Содержание

Skip to end of metadata
Go to start of metadata

Данная статья применима к:

  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1

Принимая решение о допустимости хранения конфиденциальной информации на сменных носителях, следует помнить, что 

наличие физического доступа к любому носителю информации
позволяет прочитать с него всё, что там хранится,
независимо от наличия и содержания меток безопасности

Для предотвращения утечки информации следует в обязательном порядке

  • ограничить физический доступ к носителям,
  • и применять защитное преобразование хранящейся информации

При размещении конфиденциальной информации на твердотельных носителях (SSD, Flash) следует помнить, что  в силу их технических особенностей гарантированное полное стирание с них информации НЕВОЗМОЖНО.

Подробности см.  Твердотельные накопители (SSD): рекомендации по применению


Термины

  • автоматическое монтирование - автоматическое монтирование при загрузке системы или по команде mount -a. К сменным носителям практически не применяется;
  • полуавтоматическое монтирование - монтирование с помощь графического инструмента fly-admin-reflex (включает автоматическое обнаружение подключенного носителя, и выдачу пользователю графического запроса  на подключение);
  • монтирование - "ручное" монтирование с помощью инструмента командной строки mount

  • носитель - съёмный USB-накопитель или дисковый раздел на таком накопителе;
  • учтённый носитель - носитель информации, зарегистрированный в системе учёта, и подготовленный для размещения на нём классифицированной информации;
  • неучтённый носитель - любой носитель, не являющийся учтённым.

  • Метка безопасности, классификационная метка - см. Метка безопасности: структура и состав

Настройки по умолчанию: неучтённые съёмные носители vfat и ntfs

Настройки по умолчанию:

  • зарегистрированные носители отсутствуют;
  • записи в файле /etc/fstab и в каталоге /etc/fstab.d/, определяющие порядок монтирования съёмных носителей, отсутствуют.
    При этом порядок монтирования съёмных носителей определяется записями в файле /etc/fstab.pdac.
    Содержимое файла /etc/fstab.pdac по умолчанию:

    # /etc/fstab.pdac: parsec devices access control mount instructions
    #
    #<file system>          <mount point>           <type>          <options>                                                       <dump>  <pass>

    ### usb flash
    /dev/*fat               /run/user/*/media/*     auto            owner,group,noauto,nodev,noexec,iocharset=utf8,defaults         0       0
    /dev/*ntfs*             /run/user/*/media/*     auto            owner,group,noauto,nodev,noexec,iocharset=utf8,defaults         0       0
    /dev/sd*ext*            /run/user/*/media/*     auto            owner,group,nodev,noexec,noauto,defaults                        0       0

    ### [cd|dvd|bd]rom
    /dev/s*udf              /run/user/*/media/*     udf             owner,group,nodev,noexec,noauto,defaults                        0       0
    /dev/s*iso9660          /run/user/*/media/*     iso9660         owner,group,nodev,noexec,noauto,defaults                        0       0

    ### other
    /dev/sd*                /run/user/*/media/*     auto            owner,group,nodev,noexec,noauto,iocharset=utf8,defaults         0       0

    Эти правила:

    • для учтённых носителей (все правила, кроме последнего):
      • разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex в соответствии с правилами учёта.
        Правила включаются в работу по мере появления зарегистрированных носителей;
    • для неучтённых носителей (последнее правило /dev/sd*):
      • разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex носителей vfat и ntfs;

      • не обеспечивают полуавтоматическое монтирование носителей ext{2,3,4}
        (правило содержит параметр iocharset, необходимый для корректного монтирования носителей vfat, безразличный для носителей ntfs, и не поддерживаемый носителями ext{2,3,4}).
        При этом при обнаружении любого носителя запрос на полуавтоматическое монтирование выдаётся, однако попытка монтирования ext{2,3,4} завершается ошибкой и неудачей.

При этом:

  • все пользователи при создании по умолчанию добавляются в группу floppy, и могут монтировать неучтённые носители в полуавтоматическом режиме в соответствии с правилами, заданными в файле /etc/fstab.pdac;
  • пользователь с правами администратора автоматически добавлен в группу floppy и может в ручном режиме монтировать любые носители (включая ext{2,3,4}) с помощью команды mount, действуя от имени суперпользователя (sudo)

Переход на использование неучтённых съёмных носителей ext{2,3,4} и ntfs

Как указано выше, правило подключения неучтённых съёмных носителей в файле /etc/fstab.pdac, используемое "по умолчанию", несовместимо с использованием носителей  ext{2,3,4}.

Для того, чтобы можно было использовать носители ext{2,3,4} в режиме полуавтоматического подключения, из соответствующего правила следует исключить параметр iocharset, приведя правило к следующему виду:

/dev/sd*                /run/user/*/media/*     auto            owner,group,nodev,noexec,noauto         0       0


При этом в полуавтоматическом режиме носители vfat будут подключаться с неверно определяемой кодировкой, что не позволит корректно отображать и использовать русские названия файловых объектов.
На монтирование носителей ntfs указанное изменение правила не влияет, они монтируются правильно как при наличии, так и при отсутствии параметра iocharset.

Данные с ненулевыми метками безопасности на неучтённых съёмных носителях

Принадлежность пользователя к группе floppy (пользователи включаются в эту группу по умолчанию при создании) позволяет этому пользователю монтировать любые неучтённые USB-носители, и работать с ними по общим правилам мандатного разграничения доступа.

С учетом того, что метка безопасности файлового объекта может сохраняться только на носителях ext{2,3,4}, а для  всех остальных носителей (vfat, ntfs) метка безопасности не сохраняется:

  • При работе с неучтёнными носителями ext{2,3,4} пользователь может или не может читать, изменять, создавать файловые объекты в соответствии с правилами мандатного разграничения доступа;
  • Работать с неучтёнными носителями vfat и ntfs могут только пользователи с нулевой меткой безопасности. Пользователям с ненулевыми метками безопасности монтирование таких носителей запрещено;

Учтённые съёмные носители

Подробная информация: Смоленск 1.6: Порядок работы с конфиденциальной информацией на USB носителях

Принадлежность пользователя к группе floppy (пользователи включаются в эту группу по умолчанию при создании) позволяет этому пользователю монтировать любые неучтённые USB-носители, и работать с ними по общим правилам мандатного разграничения доступа.

Альтернативным  механизм разграничения доступа к носителям - механизм учёта носителей - позволят ограничить доступ к носителю, разрешив монтировать это носитель только пользователю, для которого этот носитель учтён.
При этом учтённые носители не разрешено монтировать и пользователям, входящим в группу floppy, если эти носители не учтены для пользователя, выполняющего монтирование.
Таким образом, пользователь, входящий в группу floppy, может монтировать любые носители, кроме учтённых не для него.
Если пользователя исключить из группы floppy, то он потеряет возможность монтировать неучтённые носители, и у него останется только возможность монтировать учтённые для него носители.

Исключить пользователя из группы floppy можно командой:

gpasswd -d username floppy

Учтённые носители, поддерживающие сохранение меток безопасности (ext{2,3,4}), так как для находящихся на них файловых объектов действуют общие правила мандатного разграничения доступа, могут монтироваться пользователем, имеющим любую метку безопасности, независимо от метки безопасности, присвоенной при учёте этого носителя.

Дополнительным эффектом учета носителей является возможность ввести мандатное разграничение доступа для носителей, не поддерживающих сохранение меток безопасности (носители с файловыми системами vfat, ntfs).
При этом:

  • метка безопасности фактически становится единой для всех файловых объектов, находящихся на учтённом  носителе;
  • а монтирование такого носителя разрешается:
    • только пользователю, для которого этот носитель учтён;
    • и при условии, что метка безопасности пользователя равна метке безопасности, присвоенной носителю при его учёте .

Некоторые нюансы учёта съёмных носителей и дисковых разделов на этих носителях

По умолчанию учёт съёмных носителей осуществляется по серийному номеру физического носителя (USB-накопителя).
В ситуации, когда на носителе находится несколько дисковых разделов, монтирование этих разделов подчиняется указанным выше правилам:

  • разделы ext{2,3,4} могут монтироваться пользователем, имеющим любую метку безопасности;
  • разделы vfat и ntf могут монтироваться только пользователем, имеющим метку равную метке, присвоенной при учете физическому носителю.

При необходимости, можно вручную ввести дополнительные правила, учитывающие параметры дисковых разделов, что позволит дифференцировать мандатные права доступа на уровне дисковых разделов.  Однако делать это не рекомендуется, так как параметры дисковых разделов, в отличие от серийного номера физического устройства, слишком легко поддаются фальсификации.


  • No labels