Устройства и правила

Имя пакета: astra-systemsettings
Версия пакета: 4:5.27.8-1astra12+ci11 и выше
Условия работы: вход в сессию с правами администратора

Общие сведения

Функции модуля:

• контроль подключения периферийных устройств и съемных носителей информации (далее — устройств) в системе;
• регистрация устройств в системе и ограничение доступа к ним.

При регистрации устройства создается правило менеджера устройств udev для этого устройства. Правило udev используются для идентификации устройства при следующем подключении и ограничения доступа к нему. Для идентификации устройства каждое правило udev содержит одно или несколько условий. В условии указано свойство устройства и значение, которому это свойство должно быть равно или не равно. При подключении устройства определяются его свойства и их значения. Если значения свойств соответствуют всем условиям в правиле udev, это правило применяется к подключенному устройству. Устройству назначаются права доступа, заданные в правиле udev. При включенном мандатном управлении доступом устройству также присваивается классификационная метка, заданная в правиле udev.

Регистрация устройств и применение к ним правил доступа возможны только при включенном средстве контроля подключения устройств.

Описание менеджера устройств см. man udev. Описание механизма контроля подключения устройств приведено в эксплуатационных документах «Руководство по КСЗ. Часть 1» и «Руководство администратора. Часть 1».

Запуск

Модуль запускается:

• в графическом интерфейсе:
  • через меню Пуск — Параметры — Устройства и правила;
  • через классическое меню Пуск — Параметры системы, в окне Параметры системы перейти в раздел Устройства и правила;
• из терминала — выполнить команду:

astra-systemsettings astra_kcm_devices_and_rules

Контроль подключения устройств

Регистрация устройств в системе и применение к ним правил доступа возможны только при включенном средстве контроля подключения устройств (СКПУ).

По умолчанию СКПУ включено.

Для выключения СКПУ необходимо:

• снять флаг Включить средство контроля подключения устройств (СКПУ);
• нажать [Применить], при необходимости ввести пароль администратора.

Для включения СКПУ необходимо:

• установить флаг Включить средство контроля подключения устройств (СКПУ);
• нажать [Применить], при необходимости ввести пароль администратора.

Регистрация устройств

Регистрировать можно одно устройство (например, конкретный носитель USB) или группу устройств (например, все устройства определенного производителя или использующие файловую систему определенного типа). При регистрации устройства создается правило udev, которое используется для идентификации устройства при следующем подключении и ограничения доступа к нему. Для идентификации устройства правило udev содержит одно или несколько условий. Каждое условие указывает свойство устройства и значение, которому это свойство должно быть равно или не равно. При подключении устройства определяются его свойства и их значения. Если значения свойств соответствуют условиям, то правило udev применяется к подключенному устройству. Устройству назначаются права доступа, заданные в правиле udev. Если включено мандатное управление доступом, то устройству также присваивается классификационная метка, заданная в правиле udev.

Зарегистрированные устройства отображаются в секции Устройства в виде таблицы.

Чтобы начать регистрацию устройства, необходимо:

• в секции Устройства нажать [Добавить устройство], при необходимости ввести пароль администратора;

• когда отобразится окно Добавление устройства, подключить устройство к компьютеру. Будет отображена информация о подключенном устройстве.
  ВНИМАНИЕ! Подключать устройство следует строго после отображения окна Добавление устройства. Подключенные до этого устройства не будут распознаны;

• чтобы просмотреть свойства подключенного устройства, в окне Добавление устройства перейти во вкладку Свойства.

Каждое свойство устройства имеет свое значение. Описание свойств см. man udev.

Чтобы выбрать свойства, которые будут записаны в правило udev, необходимо в окне Добавление устройства во вкладке Свойства установить флаги напротив этих свойств. Для поиска свойств можно воспользоваться фильтром. Режим работы фильтра можно выбрать из выпадающего списка:

• Подстановка — позволяет использовать специальные символы и последовательности:
  • «?» — на месте специального символа может быть не более одного любого символа (например, «?id» будет совпадать с «id», «uid» и «gid»);
  • «*» — на месте специального символа может быть произвольное количество любых символов (например, «s*e» будет совпадать с «space» и «scope»);
  • «[ ]» — в квадратных скобках перечисляются символы (буквы, цифры, знаки препинания, пробел и другие), которые могут быть на этом месте в любом количестве и в любой последовательности. При перечислении не используются пробелы и разделяющие знаки;
• Регулярное выражение — позволяет использовать регулярные выражения на основе языка Perl;
• Строка — выполняет посимвольное сравнение с введенной строкой.

Примечание. Выбрать свойства можно позже (см. Идентификация устройства по свойствам), но рекомендуется сделать это сразу.

Для добавления выбранных свойств необходимо в окне Добавление устройства нажать [Да]. На основе каждого выбранного свойства будет создано условие, что это свойство должно быть равно определенному значению. Произойдет возврат в основное окно модуля, где будет отображена карточка добавленного устройства с выбранными свойствами, а также права доступа к устройству.

В карточке устройства обязательно указать название устройства в поле Наименование. Название должно начинаться с латинской буквы и может содержать латинские буквы и цифры. При необходимости название устройства можно будет изменить после регистрации (см. Название устройства).

По умолчанию устройству назначаются следующие права доступа:

• для пользователя-владельца — чтение и запись;
• для группы-владельца — только чтение;
• для остальных — права доступа отсутствуют.

Классификационная метка устройства по умолчанию нулевая.

При необходимости можно задать следующие настройки:

• ввести описание устройства (см. Описание устройства);
• изменить свойства устройства (см. Идентификация устройства по свойствам);
• изменить права доступа к устройству (см. Права доступа к устройству);
• изменить классификационную метку устройства (см. Классификационная метка устройства);
• задать дополнительные правила доступа к устройству (см. Правила);
• настроить аудит событий, связанных с устройством (см. Аудит устройства);

Для сохранения настроек нажать [Применить], при необходимости ввести пароль администратора. Будет сгенерировано правило udev в соответствии с заданными настройками. Карточка устройства будет сохранена и закрыта. Зарегистрированное устройство отобразится в основном окне модуля в секции Устройства.

Настройки устройства

Включение и выключение устройства

Чтобы выключить правило udev устройства, необходимо:

• в секции Устройства дважды нажать на устройство, при необходимости ввести пароль администратора;
• в настройках устройства снять флаг Включено;

• нажать [Применить], при необходимости ввести пароль администратора.

Выключенное правило udev не будет применяться при физическом подключении устройства к компьютеру.

Для включения правила udev необходимо в настройках устройства установить флаг Включено.

Название устройства

Название устройства обязательно задается при его регистрации (см. Регистрация устройств), но при необходимости уже зарегистрированное устройство можно переименовать. Для изменения названия устройства необходимо:

• в секции Устройства дважды нажать на устройство, при необходимости ввести пароль администратора;
• в настройках устройства перейти во вкладку Общие и отредактировать поле Наименование.
• для сохранения изменений нажать [Применить], при необходимости ввести пароль администратора.

Описание устройства

Для изменения описания устройства необходимо:

• в секции Устройства дважды нажать на устройство, при необходимости ввести пароль администратора;
• в настройках устройства перейти во вкладку Общие и отредактировать поле Описание.
• для сохранения изменений нажать [Применить], при необходимости ввести пароль администратора.

Идентификация устройства по свойствам

Добавление свойства

При регистрации устройства определяются его свойства и их значения (см. Регистрация устройств). Эти свойства используются для идентификации устройства при следующем подключении.

При необходимости можно добавить свойства к зарегистрированному устройству — с помощью импорта (см. Импорт свойств) или вручную. Для добавления свойства вручную необходимо:

• в секции Устройства дважды нажать на устройство, при необходимости ввести пароль администратора;
• в секции Свойства нажать [Добавить свойство];

• в столбце Тип из выпадающего списка выбрать свойство или группу свойств. Описание свойств и групп свойств см. man udev;
• если в столбце Тип была выбрана группа свойств (например, переменные окружения), то в столбце Ключ дважды нажать левой кнопкой мыши и ввести название нужного ключа из этой группы;
• в столбце Операция из выпадающего списка выбрать нужную операцию сравнения:
  • == («равно») — значение свойства должно быть равно заданному (например, только определенный производитель);
  • != («не равно») — значение свойства должно быть не равно заданному (например, любая файловая система, кроме указанной);
• в столбце Значение дважды нажать левой кнопкой мыши и ввести значение в кавычках, с которым будет сравниваться фактическое значение свойства подключаемого устройства;
• нажать [Применить], при необходимости ввести пароль администратора.

Импорт свойств

Для импорта свойств устройства необходимо:

• в основном окне модуля в секции Устройства дважды нажать на устройство, при необходимости ввести пароль администратора;
• в секции Свойства нажать [Импорт свойств];

• когда отобразится окно Добавление устройства, подключить к компьютеру устройство, с которого будут импортированы свойства. Будет отображена информация о подключенном устройстве.
  ВНИМАНИЕ! Подключать устройство следует строго после отображения окна Добавление устройства. Подключенные до этого устройства не будут распознаны;

• в окне Добавление устройства перейти во вкладку Свойства и выбрать свойства для импорта, установив соответствующие флаги;
  

• нажать [Да]. Будет выполнен возврат в основное окно модуля. Выбранные свойства будут добавлены в список свойств устройства;
• в основном окне модуля нажать [Применить], при необходимости ввести пароль администратора.

Удаление свойства

Для удаления свойства необходимо:

• в секции Устройства дважды нажать на устройство, при необходимости ввести пароль администратора;
• в секции Свойства выбрать свойство и нажать [Удалить свойство].

Для удаления всех свойств нажать [Удалить все свойства].
ВНИМАНИЕ! Свойства будут удалены сразу, без запроса дополнительного подтверждения.

Для сохранения изменений нажать [Применить], при необходимости ввести пароль администратора.

Копирование свойства в буфер обмена

Для копирования строки свойства в буфер обмена (например, для использования в другой программе, сценарии или конфигурационном файле) необходимо:

• в секции Устройства дважды нажать на устройство, при необходимости ввести пароль администратора;
• в секции Свойства выбрать строку;
• нажать [Копировать свойства];

• в открывшемся окне Копировать свойства убедиться, что выбрана нужная строка. Если ранее была по ошибке выбрана другая строка, выбрать нужную из выпадающего списка;

• нажать [Да].

Права доступа к устройству

Права доступа к устройству определяют:

• пользователя, являющегося владельцем устройства, и разрешенные ему операции (чтение, запись, выполнение);
• группу, члены которой являются владельцами устройства, и разрешенные им операции;
• операции, разрешенные остальным пользователям, которые не являются владельцами устройства.

Для настройки прав доступа необходимо:

• в секции Устройства дважды нажать на устройство, при необходимости ввести пароль администратора;
• в настройках устройства во вкладке Общие:
  • в секции Пользователь из выпадающего списка выбрать пользователя-владельца, с помощью флагов выбрать разрешенные ему операции;
  • в секции Группа из выпадающего списка выбрать группу-владельца, с помощью флагов выбрать разрешенные для ее членов операции.
    ВНИМАНИЕ! Если пользователь-владелец входит в группу-владельца, то разрешения пользователя-владельца имеют более высокий приоритет;
  • в секции Остальные с помощью флагов выбрать разрешенные операции для пользователей, не являющихся владельцами устройства;
• нажать [Применить], при необходимости ввести пароль администратора.

Классификационная метка устройства

Классификационная метка устройства определяет, с какой классификационной меткой пользователь должен войти в сессию, чтобы иметь доступ к этому устройству. Классификационная метка доступна только на максимальном уровне защищенности («Смоленск») при включенном мандатном управлении доступом (см. справочную страницу «Мандатное управление доступом»).

Для присвоения классификационной метки необходимо:

• в секции Устройства дважды нажать на устройство, при необходимости ввести пароль администратора;
• в настройках устройства перейти во вкладку МРД;
• из выпадающего списка Уровень выбрать уровень конфиденциальности;
• в таблице Категории установкой флагов выбрать категории конфиденциальности;
• нажать [Применить], при необходимости ввести пароль администратора.

Правила для устройства

Правила позволяют задавать условия для идентификации устройства в дополнение к свойствам устройства, выбранным при регистрации (см. Регистрация устройств). Например, это могут быть часто используемые условия, которые требуется добавлять для множества регистрируемых устройств. Создание правил см. Правила.

Для просмотра правил, которые будут применяться к устройству, необходимо:

• в секции Устройства дважды нажать на устройство, при необходимости ввести пароль администратора;
• в настройках устройства перейти во вкладку Правила.

Для добавления правила в список применимых к устройству необходимо:

• во вкладке Правила нажать [Добавить правило];

• в открывшемся окне выбрать нужное правило. Для поиска правила можно воспользоваться полем фильтрации (описание поля фильтрации см. Регистрация устройств);
• нажать [Да] для подтверждения.

Добавленные правила будут использоваться для идентификации устройств совместно с правилом udev.

Для удаления правила из списка применимых к устройству выбрать правило и нажать [Удалить правило].

Для сохранения изменений нажать [Применить], при необходимости ввести пароль администратора.

Аудит устройства

Правила аудита устройства определяют, какие успешные и неуспешные события с устройством (открытие, выполнение, удаление и т.д.) будут записываться в журнал регистрации событий безопасности системы (см. справочную страницу «Журнал системных событий»).

Для настройки аудита необходимо:

• в секции Устройства дважды нажать на устройство, при необходимости ввести пароль администратора;
• в настройках устройства перейти во вкладку Аудит;
• во вкладке Аудит в строке нужного события установить нужные флаги:
  • в столбце Успех — регистрация успешного события. Ключи регистрируемых событий будут отображены в строке Аудит успехов;
  • в столбце Отказ — регистрация неуспешного cобытия. Ключи регистрируемых событий будут отображены в строке Аудит неудач;

• нажать [Применить], при необходимости ввести пароль администратора.

Удаление устройства

Для удаления устройства выбрать его в основном окне модуля в секции Устройства и нажать [Удалить устройство], при необходимости ввести пароль администратора.

Правила

Создание правила

Правила позволяют задавать условия для идентификации устройства в дополнение к свойствам устройства, выбранным при регистрации (см. Регистрация устройств). Это могут быть часто используемые условия, которые требуется добавлять для множества регистрируемых устройств. Например, чтобы разрешить подключение только к определенному USB-порту компьютера.

Для создания правила необходимо:

• в секции Правила нажать [Добавить правило];

• в поле Наименование ввести название правила;
• в поле Описание ввести описание правила;
• настроить свойства правила аналогично настройке свойств устройства (см. Идентификация устройства по свойствам);
• чтобы сразу сделать правило активным, установить флаг Включено, иначе оставить флаг снятым;
• нажать [Применить], при необходимости ввести пароль администратора.

Созданное правило можно применить к устройству (см. Правила для устройства).

Редактирование правила

Для редактирования правила необходимо:

• в секции Правила дважды нажать на правило;
• внести нужные изменения в правило (так же, как при добавлении правила, см. Создание правила).

Удаление правила

Для удаления правила необходимо:

• в секции Правила выбрать правило;
• нажать [Удалить правило].

Сброс изменений

Для того чтобы сбросить все несохраненные изменения настроек, необходимо нажать [Сбросить].