Смоленск 1.6 Запись на оптический носитель

Ankarii

New member
Сообщения
13
#1
Имеется рабочее место в защищенном исполнении с настроенными уровнями конфиденциальности: 0:Несекретно, 1:ДСП, 2:Секретно, 3:СовСекретно.
В файловой системе созданы папки с соответствующими уровнями конфиденциальности, в них - документы. И в рамках жесткого диска данной операционной системы все это работает.

Вопрос, как записать файл с уровнем конфиденциальности отличным от "Несекретно" на оптический диск?
 

azm9s

New member
Сообщения
240
#2
Вопрос, как записать файл с уровнем конфиденциальности отличным от "Несекретно" на оптический диск?
а как вы добились записи в режиме "несекретно"?
выполнив все требования по redbook у меня запись только от root возможна. от обычного юзера локального или доменного не работает, все пользователи в группе cdrom, cdwriter.
 

Ankarii

New member
Сообщения
13
#3
а как вы добились записи в режиме "несекретно"?
выполнив все требования по redbook у меня запись только от root возможна. от обычного юзера локального или доменного не работает, все пользователи в группе cdrom, cdwriter.
У меня локальная машина, без сети. В несекретном режиме через программу k3b пишет без вопросов (AL SE 1.6, обновление 5).

А вот что по поводу записи файлов с уровнем конфиденциальности отличным от "Несекретно", мне прислала техподдержка:
Создать файл в /etc/systemd/system/myprogram.service с содержимым:

[Unit]
Description= Setting label on /dev/sr0
After= network.target
[Service]
Type=oneshot
ExecStart=/opt/script.sh
[Install]
WantedBy=multi-user.target

Создать скрипт /opt/script.sh

#!/bin/bash
set -e
sudo pdpl-file 0:0:0:ehole /dev/sr0

Выполнить команду:
sudo chmod 777 /opt/script.sh

Перезагрузить конфигурации:
systemctl daemon-reload
systemctl enable myprogram

Выполнить перезагрузку компьютера
sudo reboot
После данных манипуляций все заработало, что от учетной запись administrator (учетка, которая при установке ОС сдается), что от учеток user1, user2 и т.д.
P.S. Файл, попав на диск становится несекретным.
 

archi7

New member
Сообщения
26
#5
У меня локальная машина, без сети. В несекретном режиме через программу k3b пишет без вопросов (AL SE 1.6, обновление 5).

А вот что по поводу записи файлов с уровнем конфиденциальности отличным от "Несекретно", мне прислала техподдержка:
Создать файл в /etc/systemd/system/myprogram.service с содержимым:

[Unit]
Description= Setting label on /dev/sr0
After= network.target
[Service]
Type=oneshot
ExecStart=/opt/script.sh
[Install]
WantedBy=multi-user.target

Создать скрипт /opt/script.sh

#!/bin/bash
set -e
sudo pdpl-file 0:0:0:ehole /dev/sr0

Выполнить команду:
sudo chmod 777 /opt/script.sh

Перезагрузить конфигурации:
systemctl daemon-reload
systemctl enable myprogram

Выполнить перезагрузку компьютера
sudo reboot
После данных манипуляций все заработало, что от учетной запись administrator (учетка, которая при установке ОС сдается), что от учеток user1, user2 и т.д.
P.S. Файл, попав на диск становится несекретным.
Инструкция работает запись получается на любой диск а это не есть хорошо. У меня вопрос как прописать учтеные диски и запретить запись на любые другие
 

azm9s

New member
Сообщения
240
#6
Инструкция работает запись получается на любой диск а это не есть хорошо. У меня вопрос как прописать учтеные диски и запретить запись на любые другие
и как сие хотите увидеть?
технической инфы, хоть тот же серийный номер, которую нельзя затереть, на диске нет.
а если что-то прописывать свое - то на любом другой эвм все можно стереть.
 

archi7

New member
Сообщения
26
#7
и как сие хотите увидеть?
технической инфы, хоть тот же серийный номер, которую нельзя затереть, на диске нет.
а если что-то прописывать свое - то на любом другой эвм все можно стереть.
Даллас Лок как то прописывает же
 

archi7

New member
Сообщения
26
#8
кто ни будь решил данный вопрос как прописать учтенные диски а все остальные запретить
 

oko

New member
Сообщения
691
#9
to archi7
А п. 16 Руководства администратора разве не решает указанную задачу? Зарегистрировать, разграничить, отредактировать fstab, читать/писать по согласованию, ага...
 

archi7

New member
Сообщения
26
#10
to archi7
А п. 16 Руководства администратора разве не решает указанную задачу? Зарегистрировать, разграничить, отредактировать fstab, читать/писать по согласованию, ага...
Для флешки проблем нету а вот диск как если есть пример подскажите
 

oko

New member
Сообщения
691
#11
to archi7
Вам сюда выписку из Руководства скопировать?
За неимением машины с CD-приводом проверил на виртуалке. Все четко по руководству, раздел 16:
  1. Убрать из /etc/fstab записи (если есть):
  • /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).
  1. Через fly-admin-smc создать новое устройство в разделе "Устройства", при открытом окне подключить нужный CD/DVD-диск.
  2. В свойствах этого диска указать минимум "ID_SERIAL" с тем значением, что определилось Астрой. Можно еще "ID_FS_LABEL", если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
  3. В разделе "Общие" указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
  4. Сохранить все это, для верности ребутнуться и проверить...
У меня в процессе короткого эксперимента использовался уже записанный диск с данными. Также не получилось проверить как работают флаги "Выполнение", "Чтение" и "Запись". Зато разграничение по принципу "всем запрещено монтировать неучтенные диски" и "учтенные разрешены только конкретным юзерам или группе" вполне отрабатывали. Дальнейшие игры, как говорится, в руках желающих...

ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий...
 

archi7

New member
Сообщения
26
#12
to archi7
Вам сюда выписку из Руководства скопировать?
За неимением машины с CD-приводом проверил на виртуалке. Все четко по руководству, раздел 16:
  1. Убрать из /etc/fstab записи (если есть):

  • /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).

  1. Через fly-admin-smc создать новое устройство в разделе "Устройства", при открытом окне подключить нужный CD/DVD-диск.
  2. В свойствах этого диска указать минимум "ID_SERIAL" с тем значением, что определилось Астрой. Можно еще "ID_FS_LABEL", если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
  3. В разделе "Общие" указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
  4. Сохранить все это, для верности ребутнуться и проверить...
У меня в процессе короткого эксперимента использовался уже записанный диск с данными. Также не получилось проверить как работают флаги "Выполнение", "Чтение" и "Запись". Зато разграничение по принципу "всем запрещено монтировать неучтенные диски" и "учтенные разрешены только конкретным юзерам или группе" вполне отрабатывали. Дальнейшие игры, как говорится, в руках желающих...

ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий...
Спасибо попробую
 

archi7

New member
Сообщения
26
#13
to archi7
Вам сюда выписку из Руководства скопировать?
За неимением машины с CD-приводом проверил на виртуалке. Все четко по руководству, раздел 16:
  1. Убрать из /etc/fstab записи (если есть):

  • /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
  • /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).

  1. Через fly-admin-smc создать новое устройство в разделе "Устройства", при открытом окне подключить нужный CD/DVD-диск.
  2. В свойствах этого диска указать минимум "ID_SERIAL" с тем значением, что определилось Астрой. Можно еще "ID_FS_LABEL", если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
  3. В разделе "Общие" указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
  4. Сохранить все это, для верности ребутнуться и проверить...
У меня в процессе короткого эксперимента использовался уже записанный диск с данными. Также не получилось проверить как работают флаги "Выполнение", "Чтение" и "Запись". Зато разграничение по принципу "всем запрещено монтировать неучтенные диски" и "учтенные разрешены только конкретным юзерам или группе" вполне отрабатывали. Дальнейшие игры, как говорится, в руках желающих...

ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий...
Спасибо большое за понимание диск прописал все указал работает запись монтирование учтенных дисков, но есть одно но неучтеные диски не монтируются но запись делает может я что то не доделал
 

oko

New member
Сообщения
691
#14
to oko
Зависит от софта, которым пишите. Но есть подозрение, что запись проводится через вызов того же cdrecord (консольная утилита), которая оперирует не примонтированными разделами (к которым Астра разграничивает доступ), а напрямую устройствами /dev/cdrom и т.п. (к которым доступ, соответственно, не разграничивается). Вообще, как по мне, все эти методы защиты от чтения/записи в Астре сделаны больше для user-ориентированного нарушителя. Так-то всегда можно читать/писать напрямую из/в /dev/cdrom байт за байтом (разумеется, имея привилегии на вызов подобных утилит или доступ к /dev)...
 

archi7

New member
Сообщения
26
#15
to oko
Зависит от софта, которым пишите. Но есть подозрение, что запись проводится через вызов того же cdrecord (консольная утилита), которая оперирует не примонтированными разделами (к которым Астра разграничивает доступ), а напрямую устройствами /dev/cdrom и т.п. (к которым доступ, соответственно, не разграничивается). Вообще, как по мне, все эти методы защиты от чтения/записи в Астре сделаны больше для user-ориентированного нарушителя. Так-то всегда можно читать/писать напрямую из/в /dev/cdrom байт за байтом (разумеется, имея привилегии на вызов подобных утилит или доступ к /dev)...
Это понятно что это не защита просто для пользователей, вся беда в сотрудниках которые любят ходить и проверять есть ли утечка информации
 

oko

New member
Сообщения
691
#17
to Montfer
Как вариант. Проверил на виртуалке - во всяком случае, после удаления из группы возможность монтирования остается (что понятно, но требовало проверки). С записью проверить не могу - VirtualBox криво пробрасывает привод...
 

Montfer

New member
Сообщения
1 149
#18
to Montfer
Как вариант. Проверил на виртуалке - во всяком случае, после удаления из группы возможность монтирования остается (что понятно, но требовало проверки). С записью проверить не могу - VirtualBox криво пробрасывает привод...
у меня вообще привода нет, поэтому не могу проверить. во всяком случае в 1.5 или из cdrom удаляли, или из fuse (не помню уже) , чтоб пользователь не мог монтировать неучтенные флешки. отсюда идея для дисков
 

archi7

New member
Сообщения
26
#19
Короче говоря разобрался прописал и запретил все работает для пользователей и проверяющих пойдет не защита а шляпа Михаила боярского