Usb astra linux монтирование

Astra Linux Special Edition 1.5 ⬝ Разграничение доступа к USB-носителям

При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.

Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.

Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.

В более поздних версиях Astra Linux группа fuse не используется. Порядок работы с конфиденциальной информацией на USB-носителях для этих версий см. в статье Съемные носители в Astra Linux.

Мандатное разграничение доступа возможно только на файловых системах, поддерживающих расширенные атрибуты. Для USB-носителей это файловые системы Ext2/Ext3/Ext4.

Для создания правила и разграничения доступа к носителю запустить fly-admin-smc (Политика безопасности), открыть закладку «Доступ к устройствам», ЛКМ «Устройства и Правила» и ЛКМ «+» («Создать» в верхней панели»).

После появления окна подключения и информации подключить заранее созданный носитель (см. ниже). После определения устройства нажать на название носителя (пример на снимке 1)

В свойствах устройства выставить флаг в чек-бокс «Включено», ввести имя носителя в поле «Наименование» (снимок 2)

Перейти в закладку «Общие», выставить флаги (разграничить доступ) в чек-боксах владельца, группы и остальных, выставить в выпадающих меню пользователя и группу (снимок 3)

Нажать «Применить» (зеленая галочка на панели инструментов)

Для того, чтобы изменения ограничений мандатного доступа вступили в силу, следует переподключить носитель.
Для того, чтобы можно было получить доступ к носителю после перезагрузки компьютера следует переподключить носитель.

Дискреционная настройка носителя

Для корректного монтирования EXT-раздела в ОС Astra Linux необходимо изменить владельца носителя, права доступа и ACL. Для этого требуется смонтировать носитель и поменять владельца. Порядок действий:

    Создать временный каталог:

Создание правил для многоуровневого флеш-накопителя

  1. Создать на накопителе несколько Ext2 разделов;
  2. Задать метки разделам(Label), например: ns, dsp, sec, ss;
  3. Зарегистрировать правило для каждого раздела, используя ID_SERIAL_SHORT и ID_FS_UUID, установить мандатный уровень, дискретные права пользователя и группы;
  4. После регистрации правил установить дискретные права доступа на корневой каталог каждого раздела, как указано выше.

Источник

Введение

В обновлениях Astra Linux до обновления x.7.2 для управления подключаемыми устройствами совместно используются механизмы udev и mount. См. Съемные носители в Astra Linux. В данной статье рассматривается пример сценария, использующего механизм udev для автоматического монтирования съемных носителей. Сценарий имеет следующие особенности:

  • монтирование выполняется в предопределенную точку монтирования (/media/);
  • монтирование выполняется для всех пользователей (примонтированное устройство доступно для чтения и записи всем пользователям;
  • размонтирование устройства доступно всем пользователям.
Читайте также:  Установка вине на линукс

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10052-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12

Предлагаемый в настоящей статье сценарий монтирования предназначен исключительно для демонстрации приемов работы. Для практического применения предлагаемый сценарий должен быть доработан в соответствии с поставленными задачами. В частности, автоматически примонтированные сценарием носители с файловой системой NTFS не могут быть размонтированы через службу fly-reflex (графическое приложение). Однако при этом пользователи могут использовать для размонтирования команду umount из командной строки.

Применение собственных сценариев обработки событий udev одновременно с использованием учтенных носителей (см. Съемные носители в Astra Linux) допустимо только в рамках действующих правил безопасности..

Перехват события udev

События udev («action») возникают при изменении статуса подключенных устройств. Наиболее употребительные события:

  • физическое подключение устройства (событие «add»);
  • физическое отключение (извлечение) устройства (событие «remove»);
  • смена носителя в устройстве (событие «change»). Используется для устройств типа компакт-диск (CD- и DVD-приводы).

Перехват событий осуществляется с помощью сценариев обработки. Файлы со сценариями — обработчиками событий udev располагаются в каталогах:

Каталоги обрабатываются в том порядке, в котором они перечислены. Перед выполнением файлы упорядочиваются по алфавиту. Файлы с одинаковыми именами — переписываются последним найденным файлом, т.е. файл, найденный в последнем каталоге (/etc/udev/rules.d/) заменит собой ранее найденный файл с таким же именем.

Стандартно имя каждого файла — сценария начинается с двух цифр, и имеет расширение .rules.

Пример файла перехвата события /etc/udev/rules.d/99-local.rules:

KERNEL=="sd[a-z]|sd[a-z]2", SUBSYSTEMS=="usb", ACTION=="add", RUN+="/bin/systemctl start usb-mount@%k.service", RUN+="/usr/bin/logger -s -t Astra StepAdd" KERNEL=="sd[a-z]|sd[a-z]9", SUBSYSTEMS=="usb", ACTION=="remove", RUN+="/bin/systemctl stop usb-mount@%k.service", RUN+="/usr/bin/logger -s -t Astra StepRemove" KERNEL=="sd[a-z]|sd[a-z]6", SUBSYSTEMS=="usb", ACTION=="change", RUN+="/bin/systemctl reload usb-mount@%k.service", RUN+="/usr/bin/logger -s -t Astra StepReload"

Этот перехватчик обрабатывает события подключения/отключения дисковых разделов с именами:

  • начинающимися с букв «sd», после которых следует одна любая строчная буква ([a-z]) — такие имена используются для дисковых разделов с файловой системой vfat и, иногда, NTFS;
  • начинающимися с букв «sd», , после которых следует одна любая строчная буква ([a-z]), после которой следует одна цифра (4) — такие имена используются для дисковых разделов ext2/ext3/ext4 и NTFS.
Читайте также:  What is inodes in linux

Для отладки в сценарий вставлены команды трассировки выполняемых вызовов:

RUN+="/usr/bin/logger -s -t Astra_USB .

Отладочные сообщения отмеченные тегом Astra_USB записываются в системный журнал /var/log/syslog.

Сам перехватчик не выполняет прямых действий, а вызывает для выполнения этих действия системную службу usb-mount@%k.service, то есть вызывает сценарий обработки события как системную службу.

При выполнении правила обработки события служба udev вместо специальной переменной %k автоматически подставит имя подключаемого объекта (полный список специальных переменных имеется в документации). Т.е. при подключении дискового раздела, например, /dev/sdb1, будет выполняться команда:

Имя вызываемой службы usb-mount@%k помимо переменной %k содержит символ «коммерческое at» («собака», «@»), имеющий специальный смысл: при вызове службы в имени которой содержится символ «@» системная служба вызова служб разберет это имя на части, и передаст часть, находящуюся после символа «@» вызываемой службе как параметр. Т.е. вызов:

systemctl start usb-mount@sdb1.service

превратится в вызов службы usb-mount с параметрами start и sdb1. Как организовать обработку этого вызова и саму службу описано ниже.

Новые (добавленные) правила обработки регистрируются системой автоматически, однако после внесения изменений в существующие правила следует обновить правила udev командой:

Вызов сценария обработки события как системного сервиса

Итак, сценарий обработки вызывается как системная служба. Для вызова системных служб используются так называемые «юниты» (units), специальные сценарии запуска служб, расположенные в каталогах /etc/systemd/system/.

Пример обработчика вызова службы для вышеуказанного правила перехвата события udev разместим в файле /etc/systemd/system/usb-mount@.service:

[Unit]
Description=Mount USB Drive on %i
[Service]
Type=oneshot
RemainAfterExit=true
ExecStart=/usr/local/bin/usb-mount.sh add %i
ExecReload=/usr/local/bin/usb-mount.sh reload %i
ExecStop=/usr/local/bin/usb-mount.sh remove %i

Этот сценарий умеет обрабатывать две команды — start (параметр ExecStart) и stop (параметр ExecStop), но сам опять ничего не делает, а вызывает исполнимый файл сценария обработки события (для примера — файл /usr/local/bin/usb-mount.sh). При вызове файлу передается параметр, определяющий действие (в примере выше — add или remove) и специальный параметр %i, вместо которого автоматически подставляется часть имени вызова службы, находящаяся после символа «@», т.е. в используемом примере — sdb1.

Сценарий обработки события

Сценарий обработки события в принципе может размещаться где угодно. Для примера используется файл /usr/local/bin/usb-mount.sh. Комментарии см. в тексте сценария. Важные особенности работы сценария:

  • монтирование устройств vfat:
    • выполняется от имени пользователя nobody («никто») и группы nogroup («никакая группа»);
    • на устройство устанавливается маска доступа (umask) 000, разрешающая доступ на чтение и запись к файловым объектам на устройстве всем пользователям;
    • noexec — запрет исполнения двоичных файлов, расположенных на носителе;
    • nosuid — запрет применения битов установки идентификатора пользователя и идентификатора группы, используемых для изменения (повышения) привилегий;
    • nodev — запрет применения файлов, расположенных на устройстве, как файлов символьных или блочных устройств;
    • Опция монтирования users. Наличие этой опции, когда она указана в файле /etc/fstab, помимо задания опций «noexec , nosuid , nodev» при монтировании, имеет дополнительную функцию: наличие этой опции разрешает размонтировать устройство любому пользователю;
    • Опция монтирования noauto. Наличие этой опции исключает автоматическое монтирование носителя при загрузке ОС (или при выполнении команды mount -a).

    #!/bin/bash
    set -xue
    # Определяется команда для трассировки (отладки) выполнения сценария. Отладочные записи записываются в системный журнал /var/log/syslog и помечается тегом «Astra_USB»
    log=’/usr/bin/logger -s -t «Astra_USB»‘

    # Этот сценарий вызывается из системного юнита как сценарий обработки подключения/отключения накопителей и должен получать два параметра
    usage() $log «Применение: $0 device_name (например, sdb1).»
    exit 1
    >

    do_mount() MOUNT_POINT=$(/bin/mount | /bin/grep $ | /usr/bin/awk ‘< print $3 >‘)
    if [[ -n $ ]]; then
    $log «Предупреждение: $ уже смонтировано в $»
    exit 1
    fi

    # Получение и сохранение в переменных информации об устройстве : метка ID_FS_LABEL, идентификатоп ID_FS_UUID, и тип файловой системы ID_FS_TYPE
    eval $(/sbin/blkid -o udev $)

    # Глобальные опции монтирования
    OPTS=»rw,relatime,users»

    # Специфические для файловых систем опции монтирования:
    case $ in
    vfat) $log «Файловая система $ на устройстве $»
    OPTS+=»,uid=nobody,gid=nogroup,umask=000,shortname=mixed,utf8=1,flush»
    ;;
    ext4|ext3|xfs|btrfs)
    $log «Файловая система $ на устройстве $»
    ;;
    ntfs)
    OPTS+=»,group,uid=nobody,gid=nogroup»
    $log «Файловая система $ на устройстве $»
    ;;
    «») $log «На устройстве $ отсутствует файловая система»
    exit 0
    ;;
    *) $log «Неподдерживаемая файловая система $ на устройстве $»
    exit 1
    esac

    UUID=`lsblk $DEVICE -no UUID`
    # MOUNT_POINT=»/run/user/0/media/by-uuid-$»
    MOUNT_POINT=»/media/by-uuid-$»
    $log «Точка монтирования: $»
    /bin/mkdir -p $
    chmod 777 $

    if ! /bin/mount -o $ $ $; then
    $log «Ошибка монтирования $ (статус = $?)»
    /bin/rmdir $
    exit 1
    else
    sed -i «/^$\s\+/d» /etc/fstab
    echo «$ $ auto $ 0 0» | tee -a /etc/fstab > /dev/null
    fi

    do_unmount() $log «Removing: $-$-$»
    MOUNT_POINT=$(/bin/mount | /bin/egrep «^$» | /usr/bin/awk ‘< print $3 >‘)
    if [[ -z $ ]]; then
    $log «Предупреждение: $ не примонтировано»
    else
    /bin/umount -l $
    $log «**** Отмонтировано $ **** Удаление точки монтирования $ и записи в /etc/fstab»
    fi
    [ -d «$MOUNT_POINT» ] && /bin/rmdir «$MOUNT_POINT»
    sed -i «/^$\s\+$/d» /etc/fstab
    >

    do_reload() $log «Reload: $-$-$»
    MOUNT_POINT=$(/bin/mount | /bin/egrep «^$» | /usr/bin/awk ‘< print $3 >‘)
    if [[ -z $ ]]; then
    for d in `egrep «^$\s+» /etc/fstab | awk »` ; do
    $log «Reload: $ не примонтировано. Удаление точки монтирования $d»
    [ -d «$d» ] && rm «$d»
    done
    else
    $log «Reload: $ примонтировано»
    fi
    sed -i «/^$\s\+/d» /etc/fstab
    >

    case «$» in
    add) do_mount ;;
    remove) do_unmount ;;
    reload) do_reload ;;
    *) usage ;;
    esac

    После создания файла сценария сделать его исполнимым:

    Приемы отладки

    Включение вывода отладочных сообщений udev в файл /var/log/syslog:

    Тестовая отработка правил udev без их загрузки:

    Источник

Оцените статью
Adblock
detector