- Saved searches
- Use saved searches to filter your results more quickly
- vt-alt/dm-secdel
- Name already in use
- Sign In Required
- Launching GitHub Desktop
- Launching GitHub Desktop
- Launching Xcode
- Launching Visual Studio Code
- Latest commit
- Git stats
- Files
- README.md
- About
- Уровни конфиденциальности
- Режим Мандатного Контроля Целостности
- Режим Мандатного Контроля Целостности ФС
- Режим ЗПС (замкнутой программной среды) в исполняемых файлах
- Блокировка консоли для пользователей
- Блокировка интерпретаторов
- Блокировка установки бита исполнения
- Блокировка макросов
- Блокировка трассировки ptrace
- Гарантированное удаление файлов и папок
- Межсетевой экран ufw
- Системные ограничения ulimits
- Блокировка клавиш SysRq
- Режим ЗПС (замкнутой программной среды) в расширенных атрибутах
- Графический киоск
- Системный киоск
Saved searches
Use saved searches to filter your results more quickly
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
dm-linear with secure deletion (wipe, erase) on discard
vt-alt/dm-secdel
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Name already in use
A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch?
Sign In Required
Please sign in to use Codespaces.
Launching GitHub Desktop
If nothing happens, download GitHub Desktop and try again.
Launching GitHub Desktop
If nothing happens, download GitHub Desktop and try again.
Launching Xcode
If nothing happens, download Xcode and try again.
Launching Visual Studio Code
Your codespace will open once ready.
There was a problem preparing your codespace, please try again.
Latest commit
Git stats
Files
Failed to load latest commit information.
README.md
dm-linear like target which provides discard, but replaces it with write of erase pattern data to a discarded region. Thus, discarded data is securely deleted (sanitized). Because of abstract nature, it could support many file-systems which support discard (such as ext3, ext4, xfs, btrfs).
Create a mapped device with secdelsetup tool. Make sure file-system is mounted from that device and not from the underlying device. Make sure file-system is mounted with -o discard option. Do not enable data journaling (such as -o data=journal do not enable it). Note, that when you rm files discards will be sent (and, thus, erasing will performed) asynchronously, so, to make sure data is already erased issue sync or remount file-system with -o sync option before rm . If you wish that filenames are wiped too, first, make sure file-system is created completely without journaling (such as mkfs.ext4 -O ^has_journal , and second, delete the directory itself, so its blocks are discarded and erased. If you issue fstrim all free blocks of file-system will be discarded and thus erased too (make sure that file-system is still mounted with -o discard though.)
secdelsetup /dev/sda5 [/dev/mapper/secdel5]
- will map sda5 to secdel5 . (With default erase more which is single pass of (crng) random data). Alternatively:
secdelsetup /dev/sda5 [/dev/mapper/secdel5] 1R0
- Will work same as above but with with three pass overwriting: first pass of 1-bits, second pass of (crng) random bits, and third pass of 0-bits.
Then, file-system on secdel5 should be mounted with -o discard .
secdeltab --all or secdeltab --list
- save current maps to /etc/secdeltab which will be automatically activated after reboot (by secdeltab.service systemd unit).
Based on the code of dm-linear from Linux kernel of their respective authors. (C) 2018,2019 vt@altlinux.org; License GPL-2.0-only.
About
dm-linear with secure deletion (wipe, erase) on discard
Уровни конфиденциальности
По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:
При необходимости, количество уровней конфиденциальности может быть увеличено до 255.
Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
и назначать их пользователям, необходимо:
- в файле конфигурации мандатных атрибутов файловой системы /usr/sbin/pdp-init-fs
задать параметру sysmaclev значение, равное максимальному созданному уровню конфиденциальности
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатные атрибуты ->
Уровни целостности
Управление в консольном режиме:
userlev
0 Уровень_0
1 Уровень_1
2 Уровень_2
3 Уровень_3
Режим Мандатного Контроля Целостности
Управление в графическом режиме с помощью графического инструмента fly-admin-smc :
Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатный контроль целостности
Управление в консольном режиме:
cat /proc/cmdline | grep «parsec.max_ilev»
Режим Мандатного Контроля Целостности ФС
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
Режим ЗПС (замкнутой программной среды) в исполняемых файлах
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Блокировка консоли для пользователей
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-console-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Блокировка интерпретаторов
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-interpreters-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Блокировка установки бита исполнения
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
cat /parsecfs/nochmodx
1 включен
0 выключен
Блокировка макросов
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-macros-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Блокировка трассировки ptrace
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра
Управление в консольном режиме
systemctl is-enabled astra-ptrace-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Гарантированное удаление файлов и папок
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памяти
Управление в консольном режиме
Межсетевой экран ufw
Управление в графическом режиме
Управление в консольном режиме
ufw status
Status: active включен
Status: inactive выключен
Системные ограничения ulimits
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-ulimits-control
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Блокировка клавиш SysRq
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра
Управление в консольном режиме
sysctl -w kernel.sysrq=0
sysctl -w kernel.sysrq=1
cat /proc/sys/kernel/sysrq
0 включен
1 выключен
Режим ЗПС (замкнутой программной среды) в расширенных атрибутах
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда
Графический киоск
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Системный киоск
Управление в графическом режиме с помощью графического инструмента fly-admin-kiosk: