Термины
- автоматическое монтирование - автоматическое монтирование при загрузке системы или по команде mount -a. К сменным носителям практически не применяется;
- полуавтоматическое монтирование - монтирование с помощь графического инструмента fly-admin-reflex (включает автоматическое обнаружение подключенного носителя, и выдачу пользователю графического запроса на подключение);
- монтирование - "ручное" монтирование с помощью инструмента командной строки mount
- учтённый носитель - носитель, зарегистрированный в системе учёта, и подготовленный для размещения на нём классифицированной информации;
- неучтённый носитель - любой носитель, не являющийся учтённым.
- Мандатная/классификационная метка - см. по ссылке
Настройки по умолчанию: неучтённые съёмные носители vfat и ntfs
Настройки по умолчанию:
- зарегистрированные носители отсутствуют;
записи в файле /etc/fstab и в каталоге /etc/fstab.d/, определяющие порядок монтирования съёмных носителей, отсутствуют.
При этом порядок монтирования съёмных носителей определяется записями в файле /etc/fstab.pdac.
Содержимое файла /etc/fstab.pdac по умолчанию:# /etc/fstab.pdac: parsec devices access control mount instructions
#
#<file system> <mount point> <type> <options> <dump> <pass>
### usb flash
/dev/*fat /run/user/*/media/* auto owner,group,noauto,nodev,noexec,iocharset=utf8,defaults 0 0
/dev/*ntfs* /run/user/*/media/* auto owner,group,noauto,nodev,noexec,iocharset=utf8,defaults 0 0
/dev/sd*ext* /run/user/*/media/* auto owner,group,nodev,noexec,noauto,defaults 0 0
### [cd|dvd|bd]rom
/dev/s*udf /run/user/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0
/dev/s*iso9660 /run/user/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0
### other
/dev/sd* /run/user/*/media/* auto owner,group,nodev,noexec,noauto,iocharset=utf8,defaults 0 0
Эти правила:
- для учтённых носителей (все правила, кроме последнего):
- разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex в соответствии с правилами учёта.
Правила включаются в работу по мере появления зарегистрированных носителей;
- разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex в соответствии с правилами учёта.
- для неучтённых носителей (последнее правило /dev/sd*):
разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex носителей vfat и ntfs;
не обеспечивают полуавтоматическое монтирование носителей ext{2,3,4}
(правило содержит параметр iocharset, необходимый для корректного монтирования носителей vfat, безразличный для носителей ntfs, и не поддерживаемый носителями ext{2,3,4}).
При этом при обнаружении любого носителя запрос на полуавтоматическое монтирование выдаётся, однако попытка монтирования ext{2,3,4} завершается ошибкой и неудачей.
- для учтённых носителей (все правила, кроме последнего):
При этом:
- все пользователи при создании по умолчанию добавляются в группу floppy, и могут монтировать неучтённые носители в полуавтоматическом режиме в соответствии с правилами, заданными в файле /etc/fstab.pdac;
- пользователь с правами администратора автоматически добавлен в группу floppy и может в ручном режиме монтировать любые носители (включая ext{2,3,4}) с помощью команды mount, действуя от имени суперпользователя (sudo)
Переход на использование неучтённых съёмных носителей ext{2,3,4} и ntfs
Как указано выше, правило подключения неучтённых съёмных носителей, используемое "по умолчанию", несовместимо с использованием носителей ext{2,3,4}.
Для того, чтобы можно было использовать носители ext{2,3,4} в режиме полуавтоматического подключения, из соответствующего правила следует исключить параметр iocharset, приведя правило к следующему виду:
/dev/sd* /run/user/*/media/* auto
owner,group,nodev,noexec,noauto 0
0
При этом в полуавтоматическом режиме носители vfat будут подключаться с неверно определяемой кодировкой, что не позволит корректно отображать и использовать русские названия файловых объектов.
На монтирование носителей ntfs указанное изменение правила не влияет, они монтируются нормально как при наличии, так и при отсутствии параметра iocharset.
Данные с ненулевыми мандатными метками на неучтённых съёмных носителях
Информация о мандатной/классификационной метке файлового объекта может сохраняться только на носителях ext{2,3,4}.
Для всех остальных носителей (vfat, ntfs) мандатная/классификационная метка не сохраняется, поэтому вся размещенная (размещаемая) на них информация рассматривается как имеющая (получающая) нулевую мандатную/классификационную метку.
При этом для любого неучтённого носителя действуют общие правила мандатного разграничения доступа, соответственно:
- на носителях ext{2,3,4} пользователь может или не может читать, изменять, создавать файловые объекты в соответствии с правилами мандатного разграничения доступа;
- на носителях vfat и ntfs, также в соответствии с правилами мандатного разграничения доступа:
- все пользователи могут читать все данные, так как эти данные имеют нулевую мандатную метку;
- пользователи с ненулевыми мандатными метками не могут ничего записать, так как это приведёт к обнулению мандатной метки;
Учтённые съёмные носители
Мандатное разграничение доступа к учтённым съёмным носителям осуществляется на уровне носителя.
Это позволяет установить ненулевые мандатные метки для носителей vfat