Astra linux группа cd rom

Смоленск 1.6 Запись на оптический носитель

Имеется рабочее место в защищенном исполнении с настроенными уровнями конфиденциальности: 0:Несекретно, 1:ДСП, 2:Секретно, 3:СовСекретно.
В файловой системе созданы папки с соответствующими уровнями конфиденциальности, в них — документы. И в рамках жесткого диска данной операционной системы все это работает.

Вопрос, как записать файл с уровнем конфиденциальности отличным от «Несекретно» на оптический диск?

azm9s

New member

а как вы добились записи в режиме «несекретно»?
выполнив все требования по redbook у меня запись только от root возможна. от обычного юзера локального или доменного не работает, все пользователи в группе cdrom, cdwriter.

Ankarii

New member

а как вы добились записи в режиме «несекретно»?
выполнив все требования по redbook у меня запись только от root возможна. от обычного юзера локального или доменного не работает, все пользователи в группе cdrom, cdwriter.

У меня локальная машина, без сети. В несекретном режиме через программу k3b пишет без вопросов (AL SE 1.6, обновление 5).

А вот что по поводу записи файлов с уровнем конфиденциальности отличным от «Несекретно», мне прислала техподдержка:

Создать файл в /etc/systemd/system/myprogram.service с содержимым:

[Unit]
Description= Setting label on /dev/sr0
After= network.target
[Service]
Type=oneshot
ExecStart=/opt/script.sh
[Install]
WantedBy=multi-user.target

Создать скрипт /opt/script.sh

#!/bin/bash
set -e
sudo pdpl-file 0:0:0:ehole /dev/sr0

Выполнить команду:
sudo chmod 777 /opt/script.sh

Перезагрузить конфигурации:
systemctl daemon-reload
systemctl enable myprogram

Выполнить перезагрузку компьютера
sudo reboot

После данных манипуляций все заработало, что от учетной запись administrator (учетка, которая при установке ОС сдается), что от учеток user1, user2 и т.д.
P.S. Файл, попав на диск становится несекретным.

azm9s

New member

archi7

New member

У меня локальная машина, без сети. В несекретном режиме через программу k3b пишет без вопросов (AL SE 1.6, обновление 5).

Читайте также:  Посмотреть подключенные флешки линукс

А вот что по поводу записи файлов с уровнем конфиденциальности отличным от «Несекретно», мне прислала техподдержка:

Создать файл в /etc/systemd/system/myprogram.service с содержимым:

[Unit]
Description= Setting label on /dev/sr0
After= network.target
[Service]
Type=oneshot
ExecStart=/opt/script.sh
[Install]
WantedBy=multi-user.target

Создать скрипт /opt/script.sh

#!/bin/bash
set -e
sudo pdpl-file 0:0:0:ehole /dev/sr0

Выполнить команду:
sudo chmod 777 /opt/script.sh

Перезагрузить конфигурации:
systemctl daemon-reload
systemctl enable myprogram

Выполнить перезагрузку компьютера
sudo reboot

После данных манипуляций все заработало, что от учетной запись administrator (учетка, которая при установке ОС сдается), что от учеток user1, user2 и т.д.
P.S. Файл, попав на диск становится несекретным.

Инструкция работает запись получается на любой диск а это не есть хорошо. У меня вопрос как прописать учтеные диски и запретить запись на любые другие

azm9s

New member

Инструкция работает запись получается на любой диск а это не есть хорошо. У меня вопрос как прописать учтеные диски и запретить запись на любые другие

и как сие хотите увидеть?
технической инфы, хоть тот же серийный номер, которую нельзя затереть, на диске нет.
а если что-то прописывать свое — то на любом другой эвм все можно стереть.

archi7

New member

и как сие хотите увидеть?
технической инфы, хоть тот же серийный номер, которую нельзя затереть, на диске нет.
а если что-то прописывать свое — то на любом другой эвм все можно стереть.

archi7

New member

oko

New member

to archi7
А п. 16 Руководства администратора разве не решает указанную задачу? Зарегистрировать, разграничить, отредактировать fstab, читать/писать по согласованию, ага.

archi7

New member

to archi7
А п. 16 Руководства администратора разве не решает указанную задачу? Зарегистрировать, разграничить, отредактировать fstab, читать/писать по согласованию, ага.

Читайте также:  Linux просмотр модулей ядра

oko

New member
  1. Убрать из /etc/fstab записи (если есть):
  • /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).
  1. Через fly-admin-smc создать новое устройство в разделе «Устройства», при открытом окне подключить нужный CD/DVD-диск.
  2. В свойствах этого диска указать минимум «ID_SERIAL» с тем значением, что определилось Астрой. Можно еще «ID_FS_LABEL», если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
  3. В разделе «Общие» указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
  4. Сохранить все это, для верности ребутнуться и проверить.

ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий.

archi7

New member
  1. Убрать из /etc/fstab записи (если есть):
  • /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).
  1. Через fly-admin-smc создать новое устройство в разделе «Устройства», при открытом окне подключить нужный CD/DVD-диск.
  2. В свойствах этого диска указать минимум «ID_SERIAL» с тем значением, что определилось Астрой. Можно еще «ID_FS_LABEL», если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
  3. В разделе «Общие» указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
  4. Сохранить все это, для верности ребутнуться и проверить.
Читайте также:  Oracle not available error in linux

ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий.

archi7

New member
  1. Убрать из /etc/fstab записи (если есть):
  • /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).
  1. Через fly-admin-smc создать новое устройство в разделе «Устройства», при открытом окне подключить нужный CD/DVD-диск.
  2. В свойствах этого диска указать минимум «ID_SERIAL» с тем значением, что определилось Астрой. Можно еще «ID_FS_LABEL», если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
  3. В разделе «Общие» указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
  4. Сохранить все это, для верности ребутнуться и проверить.

ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий.

Спасибо большое за понимание диск прописал все указал работает запись монтирование учтенных дисков, но есть одно но неучтеные диски не монтируются но запись делает может я что то не доделал

Источник

Оцените статью
Adblock
detector