Термины

• Носитель информации (носитель) — физическое устройство для хранения информации. Не имеет собственных систем обработки данных.
• Накопитель информации (накопитель)  —  устройство, обеспечивающее запись, хранение и чтение информации, содержащее накопитель (накопители) информации и систему обработки данных, обеспечивающую взаимодействие с компьютером и с накопителями.
• Устройство хранения информации (устройство) — носитель или накопитель.
• Учтенное устройство — устройство, зарегистрированное в системе учета.
• Неучтенное устройство — любое устройство, не являющееся учтенным.
• Съемное устройство — устройство, конструктивно предназначенное для подключения и отключения без перезапуска ОС и без использования инструментов. Обычно это USB-накопитель или CD/DVD-диск.
• Отчуждаемое устройство — то же, что и съемное устройство хранения данных.
• Автоматическое монтирование:
  • Монтирование файловых систем устройства при загрузке ОС или по команде mount -a в соответствии с правилами, заданными в файле /etc/fstab. Применение к учтенным устройствам не допускается.
  • Монтирование файловых систем устройства при подключении съемного устройства хранения данных в соответствии с правилами udev. Может быть настроено вручную. Применение к учтенным устройствам не допускается.
• Полуавтоматическое монтирование — монтирование файловых систем с помощью графического инструмента fly-admin-reflex (включает автоматическое обнаружение подключения устройства, и выдачу пользователю графического запроса  на монтирование обнаруженных в устройстве дисковых разделов). Может применяться как к неучтенным, так и к учтенным устройствам. Рекомендованный способ работы с учтенными устройствами.
• Монтирование — "ручное" монтирование файловых систем устройства с помощью инструментов командной строки (mount, udisksctl).
• Дисковый раздел — выделенная часть информационного пространства устройства. Может содержать файловую систему (файловые объекты). В одном устройстве может находиться несколько дисковых разделов.
• Метка безопасности, классификационная метка — см. Метка безопасности: структура и состав.
• Пользователь — непривилегированный пользователь, не имеющий прав суперпользователя.
• Администратор — пользователь с правами суперпользователя (и с высоким уровнем целостности при условии использования МКЦ).
• UUID — уникальный идентификатор дискового раздела или файловой системы (ФС). Генерируются случайным образом при создании раздела и создании на нем ФС (форматировании).

Поддерживаемые файловые системы

Astra Linux Special Edition поддерживает работу с конфиденциальной информацией на дисковых разделах со следующими файловыми системами:

• ext2/ext3/ext4;
• xfs (начиная с Astra Linux Special Edition x.7);
• vfat;
• ntfs (поддерживается только полуавтоматическое монтирование в сессиях с нулевой классификационной меткой);
• iso9660/udf;

Управление монтированием

Для включения блокировки монтирования (запрета выполнения монтирования непривилегированными пользователями) используется команда:

Для выключения блокировки монтирования используется команда:

Поддерживаемые способы монтирования

Монтирование с помощью команды mount

Команда mount в Astra Linux позволяет:

• Монтировать произвольные устройства в произвольные каталоги. Выполнение такого монтирования по умолчанию запрещено пользователям, и доступно только администраторам с правами суперпользователя.
• Монтировать определенные устройства в определенные каталоги. Порядок такого монтирования определяется в таблице монтирования в файле /etc/fstab. Такое монтирование может быть доступно непривилегированным пользователям (например, по умолчанию разрешено монтирование оптических дисков в каталог /media/cdrom0).
• Монтировать определенные типы устройств в определенные типы каталогов. Монтируемые устройства и цели монтирования задаются с использованием регулярных выражений. Порядок такого монтирования определяется таблице монтирования в файле /etc/fstab.pdac (см. далее: Определение параметров полуавтоматического монтирования в файле /etc/fstab.pdac).

При этом:

• участие пользователей в специальных группах floppy, cdrom, disk запрет использования команды mount не отменяет;

  Участие пользователей в специальных группах cdrom и disk  позволяет этим пользователям выполнять операции чтения/записи на устройствах /dev/srX (приводах оптических дисков) и /dev/fdX (приводах гибких дисков), однако право монтировать эти устройства не предоставляет. Специальная группа floppy используется в Astra Linux Special Edition для разрешения полуавтоматического монтирования.

• в стандартной таблице монтирования (файл /etc/fstab):

  • присутствует запись, разрешающая пользователям монтировать компакт-диски в каталог /media/cdrom0:
    

    /dev/sr0        /media/cdrom0   udf,iso9660 user,noauto     0       0

  • иные записи, определяющие порядок монтирования пользователями дисковых разделов, отсутствуют;

Команда mount обычно используется в варианте с двумя аргументами:

1. Монтируемое устройство (источник) - устройство, подлежащее монтированию;
2. Точка монтирования (цель) - каталог, в который осуществляется монтирование

Поиск целей монтирования выполняется в файле /etc/fstab, и в файле /etc/fstab.pdac. Для файла  /etc/fstab.pdac применяются регулярные выражения. Пример команд для монтирования устройства от имени непривилегированного пользователя с использованием файла /etc/fstab.pdac:

1. Создать каталог для монтирования:
   

   mkdir /run/user/`id -u`/media/tmp
   Вместо команды
   
   id  -u
   автоматически подставляется числовой идентификатор текущего пользователя. Цель (каталог монтирования) при этом должна соответствовать каталогу, указанному для таких устройств в файле /etc/fstab.pdac (см. далее раздел Определение параметров полуавтоматического монтирования в файле /etc/fstab.pdac);
   

2. Примонтировать устройство, действуя от имени непривилегированного пользователя:

   mount /dev/sda /run/user/`id -u`/media/tmp

Если в команде mount указан только один аргумент, то производится попытка найти такую запись в конфигурационном файле /etc/fstab и получить из этой записи второй аргумент. Поиск в файле /etc/fstab выполняется по точному соответствию (регулярные выражения  не применяются).

Монтирование с помощью команды udisksctl (пакет udisks2)

Команда монтирования udisksctl в отличие от команды mount доступна непривилегированным пользователям. Команда использует только один аргумент - источник, а правила именования цели (точки монтирования) зафиксированы в системной службе udisks2.service. По умолчанию монтирование осуществляется в каталог:

/media/<имя_пользователя>/<UUID_ФС>

Из командной строки монтирование может выполняться командой:

Право выполнять операцию монтирования с помощью команды udisksctl контролируется с помощью правила /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla. Это правило создается при установке Astra Linux Special Edition и, в зависимости от используемого обновления:

• в Astra Linux Special Edition x.7 с установленными оперативными обновлениями запрещает такие операции;
• в Astra Linux Special Edition x.7 без установленных оперативных обновлений требует ввести пароля администратора для выполнения монтирования, и может быть удалено/восстановлено командами sudo astra-mount-lock disable/sudo astra-mount-lock enable;
• в Astra Linux Special Edition 1.6 без установленных оперативных обновлений требует ввести пароля администратора для выполнения монтирования;

• в Astra Linux Common Edition правило /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla отсутствует, то есть операция разрешена всем пользователям без запроса пароля.

Монтирование с помощью графических инструментов fly-wm (полуавтоматическое монтирование)

В состав Astra Linux входят следующие графических инструменты для выполнения монтирования:

• графический файловый менеджер fly-fm;
• графический инструмент fly-reflex-service (всплывающее окно, иконка в трее).

Графические инструменты используют команду mount. Далее по тексту монтирование с помощью графический инструментов обозначается термином "полуавтоматическое монтирование".

Определение параметров полуавтоматического монтирования в файле /etc/fstab.pdac

При выполнении монтирования с помощью модифицированной команды mount порядок монтирования определяется правилами, хранящимися в файле /etc/fstab.pdac. Монтирование выполняется в каталоги вида:

/run/user/<числовой_идентификатор_пользователя>/media/<серийный_номер_устройства>

Содержимое файла /etc/fstab.pdac по умолчанию:

эти правила:

• • • для дисковых разделов учтенных устройств (все правила, кроме последнего):
      • разрешают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex. Правила включаются в работу по мере подключения зарегистрированных устройств;
    • для дисковых разделов неучтенных устройств (последнее правило /dev/sd*):
      

      • ФС vfat и ntfs: разрешают и полностью поддерживают полуавтоматическое монтирование с помощью графической утилиты fly-admin-reflex ;

      • ФС ext2, ext3, ext4, xfs: не поддерживают полуавтоматическое монтирование дисковых разделов с ext2, ext3, ext4, xfs:
        Так как правило содержит параметр iocharset, необходимый для корректного монтирования ФС, безразличный для дисковых разделов с ФС ntfs, и не поддерживаемый при монтировании дисковых разделов с ФС ext2, ext3, ext4, xfs.  При обнаружении дискового раздела с ФС ext2, ext3, ext4,xfs запрос на полуавтоматическое монтирование выдается, однако попытка монтирования завершается ошибкой;

      • для неучтенных устройств с ФС iso9660 (оптических дисков) для того, чтобы пользователи могли выполнять их полуавтоматическое монтирование следует в файл /etc/fstab.pdac добавить строку:

        /dev/sr*                /run/user/*/media/*     iso9660,udf     user,noauto             0       0

      • для монтирования накопителей NVME следует использовать таблицу монтирования /etc/fstab. Для полуавтоматического монтирования таких устройств в файл /etc/fstab.pdac добавить строку вида:

        /dev/nvme*                /run/user/*/media/*     <параметры>     user,noauto             0       0

        где параметры указать в соответствии с используемой ФС.
        

Astra Linux Special Edition: переход на использование дисковых разделов ext2, ext3, ext4,xfs на неучтенных устройствах

Как указано выше, в Astra Linux Special Edition правило монтирования ФС неучтенных устройств в файле /etc/fstab.pdac, используемое "по умолчанию", несовместимо с использованием ФС ext2, ext3, ext4, xfs. Для того, чтобы можно было использовать полуавтоматическое монтирование таких ФС, из соответствующего правила следует исключить параметр iocharset, приведя правило к следующему виду:

При этом полуавтоматическое монтирование ФС vfat будет выполняться с неверно определяемой кодировкой, что не позволит корректно отображать и использовать названия файловых объектов, использующие кириллицу. На монтирование и работу дисковых разделов с ФС ntfs указанное изменение правила не влияет, монтирование выполняется правильно как при наличии, так и при отсутствии параметра iocharset.

Данные с ненулевыми метками безопасности на неучтенных съемных устройствах

С учетом того, что информация о владельцах и правах доступа (дискреционное управление доступом) и метка безопасности (мандатное управление доступом) файлового объекта могут сохраняться только при использовании ФС ext2, ext3, ext4, xfs, а для  всех остальных ФС метка безопасности не сохраняется:

• при работе с дисковыми разделами ext2, ext3, ext4, xfs на неучтенных устройствах пользователь может или не может читать, изменять, создавать файловые объекты в соответствии правилами дискреционного доступа и с правилами мандатного разграничения доступа;
• работать с дисковыми разделами vfat и ntfs на неучтенных устройствах могут только пользователи с нулевой меткой безопасности. Пользователям, работающих с ненулевыми метками безопасности, монтирование таких дисковых разделов запрещено;

Учтенные съемные устройства

Механизм учета устройств (дисковых разделов) позволяет ограничить доступ к данным, разрешив монтировать ФС только пользователю, для которого устройство (дисковый раздел) учтено.

Правила учета устройств в равной мере применимы к устройствам и к дисковым разделам в устройствах. При этом правила учета могут быть заданы отдельно для устройства и для его дисковых разделов (не рекомендуется). Если в устройстве находится несколько дисковых разделов, то:

• если учтено только устройство (например, зарегистрировано по серийному номеру устройства без использования иных атрибутов), то правила учета равно применимы ко всем дисковым разделам в этом устройстве;

• если учтены дисковые разделы (например, дисковый раздел зарегистрирован по серийному номеру устройства и по UUID дискового раздела), то правила учета применимы индивидуально к этому дисковому разделу.

  Во избежание конфликтов правил учета рекомендуется при учете устройств использовать принцип "одно устройство — один дисковый раздел", учитывая только физические устройства. Далее:

  • подразумевается, что устройство и единственный находящийся на этом устройстве дисковый раздел учтены одинаково;
  • термины "устройство" и "дисковых раздел" взаимозаменяемы;
  • для краткости используется термин "устройство".

Дополнительным эффектом учета устройств является возможность ввести мандатное разграничение доступа для ФС, не поддерживающих сохранение меток безопасности (ФС vfat, ntfs).
При этом:

• метка безопасности с которой учтено устройство становится единой для всех файловых объектов, находящихся в учтённом устройстве;
• монтирование ФС такого устройства разрешается:
  • только пользователю, для которого это устройство учтено;
  • при условии, что метка безопасности сессии пользователя равна метке безопасности, присвоенной устройству при его учёте.

Итого (в таблице для обозначения возможности полуавтоматического монтирования применяется сокращение ПАМ ):

Съемные устройства с несколькими дисковыми разделами

В ситуации, когда в устройстве находится несколько дисковых разделов, монтирование этих разделов подчиняется указанным выше правилам для устройств:

• дисковые разделы с ФС ext2, ext3, ext4, xfs могут монтироваться пользователем, имеющим любую метку безопасности;
• дисковые разделы с ФС vfat и ntfs могут монтироваться только пользователем, имеющим метку равную метке, присвоенной при учете устойству.

Если это допускается действующими требованиями безопасности, то можно вручную ввести дополнительные правила, учитывающие параметры дисковых разделов, что позволит дифференцировать мандатные права доступа на уровне дисковых разделов. Однако делать это не рекомендуется, так как параметры дисковых разделов, в отличие от серийного номера физического устройства, слишком легко поддаются фальсификации.

Регистрация учтенных устройств

Регистрация устройств выполняется:

• для локального компьютера - с помощью инструментов управления параметрами системы в разделе "Устройства и правила" - "Устройства";
• для доменных компьютеров в доменах ALD - с помощью инструмента "Доменная политика безопасности" ("Пуск" → "Панель управления" → "Сеть" → "Доменная политика безопасности" → "Устройства и правила" → "Устройства");
• для доменных компьютеров в доменах FreeIPA - с помощью web-интерфейса FreeIPA ("Политики" → "Политика Parsec" →  "Учтенные устройства"), подробнее см. Особенности применения съемных устройств хранения данных при работе с FreeIPA.

Далее рассматривается процедура регистрации устройства для локального компьютера. Процедура регистрации для доменов ALD в целом аналогична процедуре для локального компьютера.

Для регистрации устройства:

1. Запустить инструмент fly-admin-smc:
   

   В разделе меню "Устройства и правила" — "Устройства" в секции "Свойства" задаются идентификационные параметры со значениями для устройства. По этим параметрам устройства идентифицируются, и при несовпадении какого-то из заданного правил идентификации - устройство будет отнесено к незарегистрированному. Пример такого параметра — серийный номер устройства.
   В разделе меню "Устройства и правила" — "Правила" создаются идентификационные правила, позволяющие настроить определяющие параметры для групп устройств. Такие правила являются "шаблонными" или заготовками, которые можно добавлять при необходимости к правилам для зарегистрированных устройств ("Устройства и правила" — "Устройства" — вкладка на рабочей панели "Правила).

2. Перейти в "Устройства и правила" - "Устройства":
   
   
   
3. Если регистрируемое устройство уже подключено к компьютеру, то отключить его;
   
   
4. Выбрать добавление устройства (иконка с символом "+" в строке иконок или горячая клавиша Ctrl+N):
   
   
   
5. Подключить устройство к компьютеру:
   
   
   
6. Выбрать регистрируемое устройство или регистрируемый дисковый раздел. Отображение списка дисковых разделов зависит от того, как подготовлено устройство. Для использованного при написании статьи устройства список дисковых разделов не отображается:
   
   
   
7. После выбора устройства нажать кнопку "Да", после чего будет отображена форма данных об устройстве:
   
8. В форме данных:
   1. Закладка "Общие":
      1. Выбрать наименование устройства (произвольное имя для удобства идентификации);
      2. Выбрать пользователя и группу, для которых регистрируется устройство;
      3. Установить права доступа для пользователя, группы и всех остальных пользователей;
      4. Задать правила идентификации устройства. По умолчанию предлагается идентификация по серийному номеру (параметр окружения (ENV) ID_SERIAL). Серийный номер определяется автоматически;
   2. Перейти в закладку "МРД" и установить параметры конфиденциальности для регистрируемого устройства.:
      
      
      
   3. Перейти в закладку "Аудит" и установить параметры аудита для регистрируемого устройства:
      
      
      
   4. Перейти в закладку "Правила" и указать дополнительные правила, применяемые для устройства (описание работы с правилами см. ниже);
      
      
      
   5. Завершить регистрацию, сохранив введенные данные. Устройство можно отключить от компьютера.
      
      

Использование учтенных USB-накопителей

При работе в пользовательской сессии подключение USB-накопителей контролируется Astra Linux и при подключении устройства пользователю выдается сообщение-подсказка с возможностью выбора действий:

Если подключенное устройство учтено для пользователя, то пользователь может "Подключить" (примонтировать) устройство (полуавтоматическое монтирование). При полуавтоматическом монтировании:

• устройства монтируются в автоматически создаваемые подкаталоги (точки монтирования) каталога /run/user/<UID>/media, где UID - числовой идентификатор пользователя (для текущего пользователя UID может быть получен командой id -u);

• в названиях точек монтирования используются числовые UUID монтируемых ФС, дополненные префиксом "by-uuid-", например:

  pdp-ls -lM /run/user/`id -u`/media
  

  ---

  итого 12
drwxrwxrwx---  1 macuser macuser Уровень_0:Низкий:Нет:0x0 by-uuid-70F46A0B5A206A1A
drwxr-xr-x---  3 macuser macuser Уровень_0:Низкий:Нет:0x0 by-uuid-94c8364e-f482-4144-acd9-550208d7a977
drwxr-xr-xm--  2 macuser macuser Уровень_3:Низкий:Нет:0x0 by-uuid-DCDD-DECE

• монтирование дисковых разделов с файловой системой ext2/ext3/ext4/xfs выполняется:
  • с именем и группой пользователя, присвоенной устройству при подготовке устройства (см. Сценарий подготовки устройств с файловой системой ext4 к учету);
  •  уровнем конфиденциальности, присвоенном устройству при подготовке (см. Сценарий подготовки устройств с файловой системой ext4 к учету);
• монтирование дисковых разделов с файловой системой vfat выполняется:
  • c именем и группой пользователя, для которого учтено устройство;
  • с уровнем конфиденциальности, на котором учтено устройство;
• монтирование дисковых разделов с файловой системой ntfs выполняется:
  • c именем и группой пользователя, для которого учтено устройство;
  • только на нулевом уровне конфиденциальности;
• монтирование дисковых разделов iso9660/udf:
  • только для чтения;
  • с именем и группой root;
  • с уровнем конфиденциальности, на котором учтено устройство;

Сценарий подготовки устройств с файловой системой ext4 к учету

Для размещения конфиденциальной информации устройство должно получить соответствующие атрибуты и в ФС устройства должна быть подготовлена соответствующая структура каталогов.

Учтенному устройству с ФС ext4 в обязательно порядке должны быть присвоены следующие атрибуты:

• пользователь-владелец и группа-владелец (пользователь и группа, для которых учтено устройство);
• классификационная метка, с которой учтено устройство;

Сделать это можно следующими командами:

• создать подкаталог для монтирования в каталоге с высоким уровнем конфиденциальности и атрибутом ccnr, Например, в каталоге /run:

  sudo mkdir /run/media

• примонтировать устройство (дисковый раздел) в созданный каталог. Например, для дискового раздела /dev/sda1:

  sudo mount /dev/sda1 /run/media

• установить на каталог классификационную метку, равную метке с которой учтено  устройство. Например, установить иерархический уровень конфиденциальности 3:

  sudo pdpl-file 3 /run/media

• если в устройстве предполагается хранить информацию с разными уровнями конфиденциальности, то создать структуру каталогов для хранения такой информации (см. далее возможный сценарий);
  
  

• установить для каталога владельца и группу, для которых учтено устройство:

  sudo chown -R <имя_пользователя>:<имя_группы>  /run/media

• отмонтировать устройство:

  sudo umount  /run/media

Для подготовки структуры каталогов, обеспечивающей хранение разноуровневой информации, можно использовать следующий сценарий (задав значения переменных USERNAME (имя пользователя, для которого учитывается устройство) и DEVICE (имя учитываемого устройства) и задав список уровней конфиденциальности LEVELS):

#!/bin/bash
USERNAME="macuser"
DEVICE="/dev/sdc1"
LEVELS=( 0 1 2 3 )

dir=`mktemp -d -p /run`
mkfs.ext4 $DEVICE
mount $DEVICE "$dir"
pdpl-file ${LEVELS[-1]}:0:-1:ccnr "$dir"
for level in ${LEVELS[@]} ; do
        mkdir "$dir/$level"
        pdpl-file "$level":0:0:0 "$dir/$level"
done
chown -R ${USERNAME}:${USERNAME} "$dir"
ls -la "$dir"
pdp-ls -M "$dir"
umount "$dir"
rmdir "$dir"

Запрет полуавтоматического монтирования непривилегированными пользователями

Для запрета выполнения полуавтоматического монтирования непривилегированными пользователями следует использовать входящий в состав пакета astra-safepolicy (см. Инструменты командной строки astra-safepolicy) инструмент astra-mount-lock.
Для включения запрета выполнить команду: