Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10015-17
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
- Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
Данная статья неприменима к Astra Linux Special Edition РУСБ.10015-10
Порядок настройки протокола CIFS для использования МРД в более ранних очередных обновлениях
см.Настройка протокола CIFS для использования МРД в Astra Linux Special Edition
Настройка протокола CIFS для использования МРД в Astra Linux Special Edition x.7
При использовании механизмов мандатного разграничения доступа в работе с разделяемыми ресурсами с применением протокола CIFS (SMB) в операционных системах:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
требуется включить работу с МРД в настройках сервера.
Настройка сервера
На файловом сервере (сервере Samba) для работы с разделяемыми ресурсами, содержащими конфиденциальные данные, в обязательном порядке:
- Установить все доступные оперативные обновления;
Настроить параметры протокола, для чего установить в конфигурации samba в секции [global] параметры:
use socket MAC label = YES
При использовании Samba в конфигурации ЕПП FreeIPA (когда конфигурация Samba хранится в реестре Samba) настройку параметров протокола можно сделать из командной строки. Команды:
sudo net conf setparm global "use socket MAC label" "Yes"Если конфигурация хранится в файле /etc/samba/smb.conf, необходимо то внести изменения в файл;Независимо от того, где хранится конфигурация сервера (в файле или в реестре) - после изменения указанных параметров перезагрузить параметры конфигурации:
sudo smbcontrol all reload-config
Создание разделяемого каталога с ненулевой классификационной меткой
Пример создания и настройки разделяемого каталога /srv/share:
Создать каталог:
sudo mkdir -p /srv/share
Установить владельца права доступа, например (см. Samba):
sudo chown nobody:nogroup /srv/share
sudo chmod 775 /srv/shareУстановить на каталог классификационную метку, в которой иерархический уровень конфиденциальности и неиерархические категории конфиденциальности будут равны соответствующим максимальным значениям для содержащихся в ресурсе файловых объектов.
В приведенном выше примере предполагается, что максимальный иерархический уровень конфиденциальности 3, и разрешены все неиерархические категории конфиденциальности (сокращенное обозначение всех разрешенных неиерархических категорий -1). Если в разделяемом каталоге предполагается размещать файловые объекты с классификационной меткой меньшей максимально допустимой для каталога, то дополнительно установить флаг CCNR (подробнее см. Метка безопасности: структура и состав):sudo pdpl-file 3:0:-1 /srv/share
sudo pdpl-file 3:0:-1:CCNR /srv/share
Настройка клиента
На клиентских машинах специальные настройки не требуются.