to archi7
Вам сюда выписку из Руководства скопировать?
За неимением машины с CD-приводом проверил на виртуалке. Все четко по руководству, раздел 16:
- Убрать из /etc/fstab записи (если есть):
- /dev/*udf /*home/*/media/* udf owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/*iso9660 /*home/*/media/* iso9660 owner,group,nodev,noexec,noauto,defaults 0 0 (позволяет всем юзерам монтировать учтенные CD/DVD);
- /dev/sr* /*home/*/media/* udf,iso9660 user,noauto 0 0 (позволяет всем юзерам монтировать неучтенные CD/DVD).
- Через fly-admin-smc создать новое устройство в разделе "Устройства", при открытом окне подключить нужный CD/DVD-диск.
- В свойствах этого диска указать минимум "ID_SERIAL" с тем значением, что определилось Астрой. Можно еще "ID_FS_LABEL", если диску уже назначена метка (имя). Так оно надежнее в плане подмены диска нарушителем.
- В разделе "Общие" указать нужного юзера, группу, права для них (чтение, запись, выполнение) и права для всех остальных юзеров. По вкусу добавить мандатную метку и флаги аудита.
- Сохранить все это, для верности ребутнуться и проверить...
У меня в процессе короткого эксперимента использовался уже записанный диск с данными. Также не получилось проверить как работают флаги "Выполнение", "Чтение" и "Запись". Зато разграничение по принципу "
всем запрещено монтировать неучтенные диски" и "
учтенные разрешены только конкретным юзерам или группе" вполне отрабатывали. Дальнейшие игры, как говорится, в руках желающих...
ЗЫ Кстати, Dallas Lock и СТРАЖ прописывают в своей базе диски исключительно инициализированные CD/DVD-диски. Читай, имеющие в своем составе пусть и пустой, но записанный файл в режиме мультисессии. Далее диску присваивается якобы уникальная виртуальная метка в самой базе СЗИ. В других СЗИ, если склероз не изменяет, принцип схожий...