Содержание

Перейти к концу метаданных
Переход к началу метаданных

Создание правила для флешки


При создании нескольких правил с одним идентификатором(например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.


Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.

Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.


Мандатное разграничение доступа возможно только на файловых системах поддерживающих расширенные атрибуты, для носителей это ФС Ext2/Ext3/Ext4.


Для создания правила и разграничения доступа к носителю запустить fly-admin-smc (Политика безопасности), открыть закладку "Доступ к устройствам", ЛКМ "Устройства и Правила" и ЛКМ "+" ("Создать" в верхней панели").

После появления окна подключения и информации подключить заранее созданный носитель (см. ниже). После определения устройства нажать на название носителя (пример на снимке 1)

Снимок 1.


В свойствах устройства выставить флаг в чек-бокс "Включено", ввести имя носителя в поле "Наименование" (снимок 2)


Снимок 2.


Перейти в закладку "Общие", выставить флаги (разграничить доступ) в чек-боксах владельца, группы и остальных, выставить в выпадающих меню пользователя и группу (снимок 3)


Снимок 3.

Нажать "Применить" (зеленая галочка на панели инструментов)


Дискретная настройка носителя

Для корректного монтирования EXT-раздела в ОС Astra Linux необходимо изменить владельца носителя, права доступа и ACL.

Для этого потребуется смонтировать носитель и поменять владельца. В нашем случае пользователя будут звать tester.

Создаем временную директорию:

mkdir /tmp/ext
Монтируем раздел носителя:
mount /dev/sdb3 /tmp/ext/
Меняем владельца (пользователь.группа):
chown tester.tester /tmp/ext/
Назначаем права доступа:
chmod 770 /tmp/ext/
Отмонтируем носитель:
umount /dev/sdb3

Создание правил для многоуровневой флешки


Создать несколько Ext2 разделов на флешке

Задать метки разделам(Label), например: ns, dsp, sec, ss.

Зарегистрировать правило для каждого раздела, используя ID_SERIAL_SHORT и ID_FS_UUID, установить мандатный уровень, дискретные права пользователя и группы.

После регистрации правил установить дискретные права на корень каждого раздела, как указано выше.