Просмотреть исходный

Эта статья устарела. Актуальную версию см. Съемные устройства хранения данных в Astra Linux.

Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)

Создание правила для USB-накопителя

При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного накопителя под разными уровнями udev будет обрабатывать только одно из этих правил.

Для запрета монтирования всех USB-накопителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.

Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования файловой системы ntfs необходимо снять suid бит с /bin/ntfs-3g.

В более поздних версиях Astra Linux группа fuse не используется. Порядок работы с конфиденциальной информацией на USB-накопителях для этих версий см. в статье Съемные устройства хранения данных в Astra Linux.

Мандатное разграничение доступа возможно только на файловых системах, поддерживающих расширенные атрибуты. Для USB-накопителей это файловые системы Ext2/Ext3/Ext4.

Для создания правила и разграничения доступа к накопителю запустить fly-admin-smc (Политика безопасности), открыть закладку "Доступ к устройствам", ЛКМ "Устройства и Правила" и ЛКМ "+" ("Создать" в верхней панели").

После появления окна подключения и информации подключить заранее подготовленный накопитель (см. ниже). После определения устройства нажать на его название (пример на снимке 1)

Снимок 1.

Справочный центр > Astra Linux Special Edition 1.5 ⬝ Разграничение доступа к USB-накопителям > device_control_creation.png

В свойствах устройства выставить флаг в чек-бокс "Включено", ввести имя накопителя в поле "Наименование" (снимок 2)

Снимок 2.

Справочный центр > Astra Linux Special Edition 1.5 ⬝ Разграничение доступа к USB-накопителям > device_control_params.png

Перейти в закладку "Общие", выставить флаги (разграничить доступ) в чек-боксах владельца, группы и остальных, выставить в выпадающих меню пользователя и группу (снимок 3)

Снимок 3.

Справочный центр > Astra Linux Special Edition 1.5 ⬝ Разграничение доступа к USB-накопителям > device_control_params_2.png

Нажать "Применить" (зеленая галочка на панели инструментов)

Для того, чтобы изменения ограничений мандатного доступа вступили в силу, следует переподключить накопитель.
Для того, чтобы можно было получить доступ к накопителю после перезагрузки компьютера следует переподключить накопитель.

Дискреционная настройка накопителя

Для корректного монтирования EXT-раздела в ОС Astra Linux необходимо изменить владельца накопителя, права доступа и ACL. Для этого требуется смонтировать ФС накопителя и изменить владельца. Порядок действий:

Создать временный каталог:
mkdir /tmp/ext
Примонтировать дисковый раздел накопителя:
mount /dev/sdb3 /tmp/ext/
Изменить владельца (пользователь.группа):
chown <имя_владельца>.<имя_группы_владельца> /tmp/ext/
Назначить права доступа:
chmod 770 /tmp/ext/
Отмонтировать накопитель:
umount /dev/sdb3

Создание правил для многоуровневого флеш-накопителя

Создать на накопителе несколько Ext2 разделов;
Задать метки разделам(Label), например: ns, dsp, sec, ss;
Зарегистрировать правило для каждого раздела, используя ID_SERIAL_SHORT и ID_FS_UUID, установить мандатный уровень, дискретные права пользователя и группы;
После регистрации правил установить дискретные права доступа на корневой каталог каждого раздела, как указано выше.