Astra linux контроль съемных носителей

Настройки usb устройств

Как запретить все usb устройства (сьемные диски, мышь, клавиатура, принтера, устройства чтения смарт-карт, модемы, Wi-Fi, камеры, bluetooth. ) и прописать только нужные (которые будут работать на этом компьютере)?
Должно получиться по типу все запрещено кроме того что разрешено.
И как эту созданную политику можно будет распространять другим компьютерам, только потом прописывая нужные, подключаемые к ним устройства?

DVI

New member

На SE посмотрите в оснастке «Управление политикой безопасности» там есть пункт «Доступ к устройствам», а так по хорошему покрутите службу Astra Linux Directory.

Станислав

New member

На SE посмотрите в оснастке «Управление политикой безопасности» там есть пункт «Доступ к устройствам», а так по хорошему покрутите службу Astra Linux Directory.

Я там лазил, можно только запретить устройство. А мне нужно по системе запрещено все кроме того что разрешено.

Fd1501h

Moderator

Я там лазил, можно только запретить устройство. А мне нужно по системе запрещено все кроме того что разрешено.

Станислав

New member

И там лазил, вывел из группы floppy а вот fuse такого не нашел, все равно все подключается и работает. Может конечно из за fuse, но я её там не увидел в группах, нету её. Так что нужна какая та более подробная инструкция.

ulv

Moderator

В ОС СН входит средство по разграничению доступа к устройствам.
Оно в совей работе использует права на символьные и блочные устройства, создаваемые через систему udev.
Средство разрабатывалось для контроля за отчуждаемыми носителями.
Фактически, если выкинуть пользователя из группы floopy, то он не сможет смонтировать флешку (из cdrom — cd-disk).
Смонтировать сможет он только то устройство, что было добавлено через «управление устройствами» с выставлением этого пользователя в качестве владельца или группы пользователя.
Когда устройство добавляется через «окно добавления устройства», можно выбрать к какому из параметров прикрепится (по-умолчанию id_serial).
Среди этих параметров есть и dev_path который определяет конкретный порт, в который воткнуто устройство.

Идею создания «белого списка устройств» возьмем на проработку.

Источник

Как в Linux Astra узнать какие флешки подключались к компьютеру?

В операционной системе Linux, в том числе в дистрибутиве Astra Linux, существует несколько способов узнать, какие флешки (USB-накопители) были подключены к компьютеру. В этой статье мы рассмотрим несколько методов, включая использование командной строки и графического интерфейса пользователя (GUI).

Читайте также:  Отключить пароль линукс минт

Метод: Использование командной строки

Эта команда отобразит вывод команды dmesg, который содержит информацию о системных сообщениях, связанных с USB-устройствами. Команда grep используется для фильтрации вывода и поиска строк, содержащих ключевое слово «usb». В результате вы увидите список USB-устройств, подключенных к компьютеру, с указанием их идентификаторов и другой информации, такой как производитель, модель и серийный номер.

Метод: Использование утилиты lsusb

Эта команда отобразит список USB-устройств, подключенных к компьютеру, в формате, удобном для чтения. Вы увидите информацию о производителе, модели, идентификаторе устройства и других параметрах USB-устройств.

Метод: Использование графического интерфейса

Метод 3: Использование графического интерфейса пользователя (GUI) Astra Linux также предоставляет графический интерфейс пользователя (GUI) с инструментами для просмотра информации о подключенных USB-устройствах.

  1. Откройте файловый менеджер, такой как Dolphin или Nautilus, в зависимости от используемого окружения рабочего стола.
  2. В левой панели файлового менеджера найдите раздел «Другие места» или «Устройства» и щелкните на нем.
  3. Вы увидите список подключенных USB-устройств, которые могут быть отображены в виде иконок или названий устройств. Вы также можете открыть каждое устройство, чтобы увидеть его содержимое и другую информацию о нем.

Метод: Использование системного журнала

Эта команда отобразит системный журнал в режиме р «journalctl -f» означает, что журнал будет отслеживаться в режиме реального времени, что позволит вам видеть новые записи, связанные с USB-устройствами, по мере их появления в журнале.

  1. Подключите USB-устройство к компьютеру.
  2. В журнале будут появляться записи, связанные с подключением и распознаванием USB-устройства. Вы можете найти информацию о производителе, модели и других параметрах устройства в этих записях.

[ 347.269380] usb 2-2: new high-speed USB device number 4 using ehci-pci
[ 347.402234] usb 2-2: New USB device found, idVendor=0781, idProduct=5567
[ 347.402240] usb 2-2: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[ 347.402243] usb 2-2: Product: Cruzer Blade
[ 347.402246] usb 2-2: Manufacturer: SanDisk
[ 347.402249] usb 2-2: SerialNumber: 4C530000290612104105

Bus 002 Device 004: ID 0781:5567 SanDisk Corp. Cruzer Blade

Это примеры вывода команд dmesg и lsusb, которые содержат информацию о подключенном USB-устройстве, такую как производитель, модель, идентификатор устройства и другие параметры.

Таким образом, в Linux Astra Linux есть несколько способов узнать информацию о подключенных USB-устройствах, включая использование командной строки и графического интерфейса пользователя (GUI). Эти методы могут быть полезными для отслеживания подключенных USB-устройств и получения информации о них в операционной системе Linux.

Читайте также:  Ldap клиент для linux

Источник

Astra Linux Special Edition 1.5 ⬝ Разграничение доступа к USB-носителям

При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.

Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.

Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.

В более поздних версиях Astra Linux группа fuse не используется. Порядок работы с конфиденциальной информацией на USB-носителях для этих версий см. в статье Съемные носители в Astra Linux.

Мандатное разграничение доступа возможно только на файловых системах, поддерживающих расширенные атрибуты. Для USB-носителей это файловые системы Ext2/Ext3/Ext4.

Для создания правила и разграничения доступа к носителю запустить fly-admin-smc (Политика безопасности), открыть закладку «Доступ к устройствам», ЛКМ «Устройства и Правила» и ЛКМ «+» («Создать» в верхней панели»).

После появления окна подключения и информации подключить заранее созданный носитель (см. ниже). После определения устройства нажать на название носителя (пример на снимке 1)

В свойствах устройства выставить флаг в чек-бокс «Включено», ввести имя носителя в поле «Наименование» (снимок 2)

Перейти в закладку «Общие», выставить флаги (разграничить доступ) в чек-боксах владельца, группы и остальных, выставить в выпадающих меню пользователя и группу (снимок 3)

Нажать «Применить» (зеленая галочка на панели инструментов)

Для того, чтобы изменения ограничений мандатного доступа вступили в силу, следует переподключить носитель.
Для того, чтобы можно было получить доступ к носителю после перезагрузки компьютера следует переподключить носитель.

Дискреционная настройка носителя

Для корректного монтирования EXT-раздела в ОС Astra Linux необходимо изменить владельца носителя, права доступа и ACL. Для этого требуется смонтировать носитель и поменять владельца. Порядок действий:

    Создать временный каталог:

Создание правил для многоуровневого флеш-накопителя

  1. Создать на накопителе несколько Ext2 разделов;
  2. Задать метки разделам(Label), например: ns, dsp, sec, ss;
  3. Зарегистрировать правило для каждого раздела, используя ID_SERIAL_SHORT и ID_FS_UUID, установить мандатный уровень, дискретные права пользователя и группы;
  4. После регистрации правил установить дискретные права доступа на корневой каталог каждого раздела, как указано выше.

Источник

Записки эникейщика

Идея такая: создать в udev правило, которое будет блокировать все флешки, серийник которых не внесён в правило.
1. Идем в /etc/udev/rules.d
2. Создаем файл 99-rem-unauth-usb.rules (имя файла можете и сами придумать, но соблюдайте правила udev)
3. Пишем в файл:

ACTION!="add", GOTO="dont_remove_usb" ENV!="usb", GOTO="dont_remove_usb" ENV!="disk", GOTO="dont_remove_usb" ENV=="008D7DC64", GOTO="dont_remove_usb" ENV=="usb", RUN+="/bin/sh -c 'echo 1 > /sys$DEVPATH/device/delete'" LABEL="dont_remove_usb" 
  1. Если действие не add, то выходим (выходим путем отсылки интерпретатора командой GOTO к метке, расположенной в самом конце файла)
  2. Если подключается устройство не usb, то выходим
  3. Если подключенное usb устройство не типа disk, то выходим. Это важный нюанс, т.к. без этой опции отключается вся usb переферия — клавиатуры, мышки и т.д. Во всяком случае, на тестовой реальной машине было так. А вот в VirtualBox этот эффект не проявлялся.
  4. Собственно проверка на серийник. Как его узнать, напишу ниже. Если параметр ID_SERIAL_SHORT у usb устройства равен указанному, то выходим — эту флешку вставлять в машину можно
  5. Что же делать, если правило всё еще выполняется? Учитывая все проверки выше, это означает, что к машине подключили usb накопитель, серийник которого не прошел проверку. А это значит, что его нужно отключить. Делается это путем записывания 1 в файл sys/путь к usb устройству/device/delete. После этого флешка отключается. На тестах это выглядело как отключение питания от флешки — на ней гас светодиодный индикатор работы.
  6. Отметка, куда будет перемещен интерпретатор, если ему передать это командой GOTO
Читайте также:  Работа командами процессами linux

Как получить серийный номер usb накопителя?

Для этого используется команда udevadm info с параметрами -q (запрос какой информации выводить) и -n (имя устройства). В результате команда должна получить вид:

udevadm info -q all -n /dev/sdb

-q all выведет всю информацию об устройстве. В качестве альтернативы вместо all можно использовать property.
-n /dev/sdb задает имя устройства.
Будьте с этим внимательны! У вас вместо sdb может быть sdd, sdc или что-то еще! Проверяйте, какому именно устройству присвоено sd*. Посмотреть это можно командой fdisk -l
Далее в выводе команды вас интересует значение параметра ID_SERIAL_SHORT. Это и есть серийник флешки. Его и надо подставлять в правило. Само собой, разрешенных флешек может быть несколько, просто копируйте строку, где проверяется серийник, и подставляйте в неё нужное значение.

Да, в выводе команды udevadm info присутствует параметр ID_SERIAL, но у меня по нему флеш накопители система фильтровать отказалась.

Источник

Оцените статью
Adblock
detector