Page tree

Содержание



Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12

Данная статья неприменима к Astra Linux Special Edition РУСБ.10015-10

Описание: обеспечение доступа к смарт-картам через службу PC/SC (фоновая служба).

Назначение:  Служба PC/SC используется для динамического подключения/отключения драйверов считывателей смарт-карт «на лету» и управления соединениями со считывателями.

Глобальные настройки


Для обеспечения возможности работы службы pcscd с ненулевой меткой безопасности сокету pcscd.socket необходимо добавить привилегию PARSEC_CAP_PRIV_SOCK (см. Привилегии PARSEC). Для этого:

  1. Выполнить команду:

    sudo systemctl edit pcscd.socket

  2. В открывшемся текстовом редакторе указать следующий текст:

    [Socket]
    CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK
    
  3. Сохранить изменения;
  4. Перезапустить сокет:

    sudo systemctl restart pcscd.socket
    

После перезапуска сокета pcscd.socket убедиться, что ему присвоен атрибут ehole. Для этого использовать команду:

sudo pdp-ls -Ma /var/run/pcscd/pcscd.comm

Пример вывода команды:

srw-rw-rw-m-- 1 root root Уровень_0:Низкий:Нет:ehole /var/run/pcscd/pcscd.comm

Если атрибут ehole отсутствует, то удалить сокет pcscd.comm командой:

sudo rm -r /var/run/pcscd/pcscd.comm


После удаления сокета перезагрузить компьютер.

Проверка


Для проверки обратиться к токену из процесса с ненулевой классификационной меткой. Для обращения к токену можно использовать команду  opensc-explorer.

В Astra Linux Special Edition x.7 выполнить команду с ненулевой классификационной меткой можно с помощью команды pdp-exec:

sudo pdp-exec -l 1:0:0 opensc-explorer
В более ранних очередных обновлениях команду opensc-explorer следует выполнить в пользовательской сессии с ненулевой классификационной меткой.

В случае успеха Opensc explorer сообщит, что обратился к слоту с токеном:

root@smolensk: # opensc-explorer 
OpenSC Explorer version 0.16.0
Using reader with a card: Aktiv Rutoken ECP 00 00
OpenSC [3F00]>

Запуск с определенным уровнем конфиденциальности 


Для запуска службы pcscd с определенной ненулевой классификационной меткой следует назначить службе эту метку. Для этого:

  1. Выполнить команду:

    sudo systemctl edit pcscd.service

  2. В открывшемся текстовом редакторе указать имя секции [Service] и нужную метку, например, для задания метки иерархическим уровнем конфиденциальности равным единице:

    [Service]
    PDPLabel=1:63:0

    Формат метки:

    PDPLabel=<Уровень>:<Уровень целостности>:<Категории>

    Формат метки PDPLabel аналогичен принятому в системе PARSEC за исключением поля типа - метки.

  3. Сохранить изменения;

  4. Перезапустить службу:

    sudo systemctl restart pcscd.service