- Настройки usb устройств
- DVI
- Станислав
- Fd1501h
- Станислав
- ulv
- Astra Linux Special Edition 1.5 ⬝ Разграничение доступа к USB-носителям
- Дискреционная настройка носителя
- Создание правил для многоуровневого флеш-накопителя
- Astra Linux Special Edition 1.5 ⬝ Порядок работы с конфиденциальной информацией на учтенных USB носителях
Настройки usb устройств
Как запретить все usb устройства (сьемные диски, мышь, клавиатура, принтера, устройства чтения смарт-карт, модемы, Wi-Fi, камеры, bluetooth. ) и прописать только нужные (которые будут работать на этом компьютере)?
Должно получиться по типу все запрещено кроме того что разрешено.
И как эту созданную политику можно будет распространять другим компьютерам, только потом прописывая нужные, подключаемые к ним устройства?
DVI
New member
На SE посмотрите в оснастке «Управление политикой безопасности» там есть пункт «Доступ к устройствам», а так по хорошему покрутите службу Astra Linux Directory.
Станислав
New member
На SE посмотрите в оснастке «Управление политикой безопасности» там есть пункт «Доступ к устройствам», а так по хорошему покрутите службу Astra Linux Directory.
Я там лазил, можно только запретить устройство. А мне нужно по системе запрещено все кроме того что разрешено.
Fd1501h
Moderator
Я там лазил, можно только запретить устройство. А мне нужно по системе запрещено все кроме того что разрешено.
Станислав
New member
И там лазил, вывел из группы floppy а вот fuse такого не нашел, все равно все подключается и работает. Может конечно из за fuse, но я её там не увидел в группах, нету её. Так что нужна какая та более подробная инструкция.
ulv
Moderator
В ОС СН входит средство по разграничению доступа к устройствам.
Оно в совей работе использует права на символьные и блочные устройства, создаваемые через систему udev.
Средство разрабатывалось для контроля за отчуждаемыми носителями.
Фактически, если выкинуть пользователя из группы floopy, то он не сможет смонтировать флешку (из cdrom — cd-disk).
Смонтировать сможет он только то устройство, что было добавлено через «управление устройствами» с выставлением этого пользователя в качестве владельца или группы пользователя.
Когда устройство добавляется через «окно добавления устройства», можно выбрать к какому из параметров прикрепится (по-умолчанию id_serial).
Среди этих параметров есть и dev_path который определяет конкретный порт, в который воткнуто устройство.
Идею создания «белого списка устройств» возьмем на проработку.
Astra Linux Special Edition 1.5 ⬝ Разграничение доступа к USB-носителям
При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.
Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.
Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.
В более поздних версиях Astra Linux группа fuse не используется. Порядок работы с конфиденциальной информацией на USB-носителях для этих версий см. в статье Съемные носители в Astra Linux.
Мандатное разграничение доступа возможно только на файловых системах, поддерживающих расширенные атрибуты. Для USB-носителей это файловые системы Ext2/Ext3/Ext4.
Для создания правила и разграничения доступа к носителю запустить fly-admin-smc (Политика безопасности), открыть закладку «Доступ к устройствам», ЛКМ «Устройства и Правила» и ЛКМ «+» («Создать» в верхней панели»).
После появления окна подключения и информации подключить заранее созданный носитель (см. ниже). После определения устройства нажать на название носителя (пример на снимке 1)
В свойствах устройства выставить флаг в чек-бокс «Включено», ввести имя носителя в поле «Наименование» (снимок 2)
Перейти в закладку «Общие», выставить флаги (разграничить доступ) в чек-боксах владельца, группы и остальных, выставить в выпадающих меню пользователя и группу (снимок 3)
Нажать «Применить» (зеленая галочка на панели инструментов)
Для того, чтобы изменения ограничений мандатного доступа вступили в силу, следует переподключить носитель.
Для того, чтобы можно было получить доступ к носителю после перезагрузки компьютера следует переподключить носитель.
Дискреционная настройка носителя
Для корректного монтирования EXT-раздела в ОС Astra Linux необходимо изменить владельца носителя, права доступа и ACL. Для этого требуется смонтировать носитель и поменять владельца. Порядок действий:
- Создать временный каталог:
Создание правил для многоуровневого флеш-накопителя
- Создать на накопителе несколько Ext2 разделов;
- Задать метки разделам(Label), например: ns, dsp, sec, ss;
- Зарегистрировать правило для каждого раздела, используя ID_SERIAL_SHORT и ID_FS_UUID, установить мандатный уровень, дискретные права пользователя и группы;
- После регистрации правил установить дискретные права доступа на корневой каталог каждого раздела, как указано выше.
Astra Linux Special Edition 1.5 ⬝ Порядок работы с конфиденциальной информацией на учтенных USB носителях
При размещении конфиденциальной информации на твердотельных носителях (SSD, Flash) следует помнить, что в силу их технических особенностей гарантированное полное стирание с них информации НЕВОЗМОЖНО.
Данная статья применима к:
При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.
Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.
Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.
1. Поддерживаемые файловые системы для работы с конфиденциальной информацией на USB носителях: Ext2/Ext3/Ext4 и vfat .
2.Для работы с конфиденциальной информацией нужно создать для USB носителя правила доступа с помощью графического инструмента fly-admin-smc согласно документации.
3.Для vfat usb устройств работа возможна только при входе на уровне, который назначен администратором для устройства во fly-admin-smc .
4.Работа на разных уровнях конфиденциальности на учтенном USB- носителе с EXT4 возможна пользователем в соответствии с его правами, заданными администратором.
Предварительно администратор должен создать дерево каталогов разного уровня на файловой системе такого USB-носителя.
5.1 Для создания ext4 usb носителя для работы на нескольких уровнях можно использовать следующую программу (задав необходимые переменные USERNAME и DEVICE ):
#!/bin/bash USERNAME="user" DEVICE="/dev/sdc1" mkfs.ext4 $DEVICE mkdir -p /media/usb mount $DEVICE /media/usb #multilevel pdpl-file 3:0:-1:ccnr /media/usb/ mkdir /media/usb/ pdpl-file 0:0:0:0 /media/usb/0 pdpl-file 1:0:0:0 /media/usb/1 pdpl-file 2:0:0:0 /media/usb/2 pdpl-file 3:0:0:0 /media/usb/3 chown -R $:$ /media/usb/ ls -la /media/usb/ pdp-ls -M /media/usb/ umount /media/usb
5.2 Для создания ext4 usb носителя для работы на одном 2ом уровне можно использовать следующую программу (задав необходимые переменные USERNAME и DEVICE ):
#!/bin/bash USERNAME="user" DEVICE="/dev/sdc1" mkfs.ext4 $DEVICE mkdir -p /media/usb mount $DEVICE /media/usb #one level pdpl-file 2:0:0:0 /media/usb/ chown -R $:$ /media/usb/ ls -la /media/usb/ pdp-ls -M /media/usb/ umount /media/usb
6. При включении режима работы с отчуждаемыми носителями ( USB-диск ) с конфиденциальной информацией все непривилегированные пользователи должны быть исключены из групп fuse и floppy .