Главная » Linux

Astra linux блокировка флешек

Содержание
  1. Блокировать съемные накопители
  2. Записки эникейщика
  3. пятница, 30 марта 2018 г.
  4. Ограничение на подключение USB флешек в AstraLinux
  5. Как получить серийный номер usb накопителя?
  6. Белый список флешек и принтеров
  7. Операционные системы Astra Linux

Блокировать съемные накопители

Привет!
Возникла задача — «нужно сделать так, что бы на компьютерах пользователи не могли пользоваться флешками — блокировались все флешки, кроме одной пользовательской»
Заливать эпоксидкой порты — моветон. Отключение usb-контроллера средствами BIOS — моветон.
Т.е. задача в программном ограничении использования съемных накопителей — конкретный пользователь на конкретной машине может пользоваться только конкретной флешкой. Парк ПК — от древних pentium3 до более-менее современных i3-i5, debian-based
У кого-нибудь был опыт решения подобной задачи? Что посоветуете?

Я закрыл юзерам путь в /mount — делов то 🙂

Как вариант полного блокирования всех съемных накопителей — да, возможно. Но при этом остается необходимость монтирования 1 флешки пользователя. В этом то вся загвоздка.

Задача, видимо, гораздо глобальнее. Для начала нужно найти как идентифицировать конкретное устройство. На основании полученной информации разрешать только нужное устройство.
Если у кого-то есть опыт — буду благодарен за дельный совет.

Как вариант полного блокирования всех съемных накопителей — да, возможно. Но при этом остается необходимость монтирования 1 флешки пользователя. В этом то вся загвоздка.

А пользовательскую флешку монтируй в другое место, отлавливая её по uuid.

в fstab монтируй по ууиду нужную флэху. а монтирование других отключить

Средствами policykit запретить пользователю монтирование съёмных накопителей за исключением одного конкретного.

Это невозможно, недавно обсуждалось.

в fstab монтируй по ууиду нужную флэху

Вставил флешку, перезагрузился? 😀

В fstab можно добавит к параметрам user, чтобы можно было монтировать от пользователя. Но сейчас принято решать такое правилами udev.

А с какой целью нужно заблокировать любые флешки кроме одной? И нужно ли блокировать другие устройства, например, USB-клавиатуры?

Найди флешки с серийниками. Обычно у флешек в поле iSerial Device descriptor’а прописано что-то типа 000000 или вообще ничего, но есть и с настоящими серийниками, типа

Ну и в рулесы udev на подключение usb storage пихни запуск скрипта который будет проверять соответствие серийника залогиненому юзеру согласно табличке розданных юзерам флешек и монтировать флешку под этим юзером куда-нибудь в юзерский home. Штатное автомонтирование отключить, из fstab опцию user, да и вообще всё что относится к монтированию флешек убрать.

ЗЫ: UUID — говно, тем кто его придумал, советует и пользует надо морду бить, да и переписать его на флешке — как 2 пальца об асфальт.

переписать его (UUID) на флешке — как 2 пальца об асфальт.

А какая, собственно, разница, оригинальная ли это флешка или «перебитая», если пользователь может втыкать заданную флешку с произвольными данными на ней. Хотя это в первую очередь вопрос к автору темы.

нужно сделать так, что бы на компьютерах пользователи не могли пользоваться флешками — блокировались все флешки, кроме одной пользовательской

У флешек есть SerialNumber. Добавить правило udev, которое отслеживаем номер у подключенной и монтирует разрешенные номера. Остальные без админских прав всеравно примонтировать не смогут.

А какая, собственно, разница, оригинальная ли это флешка или «перебитая», если пользователь может втыкать заданную флешку с произвольными данными на ней.

Например — как дополнительная аутентификация пользователя. Чтобы закосить под какого-то юзера нужно не только его пароль спереть, но и его флешку.

Читайте также:  Windows 10 home версия 1903

за тем, что по требованиям безопасности только «хозяин» ПК может сливать на накопитель и с накопителя инфу. Сосед «хозяина» не может подойти и скажем слить квартальный отчет в сеть и из сети скачать от имени ничего не подозревающего, забывшего заблокировать ПК, пользователя. Как-то так.

Остальные устройства, не имеющие возможности сохранять на себе информацию — мы их трогать не должны. Смотрю во всю используются машины без ps/2 портов.

Вот это ближе к делу. Благодарю! на сколько мне известно, флешки закупались аккурат из перечисленых Вами.

Источник

Записки эникейщика

пятница, 30 марта 2018 г.

Ограничение на подключение USB флешек в AstraLinux

Идея такая: создать в udev правило, которое будет блокировать все флешки, серийник которых не внесён в правило.
1. Идем в /etc/udev/rules.d
2. Создаем файл 99-rem-unauth-usb.rules (имя файла можете и сами придумать, но соблюдайте правила udev)
3. Пишем в файл:

Немного пояснений построчно:

  1. Если действие не add, то выходим (выходим путем отсылки интерпретатора командой GOTO к метке, расположенной в самом конце файла)
  2. Если подключается устройство не usb, то выходим
  3. Если подключенное usb устройство не типа disk, то выходим. Это важный нюанс, т.к. без этой опции отключается вся usb переферия — клавиатуры, мышки и т.д. Во всяком случае, на тестовой реальной машине было так. А вот в VirtualBox этот эффект не проявлялся.
  4. Собственно проверка на серийник. Как его узнать, напишу ниже. Если параметр ID_SERIAL_SHORT у usb устройства равен указанному, то выходим — эту флешку вставлять в машину можно
  5. Что же делать, если правило всё еще выполняется? Учитывая все проверки выше, это означает, что к машине подключили usb накопитель, серийник которого не прошел проверку. А это значит, что его нужно отключить. Делается это путем записывания 1 в файл sys/путь к usb устройству/device/delete. После этого флешка отключается. На тестах это выглядело как отключение питания от флешки — на ней гас светодиодный индикатор работы.
  6. Отметка, куда будет перемещен интерпретатор, если ему передать это командой GOTO

Правило начнет работать сразу после добавления. В идеале. Для надежности и душевного спокойствия можете выполнить команды udevadm control —reload-rules и udevadm trigger или вообще перезапустить машину.

Как получить серийный номер usb накопителя?

Для этого используется команда udevadm info с параметрами -q (запрос какой информации выводить) и -n (имя устройства). В результате команда должна получить вид:

-q all выведет всю информацию об устройстве. В качестве альтернативы вместо all можно использовать property.
-n /dev/sdb задает имя устройства.
Будьте с этим внимательны! У вас вместо sdb может быть sdd, sdc или что-то еще! Проверяйте, какому именно устройству присвоено sd*. Посмотреть это можно командой fdisk -l
Далее в выводе команды вас интересует значение параметра ID_SERIAL_SHORT. Это и есть серийник флешки. Его и надо подставлять в правило. Само собой, разрешенных флешек может быть несколько, просто копируйте строку, где проверяется серийник, и подставляйте в неё нужное значение.

Читайте также:  Linux mint настройка времени

Да, в выводе команды udevadm info присутствует параметр ID_SERIAL, но у меня по нему флеш накопители система фильтровать отказалась.

Источник

Белый список флешек и принтеров

На работе использую Astra Linux Special Edition. Необходимо настроить белый список флешек и принтеров, чтобы система не видела «левые» устройства. Кто знает как это можно сделать. Система базируется на Debian.

Вижу три проблемы:

1) Флешки часто не имеют серийного номера. То есть все флешки одной модели одного производителя будут выглядеть абсолютно идентично с точки зрения ОС.

2) Ну запретил ты левые флешки. Что мешает официальную флешку вставить в левый компьютер и залить/слить с неё данные?

3) Насчёт левого принтера вообще не понятно. Если у тебя люди могут пронести на работу принтер, то и фотоаппарат тем более. А между тем, если руки не из одного места растут и фотоаппарат нормальный (сейчас уже и телефоны подоспели и снимают тоже неплохо), то фотография экрана будет мало отличаться от отсканированной бумаги в плане пригодности для OCR и уж тем более читабельности.

Тут только полный запрет флешек (принтеры запрещать смысла нет из-за пункта 3), либо физически отключить USB-порты. И/или досмотр сотрудников с металлоискателями, чтобы они не могли пронести на работу левые флешки и принтеры.

Но при этом остальные usb устройства ты хочешь, чтобы работали?

И зачем их не видеть? Можно не давать не руту их монтировать.

Это бредово, ничто не мешает сделать из любой «черной» флешки «белую», к тому же в чипах уязвимостей дохера. Проще уже selinux вменяемо настроить.

флэшку можно перепрошить на идетификаторы из белого списка, или вовсе изготовить левое usb устройство на копеечном микроконтроллере. обосрамс

Такие требования руководства. Учтенные носители из «белого» списка вынести с территории предприятия невозможно. Серийный номер есть у каждой флешки и принтера. Даже устройства одной модели имеют разные номера. В Винде сторонними программами типа SecretNet и Zlock данный вопрос решался в 5 минут. Сейчас все компы переводят на Линукс и необходимо выполнить туже задачу.

Насчет возможности перепрошивки устройств под серийные номера «белого» списка мне известно. Сам так не раз делал. Но требования по настройке есть и от них никуда не деться. Если кто может дать реальный совет буду очень благодарен.

запускай свой софт под вайном

правда он скорее всего не булед работаь

Что такое selinux примерно понимаю, но никогда его не использовал. Как его можно настроить?

Само собой он работать не будет. Он же использует реестр винды.

токены + данные в своем облаке. вынести ничего нельзя, потерять нельзя или очень сложно.

хотя это же распилгосконтора, так что им положено падать лицом в грязь

Читайте также:  Как установить x64 bit windows

Astra Linux Special Edition — это еще шо за плесень подноготная?

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

  • реализации и совершенствования функциональных возможностей;
  • поддержки современного оборудования;
  • обеспечения соответствия актуальным требованиям безопасности информации;
  • повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

  1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
  2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
  3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Оцените статью
© 2024 Советы по настройке компьютера