Astra Linux Special Edition 1.5 ⬝ Разграничение доступа к USB-носителям
При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.
Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.
Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.
В более поздних версиях Astra Linux группа fuse не используется. Порядок работы с конфиденциальной информацией на USB-носителях для этих версий см. в статье Съемные носители в Astra Linux.
Мандатное разграничение доступа возможно только на файловых системах, поддерживающих расширенные атрибуты. Для USB-носителей это файловые системы Ext2/Ext3/Ext4.
Для создания правила и разграничения доступа к носителю запустить fly-admin-smc (Политика безопасности), открыть закладку «Доступ к устройствам», ЛКМ «Устройства и Правила» и ЛКМ «+» («Создать» в верхней панели»).
После появления окна подключения и информации подключить заранее созданный носитель (см. ниже). После определения устройства нажать на название носителя (пример на снимке 1)
В свойствах устройства выставить флаг в чек-бокс «Включено», ввести имя носителя в поле «Наименование» (снимок 2)
Перейти в закладку «Общие», выставить флаги (разграничить доступ) в чек-боксах владельца, группы и остальных, выставить в выпадающих меню пользователя и группу (снимок 3)
Нажать «Применить» (зеленая галочка на панели инструментов)
Для того, чтобы изменения ограничений мандатного доступа вступили в силу, следует переподключить носитель.
Для того, чтобы можно было получить доступ к носителю после перезагрузки компьютера следует переподключить носитель.
Дискреционная настройка носителя
Для корректного монтирования EXT-раздела в ОС Astra Linux необходимо изменить владельца носителя, права доступа и ACL. Для этого требуется смонтировать носитель и поменять владельца. Порядок действий:
- Создать временный каталог:
Создание правил для многоуровневого флеш-накопителя
- Создать на накопителе несколько Ext2 разделов;
- Задать метки разделам(Label), например: ns, dsp, sec, ss;
- Зарегистрировать правило для каждого раздела, используя ID_SERIAL_SHORT и ID_FS_UUID, установить мандатный уровень, дискретные права пользователя и группы;
- После регистрации правил установить дискретные права доступа на корневой каталог каждого раздела, как указано выше.
Введение
В обновлениях Astra Linux до обновления x.7.2 для управления подключаемыми устройствами совместно используются механизмы udev и mount. См. Съемные носители в Astra Linux. В данной статье рассматривается пример сценария, использующего механизм udev для автоматического монтирования съемных носителей. Сценарий имеет следующие особенности:
- монтирование выполняется в предопределенную точку монтирования (/media/);
- монтирование выполняется для всех пользователей (примонтированное устройство доступно для чтения и записи всем пользователям;
- размонтирование устройства доступно всем пользователям.
Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10052-02 (очередное обновление 4.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- Astra Linux Common Edition 2.12
Предлагаемый в настоящей статье сценарий монтирования предназначен исключительно для демонстрации приемов работы. Для практического применения предлагаемый сценарий должен быть доработан в соответствии с поставленными задачами. В частности, автоматически примонтированные сценарием носители с файловой системой NTFS не могут быть размонтированы через службу fly-reflex (графическое приложение). Однако при этом пользователи могут использовать для размонтирования команду umount из командной строки.
Применение собственных сценариев обработки событий udev одновременно с использованием учтенных носителей (см. Съемные носители в Astra Linux) допустимо только в рамках действующих правил безопасности..
Перехват события udev
События udev («action») возникают при изменении статуса подключенных устройств. Наиболее употребительные события:
- физическое подключение устройства (событие «add»);
- физическое отключение (извлечение) устройства (событие «remove»);
- смена носителя в устройстве (событие «change»). Используется для устройств типа компакт-диск (CD- и DVD-приводы).
Перехват событий осуществляется с помощью сценариев обработки. Файлы со сценариями — обработчиками событий udev располагаются в каталогах:
Каталоги обрабатываются в том порядке, в котором они перечислены. Перед выполнением файлы упорядочиваются по алфавиту. Файлы с одинаковыми именами — переписываются последним найденным файлом, т.е. файл, найденный в последнем каталоге (/etc/udev/rules.d/) заменит собой ранее найденный файл с таким же именем.
Стандартно имя каждого файла — сценария начинается с двух цифр, и имеет расширение .rules.
Пример файла перехвата события /etc/udev/rules.d/99-local.rules:
KERNEL=="sd[a-z]|sd[a-z]2", SUBSYSTEMS=="usb", ACTION=="add", RUN+="/bin/systemctl start usb-mount@%k.service", RUN+="/usr/bin/logger -s -t Astra StepAdd" KERNEL=="sd[a-z]|sd[a-z]9", SUBSYSTEMS=="usb", ACTION=="remove", RUN+="/bin/systemctl stop usb-mount@%k.service", RUN+="/usr/bin/logger -s -t Astra StepRemove" KERNEL=="sd[a-z]|sd[a-z]6", SUBSYSTEMS=="usb", ACTION=="change", RUN+="/bin/systemctl reload usb-mount@%k.service", RUN+="/usr/bin/logger -s -t Astra StepReload"
Этот перехватчик обрабатывает события подключения/отключения дисковых разделов с именами:
- начинающимися с букв «sd», после которых следует одна любая строчная буква ([a-z]) — такие имена используются для дисковых разделов с файловой системой vfat и, иногда, NTFS;
- начинающимися с букв «sd», , после которых следует одна любая строчная буква ([a-z]), после которой следует одна цифра (4) — такие имена используются для дисковых разделов ext2/ext3/ext4 и NTFS.
Для отладки в сценарий вставлены команды трассировки выполняемых вызовов:
RUN+="/usr/bin/logger -s -t Astra_USB .
Отладочные сообщения отмеченные тегом Astra_USB записываются в системный журнал /var/log/syslog.
Сам перехватчик не выполняет прямых действий, а вызывает для выполнения этих действия системную службу usb-mount@%k.service, то есть вызывает сценарий обработки события как системную службу.
При выполнении правила обработки события служба udev вместо специальной переменной %k автоматически подставит имя подключаемого объекта (полный список специальных переменных имеется в документации). Т.е. при подключении дискового раздела, например, /dev/sdb1, будет выполняться команда:
Имя вызываемой службы usb-mount@%k помимо переменной %k содержит символ «коммерческое at» («собака», «@»), имеющий специальный смысл: при вызове службы в имени которой содержится символ «@» системная служба вызова служб разберет это имя на части, и передаст часть, находящуюся после символа «@» вызываемой службе как параметр. Т.е. вызов:
systemctl start usb-mount@sdb1.service
превратится в вызов службы usb-mount с параметрами start и sdb1. Как организовать обработку этого вызова и саму службу описано ниже.
Новые (добавленные) правила обработки регистрируются системой автоматически, однако после внесения изменений в существующие правила следует обновить правила udev командой:
Вызов сценария обработки события как системного сервиса
Итак, сценарий обработки вызывается как системная служба. Для вызова системных служб используются так называемые «юниты» (units), специальные сценарии запуска служб, расположенные в каталогах /etc/systemd/system/.
Пример обработчика вызова службы для вышеуказанного правила перехвата события udev разместим в файле /etc/systemd/system/usb-mount@.service:
[Unit]
Description=Mount USB Drive on %i
[Service]
Type=oneshot
RemainAfterExit=true
ExecStart=/usr/local/bin/usb-mount.sh add %i
ExecReload=/usr/local/bin/usb-mount.sh reload %i
ExecStop=/usr/local/bin/usb-mount.sh remove %i
Этот сценарий умеет обрабатывать две команды — start (параметр ExecStart) и stop (параметр ExecStop), но сам опять ничего не делает, а вызывает исполнимый файл сценария обработки события (для примера — файл /usr/local/bin/usb-mount.sh). При вызове файлу передается параметр, определяющий действие (в примере выше — add или remove) и специальный параметр %i, вместо которого автоматически подставляется часть имени вызова службы, находящаяся после символа «@», т.е. в используемом примере — sdb1.
Сценарий обработки события
Сценарий обработки события в принципе может размещаться где угодно. Для примера используется файл /usr/local/bin/usb-mount.sh. Комментарии см. в тексте сценария. Важные особенности работы сценария:
- монтирование устройств vfat:
- выполняется от имени пользователя nobody («никто») и группы nogroup («никакая группа»);
- на устройство устанавливается маска доступа (umask) 000, разрешающая доступ на чтение и запись к файловым объектам на устройстве всем пользователям;
- noexec — запрет исполнения двоичных файлов, расположенных на носителе;
- nosuid — запрет применения битов установки идентификатора пользователя и идентификатора группы, используемых для изменения (повышения) привилегий;
- nodev — запрет применения файлов, расположенных на устройстве, как файлов символьных или блочных устройств;
- Опция монтирования users. Наличие этой опции, когда она указана в файле /etc/fstab, помимо задания опций «noexec , nosuid , nodev» при монтировании, имеет дополнительную функцию: наличие этой опции разрешает размонтировать устройство любому пользователю;
- Опция монтирования noauto. Наличие этой опции исключает автоматическое монтирование носителя при загрузке ОС (или при выполнении команды mount -a).
#!/bin/bash
set -xue
# Определяется команда для трассировки (отладки) выполнения сценария. Отладочные записи записываются в системный журнал /var/log/syslog и помечается тегом «Astra_USB»
log=’/usr/bin/logger -s -t «Astra_USB»‘# Этот сценарий вызывается из системного юнита как сценарий обработки подключения/отключения накопителей и должен получать два параметра
usage() $log «Применение: $0device_name (например, sdb1).»
exit 1
>do_mount() MOUNT_POINT=$(/bin/mount | /bin/grep $ | /usr/bin/awk ‘< print $3 >‘)
if [[ -n $ ]]; then
$log «Предупреждение: $ уже смонтировано в $»
exit 1
fi# Получение и сохранение в переменных информации об устройстве : метка ID_FS_LABEL, идентификатоп ID_FS_UUID, и тип файловой системы ID_FS_TYPE
eval $(/sbin/blkid -o udev $)# Глобальные опции монтирования
OPTS=»rw,relatime,users»# Специфические для файловых систем опции монтирования:
case $ in
vfat) $log «Файловая система $ на устройстве $»
OPTS+=»,uid=nobody,gid=nogroup,umask=000,shortname=mixed,utf8=1,flush»
;;
ext4|ext3|xfs|btrfs)
$log «Файловая система $ на устройстве $»
;;
ntfs)
OPTS+=»,group,uid=nobody,gid=nogroup»
$log «Файловая система $ на устройстве $»
;;
«») $log «На устройстве $ отсутствует файловая система»
exit 0
;;
*) $log «Неподдерживаемая файловая система $ на устройстве $»
exit 1
esacUUID=`lsblk $DEVICE -no UUID`
# MOUNT_POINT=»/run/user/0/media/by-uuid-$»
MOUNT_POINT=»/media/by-uuid-$»
$log «Точка монтирования: $»
/bin/mkdir -p $
chmod 777 $if ! /bin/mount -o $ $ $; then
$log «Ошибка монтирования $ (статус = $?)»
/bin/rmdir $
exit 1
else
sed -i «/^$\s\+/d» /etc/fstab
echo «$ $ auto $ 0 0» | tee -a /etc/fstab > /dev/null
fido_unmount() $log «Removing: $-$-$»
MOUNT_POINT=$(/bin/mount | /bin/egrep «^$» | /usr/bin/awk ‘< print $3 >‘)
if [[ -z $ ]]; then
$log «Предупреждение: $ не примонтировано»
else
/bin/umount -l $
$log «**** Отмонтировано $ **** Удаление точки монтирования $ и записи в /etc/fstab»
fi
[ -d «$MOUNT_POINT» ] && /bin/rmdir «$MOUNT_POINT»
sed -i «/^$\s\+$/d» /etc/fstab
>do_reload() $log «Reload: $-$-$»
MOUNT_POINT=$(/bin/mount | /bin/egrep «^$» | /usr/bin/awk ‘< print $3 >‘)
if [[ -z $ ]]; then
for d in `egrep «^$\s+» /etc/fstab | awk »` ; do
$log «Reload: $ не примонтировано. Удаление точки монтирования $d»
[ -d «$d» ] && rm «$d»
done
else
$log «Reload: $ примонтировано»
fi
sed -i «/^$\s\+/d» /etc/fstab
>case «$» in
add) do_mount ;;
remove) do_unmount ;;
reload) do_reload ;;
*) usage ;;
esacПосле создания файла сценария сделать его исполнимым:
Приемы отладки
Включение вывода отладочных сообщений udev в файл /var/log/syslog:
Тестовая отработка правил udev без их загрузки: