to all
Поигрался с правилами udev, оснасткой fly-admin-smc и правилами /etc/fstab.pdac...
Сдается мне, что ALSE 1.6 (в ALSE 1.5, если память не изменяет, все было иначе) не полностью реализует механизмы СКН (контроль использования машинных носителей информации). Вероятно, намеренно. Теперь понятно, откуда растут ноги презентаций Кода Безопасности о необходимости использования SNLSP в ALSE (что, imho, дичь)...
Короче, дискреционка не отрабатывает по причине того, что монтированием МНИ в /run занимается fly-dm. И он либо монтирует под нужного пользователя с полными правами, либо нет. Определяется этот момент строкой /dev/sd* в /etc/fstab.pdac (разрешить монтирование любых блочных устройств для любых юзеров), наличием пользователя в группе floppy (группа, обладающая правами монтирования блочных устройств по умолчанию) и наличием правила для конкретного МНИ и конкретного пользователя (вне зависимости от прав "чтение", "запись", "выполнение") в перечне "Устройства и правила" раздела "Политики безопасности" (те самые правила udev). Можно, конечно, правила udev модифицировать для каждого пользователя вручную каждый раз, но это как-то, мягко говоря, тупо...
Что Руководство КСЗ, что wiki.astralinux.ru много говорят о мандатных метках и переходе на ФС ext3/ext4, а вот про дискреционку единственная запись мимолетом - дескать, дискреционка тоже определяется правилами разграничения доступа. Выходит, не определяется, ага...
Ну, либо я дурак и не заметил очевидного...