Смоленск 1.6 Запись на оптический носитель
Имеется рабочее место в защищенном исполнении с настроенными уровнями конфиденциальности: 0:Несекретно, 1:ДСП, 2:Секретно, 3:СовСекретно.
В файловой системе созданы папки с соответствующими уровнями конфиденциальности, в них — документы. И в рамках жесткого диска данной операционной системы все это работает.
Вопрос, как записать файл с уровнем конфиденциальности отличным от «Несекретно» на оптический диск?
azm9s
New member
а как вы добились записи в режиме «несекретно»?
выполнив все требования по redbook у меня запись только от root возможна. от обычного юзера локального или доменного не работает, все пользователи в группе cdrom, cdwriter.
Ankarii
New member
а как вы добились записи в режиме «несекретно»?
выполнив все требования по redbook у меня запись только от root возможна. от обычного юзера локального или доменного не работает, все пользователи в группе cdrom, cdwriter.
У меня локальная машина, без сети. В несекретном режиме через программу k3b пишет без вопросов (AL SE 1.6, обновление 5).
А вот что по поводу записи файлов с уровнем конфиденциальности отличным от «Несекретно», мне прислала техподдержка:
Создать файл в /etc/systemd/system/myprogram.service с содержимым:
[Unit]
Description= Setting label on /dev/sr0
After= network.target
[Service]
Type=oneshot
ExecStart=/opt/script.sh
[Install]
WantedBy=multi-user.target
Создать скрипт /opt/script.sh
#!/bin/bash
set -e
sudo pdpl-file 0:0:0:ehole /dev/sr0
Выполнить команду:
sudo chmod 777 /opt/script.sh
Перезагрузить конфигурации:
systemctl daemon-reload
systemctl enable myprogram
Выполнить перезагрузку компьютера
sudo reboot
После данных манипуляций все заработало, что от учетной запись administrator (учетка, которая при установке ОС сдается), что от учеток user1, user2 и т.д.
P.S. Файл, попав на диск становится несекретным.
azm9s
New member
archi7
New member
У меня локальная машина, без сети. В несекретном режиме через программу k3b пишет без вопросов (AL SE 1.6, обновление 5).
А вот что по поводу записи файлов с уровнем конфиденциальности отличным от «Несекретно», мне прислала техподдержка:
Создать файл в /etc/systemd/system/myprogram.service с содержимым:
[Unit]
Description= Setting label on /dev/sr0
After= network.target
[Service]
Type=oneshot
ExecStart=/opt/script.sh
[Install]
WantedBy=multi-user.target
Создать скрипт /opt/script.sh
#!/bin/bash
set -e
sudo pdpl-file 0:0:0:ehole /dev/sr0
Выполнить команду:
sudo chmod 777 /opt/script.sh
Перезагрузить конфигурации:
systemctl daemon-reload
systemctl enable myprogram
Выполнить перезагрузку компьютера
sudo reboot
После данных манипуляций все заработало, что от учетной запись administrator (учетка, которая при установке ОС сдается), что от учеток user1, user2 и т.д.
P.S. Файл, попав на диск становится несекретным.
Инструкция работает запись получается на любой диск а это не есть хорошо. У меня вопрос как прописать учтеные диски и запретить запись на любые другие
azm9s
New member
Инструкция работает запись получается на любой диск а это не есть хорошо. У меня вопрос как прописать учтеные диски и запретить запись на любые другие
и как сие хотите увидеть?
технической инфы, хоть тот же серийный номер, которую нельзя затереть, на диске нет.
а если что-то прописывать свое — то на любом другой эвм все можно стереть.
archi7
New member
и как сие хотите увидеть?
технической инфы, хоть тот же серийный номер, которую нельзя затереть, на диске нет.
а если что-то прописывать свое — то на любом другой эвм все можно стереть.
archi7
New member
oko
New member
to archi7
А п. 16 Руководства администратора разве не решает указанную задачу? Зарегистрировать, разграничить, отредактировать fstab, читать/писать по согласованию, ага.
archi7
New member
to archi7
А п. 16 Руководства администратора разве не решает указанную задачу? Зарегистрировать, разграничить, отредактировать fstab, читать/писать по согласованию, ага.
oko
New member
- Убрать из /etc/fstab записи (если есть):
- /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).
- Через fly-admin-smc создать новое устройство в разделе «Устройства», при открытом окне подключить нужный CD/DVD-диск.
- В свойствах этого диска указать минимум «ID_SERIAL» с тем значением, что определилось Астрой. Можно еще «ID_FS_LABEL», если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
- В разделе «Общие» указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
- Сохранить все это, для верности ребутнуться и проверить.
ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий.
archi7
New member
- Убрать из /etc/fstab записи (если есть):
- /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).
- Через fly-admin-smc создать новое устройство в разделе «Устройства», при открытом окне подключить нужный CD/DVD-диск.
- В свойствах этого диска указать минимум «ID_SERIAL» с тем значением, что определилось Астрой. Можно еще «ID_FS_LABEL», если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
- В разделе «Общие» указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
- Сохранить все это, для верности ребутнуться и проверить.
ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий.
archi7
New member
- Убрать из /etc/fstab записи (если есть):
- /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).
- Через fly-admin-smc создать новое устройство в разделе «Устройства», при открытом окне подключить нужный CD/DVD-диск.
- В свойствах этого диска указать минимум «ID_SERIAL» с тем значением, что определилось Астрой. Можно еще «ID_FS_LABEL», если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
- В разделе «Общие» указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
- Сохранить все это, для верности ребутнуться и проверить.
ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий.
Спасибо большое за понимание диск прописал все указал работает запись монтирование учтенных дисков, но есть одно но неучтеные диски не монтируются но запись делает может я что то не доделал