- Astra Linux Special Edition 1.5 ⬝ Разграничение доступа к USB-носителям
- Дискреционная настройка носителя
- Создание правил для многоуровневого флеш-накопителя
- unixforum.org
- Re: Запрет на запись USB и CD/DVD
- Re: Запрет на запись USB и CD/DVD
- Re: Запрет на запись USB и CD/DVD
- Re: Запрет на запись USB и CD/DVD
- Re: Запрет на запись USB и CD/DVD
- Смоленск 1.6 Запись на оптический носитель
- azm9s
- Ankarii
- azm9s
- archi7
- azm9s
- archi7
- archi7
- oko
- archi7
- oko
- archi7
- archi7
Astra Linux Special Edition 1.5 ⬝ Разграничение доступа к USB-носителям
При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.
Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.
Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.
В более поздних версиях Astra Linux группа fuse не используется. Порядок работы с конфиденциальной информацией на USB-носителях для этих версий см. в статье Съемные носители в Astra Linux.
Мандатное разграничение доступа возможно только на файловых системах, поддерживающих расширенные атрибуты. Для USB-носителей это файловые системы Ext2/Ext3/Ext4.
Для создания правила и разграничения доступа к носителю запустить fly-admin-smc (Политика безопасности), открыть закладку «Доступ к устройствам», ЛКМ «Устройства и Правила» и ЛКМ «+» («Создать» в верхней панели»).
После появления окна подключения и информации подключить заранее созданный носитель (см. ниже). После определения устройства нажать на название носителя (пример на снимке 1)
В свойствах устройства выставить флаг в чек-бокс «Включено», ввести имя носителя в поле «Наименование» (снимок 2)
Перейти в закладку «Общие», выставить флаги (разграничить доступ) в чек-боксах владельца, группы и остальных, выставить в выпадающих меню пользователя и группу (снимок 3)
Нажать «Применить» (зеленая галочка на панели инструментов)
Для того, чтобы изменения ограничений мандатного доступа вступили в силу, следует переподключить носитель.
Для того, чтобы можно было получить доступ к носителю после перезагрузки компьютера следует переподключить носитель.
Дискреционная настройка носителя
Для корректного монтирования EXT-раздела в ОС Astra Linux необходимо изменить владельца носителя, права доступа и ACL. Для этого требуется смонтировать носитель и поменять владельца. Порядок действий:
- Создать временный каталог:
Создание правил для многоуровневого флеш-накопителя
- Создать на накопителе несколько Ext2 разделов;
- Задать метки разделам(Label), например: ns, dsp, sec, ss;
- Зарегистрировать правило для каждого раздела, используя ID_SERIAL_SHORT и ID_FS_UUID, установить мандатный уровень, дискретные права пользователя и группы;
- После регистрации правил установить дискретные права доступа на корневой каталог каждого раздела, как указано выше.
unixforum.org
Как запретить пользователю запись на USB и оптические носители. А можно и вообще, запретить их монтировать.
Другими словами, не хочу, чтобы определенный пользователь на ноутбуке имел возможность «сливать» себе какую-нибудь информацию с ноутбука.
Но при этом желательно, чтобы USB-мышка работала.
Re: Запрет на запись USB и CD/DVD
Сообщение Frank » 21.03.2010 11:24
Re: Запрет на запись USB и CD/DVD
Сообщение Black » 21.03.2010 19:56
Ну зачем же из всех-то? Посмотрите какой группе принадлежит /dev/sr0 (или то, на что указывает ссылка /dev/cdrom) и удалите пользователя из этой группы. Аналогично с флешками. У меня это группы cdrom и usb. Это если запретить монтировать. Если просто запретить запись — поменять права для группы (chmod g-w).
Re: Запрет на запись USB и CD/DVD
Сообщение GVC911 » 01.04.2010 17:04
пожалуйста распишите подробно как и что нужно сделать чтоб заблокировать запись на носители а оставить только чтение? Заранее благодарен!
Re: Запрет на запись USB и CD/DVD
Сообщение Black » 01.04.2010 17:12
Куда уж подробнее?
А по хорошему, в правильных дистрибутивах она по умолчанию и запрещена. Так что ставьте правильный дистрибутив — проблема отпадёт сама.
Re: Запрет на запись USB и CD/DVD
Сообщение Yaros » 01.04.2010 17:14
пожалуйста распишите подробно как и что нужно сделать чтоб заблокировать запись на носители а оставить только чтение? Заранее благодарен!
Смоленск 1.6 Запись на оптический носитель
Имеется рабочее место в защищенном исполнении с настроенными уровнями конфиденциальности: 0:Несекретно, 1:ДСП, 2:Секретно, 3:СовСекретно.
В файловой системе созданы папки с соответствующими уровнями конфиденциальности, в них — документы. И в рамках жесткого диска данной операционной системы все это работает.
Вопрос, как записать файл с уровнем конфиденциальности отличным от «Несекретно» на оптический диск?
azm9s
New member
а как вы добились записи в режиме «несекретно»?
выполнив все требования по redbook у меня запись только от root возможна. от обычного юзера локального или доменного не работает, все пользователи в группе cdrom, cdwriter.
Ankarii
New member
а как вы добились записи в режиме «несекретно»?
выполнив все требования по redbook у меня запись только от root возможна. от обычного юзера локального или доменного не работает, все пользователи в группе cdrom, cdwriter.
У меня локальная машина, без сети. В несекретном режиме через программу k3b пишет без вопросов (AL SE 1.6, обновление 5).
А вот что по поводу записи файлов с уровнем конфиденциальности отличным от «Несекретно», мне прислала техподдержка:
Создать файл в /etc/systemd/system/myprogram.service с содержимым:
[Unit]
Description= Setting label on /dev/sr0
After= network.target
[Service]
Type=oneshot
ExecStart=/opt/script.sh
[Install]
WantedBy=multi-user.target
Создать скрипт /opt/script.sh
#!/bin/bash
set -e
sudo pdpl-file 0:0:0:ehole /dev/sr0
Выполнить команду:
sudo chmod 777 /opt/script.sh
Перезагрузить конфигурации:
systemctl daemon-reload
systemctl enable myprogram
Выполнить перезагрузку компьютера
sudo reboot
После данных манипуляций все заработало, что от учетной запись administrator (учетка, которая при установке ОС сдается), что от учеток user1, user2 и т.д.
P.S. Файл, попав на диск становится несекретным.
azm9s
New member
archi7
New member
У меня локальная машина, без сети. В несекретном режиме через программу k3b пишет без вопросов (AL SE 1.6, обновление 5).
А вот что по поводу записи файлов с уровнем конфиденциальности отличным от «Несекретно», мне прислала техподдержка:
Создать файл в /etc/systemd/system/myprogram.service с содержимым:
[Unit]
Description= Setting label on /dev/sr0
After= network.target
[Service]
Type=oneshot
ExecStart=/opt/script.sh
[Install]
WantedBy=multi-user.target
Создать скрипт /opt/script.sh
#!/bin/bash
set -e
sudo pdpl-file 0:0:0:ehole /dev/sr0
Выполнить команду:
sudo chmod 777 /opt/script.sh
Перезагрузить конфигурации:
systemctl daemon-reload
systemctl enable myprogram
Выполнить перезагрузку компьютера
sudo reboot
После данных манипуляций все заработало, что от учетной запись administrator (учетка, которая при установке ОС сдается), что от учеток user1, user2 и т.д.
P.S. Файл, попав на диск становится несекретным.
Инструкция работает запись получается на любой диск а это не есть хорошо. У меня вопрос как прописать учтеные диски и запретить запись на любые другие
azm9s
New member
Инструкция работает запись получается на любой диск а это не есть хорошо. У меня вопрос как прописать учтеные диски и запретить запись на любые другие
и как сие хотите увидеть?
технической инфы, хоть тот же серийный номер, которую нельзя затереть, на диске нет.
а если что-то прописывать свое — то на любом другой эвм все можно стереть.
archi7
New member
и как сие хотите увидеть?
технической инфы, хоть тот же серийный номер, которую нельзя затереть, на диске нет.
а если что-то прописывать свое — то на любом другой эвм все можно стереть.
archi7
New member
oko
New member
to archi7
А п. 16 Руководства администратора разве не решает указанную задачу? Зарегистрировать, разграничить, отредактировать fstab, читать/писать по согласованию, ага.
archi7
New member
to archi7
А п. 16 Руководства администратора разве не решает указанную задачу? Зарегистрировать, разграничить, отредактировать fstab, читать/писать по согласованию, ага.
oko
New member
- Убрать из /etc/fstab записи (если есть):
- /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).
- Через fly-admin-smc создать новое устройство в разделе «Устройства», при открытом окне подключить нужный CD/DVD-диск.
- В свойствах этого диска указать минимум «ID_SERIAL» с тем значением, что определилось Астрой. Можно еще «ID_FS_LABEL», если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
- В разделе «Общие» указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
- Сохранить все это, для верности ребутнуться и проверить.
ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий.
archi7
New member
- Убрать из /etc/fstab записи (если есть):
- /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).
- Через fly-admin-smc создать новое устройство в разделе «Устройства», при открытом окне подключить нужный CD/DVD-диск.
- В свойствах этого диска указать минимум «ID_SERIAL» с тем значением, что определилось Астрой. Можно еще «ID_FS_LABEL», если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
- В разделе «Общие» указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
- Сохранить все это, для верности ребутнуться и проверить.
ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий.
archi7
New member
- Убрать из /etc/fstab записи (если есть):
- /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).
- Через fly-admin-smc создать новое устройство в разделе «Устройства», при открытом окне подключить нужный CD/DVD-диск.
- В свойствах этого диска указать минимум «ID_SERIAL» с тем значением, что определилось Астрой. Можно еще «ID_FS_LABEL», если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
- В разделе «Общие» указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
- Сохранить все это, для верности ребутнуться и проверить.
ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий.
Спасибо большое за понимание диск прописал все указал работает запись монтирование учтенных дисков, но есть одно но неучтеные диски не монтируются но запись делает может я что то не доделал