранится,
независимо от наличия и содержания мандатных меток

Для предотвращения утечки информации следует в обязательном порядке

  • ограничить физический доступ к носителям,
  • и применять защитное преобразование хранящейся информации

При размещении конфиденциальной информации на твердотельных носителях (SSD, Flash) следует помнить, что  в силу их технических особенностей гарантированное полное стирание с них информации НЕВОЗМОЖНО.

Подробности см.
Твердотельные накопители (SSD): рекомендации по применению

Данная статья применима к:

  • ОС СН Смоленск 1.5



При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.



Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.

Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.



1. Поддерживаемые файловые системы для работы с конфиденциальной информацией на USB носителях: ext4 и vfat.

2.Для работы с конфиденциальной информацией нужно создать для USB носителя правила доступа с помощью графического инструмента fly-admin-smc согласно документации.

3.Для vfat usb устройств работа возможна только при входе на уровне, который назначен администратором для устройства во fly-admin-smc.

4.Работа на разных уровнях конфиденциальности на учтенном USB- носителе с EXT4  возможна пользователем в соответствии с его правами, заданными администратором. 

Предварительно администратор должен создать дерево каталогов разного уровня на файловой системе такого USB-носителя.

5.1 Для создания ext4 usb носителя для работы на нескольких уровнях можно использовать следующую программу (задав необходимые переменные USERNAME и DEVICE):

#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#multilevel
pdpl-file 3:0:-1:ccnr /media/usb/
mkdir /media/usb/{0,1,2,3}
pdpl-file 0:0:0:0 /media/usb/0
pdpl-file 1:0:0:0 /media/usb/1
pdpl-file 2:0:0:0 /media/usb/2
pdpl-file 3:0:0:0 /media/usb/3
chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3}
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb


5.2 Для создания ext4 usb носителя для работы на одном 2ом уровне можно использовать следующую программу (задав необходимые переменные USERNAME и DEVICE):

#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#one level
pdpl-file 2:0:0:0 /media/usb/
chown -R ${USERNAME}:${USERNAME} /media/usb/
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb

6. При включении режима работы с отчуждаемыми носителями (USB-диск) с конфиденциальной информацией все непривилегированные пользователи должны быть исключены из групп fuse и floppy.