Настройки usb устройств

Сообщения
4
#1
Как запретить все usb устройства (сьемные диски, мышь, клавиатура, принтера, устройства чтения смарт-карт, модемы, Wi-Fi, камеры, bluetooth.....) и прописать только нужные (которые будут работать на этом компьютере)?
Должно получиться по типу все запрещено кроме того что разрешено.
И как эту созданную политику можно будет распространять другим компьютерам, только потом прописывая нужные, подключаемые к ним устройства?
 

DVI

New member
Сообщения
15
#2
На SE посмотрите в оснастке "Управление политикой безопасности" там есть пункт "Доступ к устройствам", а так по хорошему покрутите службу Astra Linux Directory.
 
Сообщения
4
#3
На SE посмотрите в оснастке "Управление политикой безопасности" там есть пункт "Доступ к устройствам", а так по хорошему покрутите службу Astra Linux Directory.
Я там лазил, можно только запретить устройство. А мне нужно по системе запрещено все кроме того что разрешено.
 
Сообщения
4
#5
И там лазил, вывел из группы floppy а вот fuse такого не нашел, все равно все подключается и работает. Может конечно из за fuse, но я её там не увидел в группах, нету её. Так что нужна какая та более подробная инструкция.
 

ulv

Moderator
Team Astra Linux
Сообщения
26
#6
В ОС СН входит средство по разграничению доступа к устройствам.
Оно в совей работе использует права на символьные и блочные устройства, создаваемые через систему udev.
Средство разрабатывалось для контроля за отчуждаемыми носителями.
Фактически, если выкинуть пользователя из группы floopy, то он не сможет смонтировать флешку (из cdrom - cd-disk).
Смонтировать сможет он только то устройство, что было добавлено через "управление устройствами" с выставлением этого пользователя в качестве владельца или группы пользователя.
Когда устройство добавляется через "окно добавления устройства", можно выбрать к какому из параметров прикрепится (по-умолчанию id_serial).
Среди этих параметров есть и dev_path который определяет конкретный порт, в который воткнуто устройство.

Идею создания "белого списка устройств" возьмем на проработку.
 

voyaka83

New member
Сообщения
11
#7
Подскажите, при добавлении устройства какой параметр нужно выбирать "env"? "depath" или что иное, что значат эти параметры. Сделал все согласно инструкции. Т. Е. под root добавил устройство (NFTS флэшку) по ID, поставил флажки для пользователя, выбрал env и ==, вывел пользователя из floopy. Но флэшка пользователем не монтируется, пишет что только root, может смонтировать, если же смонтировать под рутом, то и пользователь ее потом при перезаходе видит
 

Dim

New member
Team Astra Linux
Сообщения
38
#8
Подскажите, при добавлении устройства какой параметр нужно выбирать "env"? "depath" или что иное, что значат эти параметры. Сделал все согласно инструкции. Т. Е. под root добавил устройство (NFTS флэшку) по ID, поставил флажки для пользователя, выбрал env и ==, вывел пользователя из floopy. Но флэшка пользователем не монтируется, пишет что только root, может смонтировать, если же смонтировать под рутом, то и пользователь ее потом при перезаходе видит
ENV ID_SERIAL должно быть достаточно для проверки монтирования по правилу. NTFS можно только под нулём использовать, т.к. мандатные метки(расширенные атрибуты) она не поддерживает.
Галочку "включить" поставьте.
 

ingener

New member
Сообщения
66
#13
а какой смысл запрещать на чтение внешние устройства? по умолчанию в системе можно примонтировать на чтение в любом уровне - категории. а вот записать в ненулевом уровне можно только на разрешенных (зарегистрированных) носителях. как раз решается задача исключения утечки конфиденциальной информации в неразрешенные области.
а чтение информации вреда не приносит.
 

Vosiley

New member
Сообщения
7
#14
Запрет на монтирование устройств, и "белый список" устройств USB можно реализовать посредством правил udev. Также можно написать скрипт, чтобы udev при подключении незарегистрированного устройства отмечал это как попытку несанкционированного доступа в логах. Вот только это все должно было быть сделано разработчиками из коробки.
 

Vosiley

New member
Сообщения
7
#15
а какой смысл запрещать на чтение внешние устройства? по умолчанию в системе можно примонтировать на чтение в любом уровне - категории. а вот записать в ненулевом уровне можно только на разрешенных (зарегистрированных) носителях. как раз решается задача исключения утечки конфиденциальной информации в неразрешенные области.
а чтение информации вреда не приносит.
если мы про гостайну, то "внешние устройства" можно подключать к системе только те, что прописаны в аттестате. Подключение иных должно регистрироваться как НСД.
 

Vosiley

New member
Сообщения
7
#16
В ОС СН входит средство по разграничению доступа к устройствам.
Идею создания "белого списка устройств" возьмем на проработку.
посмотрите лучше, как Secret Net работает с устройствами, если вдруг почему-то этого не сделали еще.
 

ingener

New member
Сообщения
66
#17
если мы про гостайну, то "внешние устройства" можно подключать к системе только те, что прописаны в аттестате. Подключение иных должно регистрироваться как НСД.
не вижу в этом никакого НСД. компакт-диск вставляете - НСД нет!
НСД (несанкционированный доступ) будет если информацию ограниченного доступа на неучтенный носитель записать, а потом этот носитель вынести за пределы периметра.
Astra Linux не позволит этого сделать, и запустить исполняемый файл с неучтенного носителя тоже не позволит, в отличие от Windows. из-за того, что в стране в основном весь парк РС на Windiws и есть такое требование, на которое вы ссылаетесь. но оно неофициальное. не в одном РД, по крайней мере я, такого требования не встречал
 
Последнее редактирование: