- Белый список флешек и принтеров
- Операционные системы Astra Linux
- Операционные системы Astra Linux
- 4.2.1 Ограничение доступа к USB накопителям
- Первый этап – запрет автомонтирования
- Вариант с параметром UDISKS_IGNORE
- Вариант с изменением параметра authorized
- Примеры выбора устройств по определенным свойствам
- Вариант составления белого списка по первому варианту
- Вариант составления списка по второму варианту
- Astra Linux Domain и USB-накопители с NTFS
Белый список флешек и принтеров
На работе использую Astra Linux Special Edition. Необходимо настроить белый список флешек и принтеров, чтобы система не видела «левые» устройства. Кто знает как это можно сделать. Система базируется на Debian.
Вижу три проблемы:
1) Флешки часто не имеют серийного номера. То есть все флешки одной модели одного производителя будут выглядеть абсолютно идентично с точки зрения ОС.
2) Ну запретил ты левые флешки. Что мешает официальную флешку вставить в левый компьютер и залить/слить с неё данные?
3) Насчёт левого принтера вообще не понятно. Если у тебя люди могут пронести на работу принтер, то и фотоаппарат тем более. А между тем, если руки не из одного места растут и фотоаппарат нормальный (сейчас уже и телефоны подоспели и снимают тоже неплохо), то фотография экрана будет мало отличаться от отсканированной бумаги в плане пригодности для OCR и уж тем более читабельности.
Тут только полный запрет флешек (принтеры запрещать смысла нет из-за пункта 3), либо физически отключить USB-порты. И/или досмотр сотрудников с металлоискателями, чтобы они не могли пронести на работу левые флешки и принтеры.
Но при этом остальные usb устройства ты хочешь, чтобы работали?
И зачем их не видеть? Можно не давать не руту их монтировать.
Это бредово, ничто не мешает сделать из любой «черной» флешки «белую», к тому же в чипах уязвимостей дохера. Проще уже selinux вменяемо настроить.
флэшку можно перепрошить на идетификаторы из белого списка, или вовсе изготовить левое usb устройство на копеечном микроконтроллере. обосрамс
Такие требования руководства. Учтенные носители из «белого» списка вынести с территории предприятия невозможно. Серийный номер есть у каждой флешки и принтера. Даже устройства одной модели имеют разные номера. В Винде сторонними программами типа SecretNet и Zlock данный вопрос решался в 5 минут. Сейчас все компы переводят на Линукс и необходимо выполнить туже задачу.
Насчет возможности перепрошивки устройств под серийные номера «белого» списка мне известно. Сам так не раз делал. Но требования по настройке есть и от них никуда не деться. Если кто может дать реальный совет буду очень благодарен.
запускай свой софт под вайном
правда он скорее всего не булед работаь
Что такое selinux примерно понимаю, но никогда его не использовал. Как его можно настроить?
Само собой он работать не будет. Он же использует реестр винды.
токены + данные в своем облаке. вынести ничего нельзя, потерять нельзя или очень сложно.
хотя это же распилгосконтора, так что им положено падать лицом в грязь
Astra Linux Special Edition — это еще шо за плесень подноготная?
Источник
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
- реализации и совершенствования функциональных возможностей;
- поддержки современного оборудования;
- обеспечения соответствия актуальным требованиям безопасности информации;
- повышения удобства использования, управления компонентами и другие.
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
- инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
- отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
- обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Источник
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
- реализации и совершенствования функциональных возможностей;
- поддержки современного оборудования;
- обеспечения соответствия актуальным требованиям безопасности информации;
- повышения удобства использования, управления компонентами и другие.
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
- инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
- отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
- обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Источник
4.2.1 Ограничение доступа к USB накопителям
Алгоритм создания белого списка USB-флеш-накопителей состоит из 2 этапов:
- Запрет монтирования всех USB-флеш-накопителей
- Разрешение монтирования некоторых устройств
- Разрешение монтирования некоторых устройств
- Запрет монтирования всех иных USB-флеш-накопителей
Первый этап – запрет автомонтирования
Вариант с параметром UDISKS_IGNORE
Для отключения автомонтирования USB-флеш-накопителей нужно будет создать правило для udev.
Создаем файл /etc/udev/rules.d/99-usb.rules
со следующим содержанием:
Флаг ENV
Для того, чтобы новое правило вступило в силу, нужно ввести команду обновления правил udev
После этого, можете проверить и подключить USB-флеш-накопитель, как результат, он не откроется.
Вариант с изменением параметра authorized
Для отключения автомонтирования USB-флеш-накопителей нужно будет создать правило для udev и исполняемый скрипт запрета монтирования USB-флеш-накопителей.
Измените права на скрипт:
Параметр authorized отвечает за монтирование USB-флеш-накопителя в момент подключения к ПК.
Создаем файл /etc/udev/rules.d/99-usb.rules
со следующим содержанием:
Для того, чтобы новое правило вступило в силу, нужно ввести команду обновления правил udev
После этого, можете проверить и подключить USB-флеш-накопитель, как результат, он не откроется.
Примеры выбора устройств по определенным свойствам
Для создания белого списка USB-флеш-накопителей, нужно знать атрибуты накопителя.
1) Определяем нашу флешку:
2) Смотрим атрибуты:
Вариант составления белого списка по первому варианту
Выборка разрешения доступа по трем параметрам:
— серийному номеру устройства
— модели
— максимальному потребления тока
Для их определения выполним команды по очереди:
в выводе мы увидим серийный номер, модель и значение максимального потребления тока:
Запишем эти значения в файл правил в качестве разрешающих
Конечный вариант файла /etc/udev/rules.d/99-usb.rules:
Для того чтобы новое правило вступило в силу, нужно ввести команду обновления правил udev
Полный список атрибутов, по которым можно осуществить выборку, находится в выводе команды:
Вариант составления списка по второму варианту
Выборка по серийному номеру устройства
Выборка по названию модели. Точное название смотрите в выводе команды
Для удобства, когда полный список параметров устройства известен, можно производить отбор по конкретному параметру:
Конечный вариант файла /etc/udev/rules.d/99-usb.rules:
Логика данного правила отлична от первого варианта. В 1 варианте происходило блокирование сразу всех usb флеш-накопителей и лишь потом разграничение на белый список шло. В данном варианте сначала происходит разграничение на белый список. Только потом добавление устройства в черный список. Такое действие связано с тем, что параметр authorized появляется в момент монтирования и если его изменить в 0, то далее он становится недоступен. Соответственно, сначала требуется проверить подходит флешка под белый список и если да, то разрешить ей монтирование.
Для того, чтобы новое правило вступило в силу, нужно ввести команду обновления правил udev
Полный список атрибутов, по которым можно осуществить выборку, находится в выводе команды:
Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.
Источник
Astra Linux Domain и USB-накопители с NTFS
Админю Astra Linux Domain (Astra Linux 1.4 SE), завел компьютеры в домен. Пользователей создаю с дефолтными настройками, но делаю дополнительно членами групп fuse, floppy и disk. Все флешки зарегистрированы в домене по серийному номеру, но при подключении накопителя и попытке смонтировать от пользователя, не имеющего прав root, появляется сообщение об ошибке монтирования и недостатке полномочий. При этом на той же машине при входе под локальным пользователем накопитель монтируется без проблем (используется ntfs-3g).
Как дать пользователям домена возможность монтировать USB-накопители, отформатированные в NTFS, без предоставления прав суперпользователя? Вариант с FAT32 не интересует, там всё работает, однако, часто портятся имена файлов. Нужно решение именно для NTFS.
Добавь пользователя в группу disk.
регистрацию носителей в нулевом контексте делали?
А эти пользователи не смогут затем сделать fdisk любому диску? Или dd if=/dev/zero of=/dev/sda
The disk device nodes are group accessible to disk so that programs that need access to them will set their group ID to be disk. This group has write access to all the raw disk devices (/dev/hd* and /dev/sd*), so assigning users to group disk is both dangerous and a security risk.
Права доступа на файл самого диска в dev выставляет root. Я бы на твоём месте просто проверил на тестовой машине.
Как нибудь в другой раз
Господа, проблема решена благодаря специалисту из РУСБИТЕХа.
Решение: при регистрации Flash-накопителей с NTFS на уровне Astra Linux Domain в поле «Режим доступа» нужно вместо 0 указать 770. Кроме того, каждому пользователю нужно явно задать нижний мандатный уровень как нулевой. Да, в утилите fly-admin-smc он и так показывает, что у пользователя нижняя метка нулевая, но всё равно эту операцию нужно проделать вручную.
Примечание: права на доступ к устройствам ОС получает в момент авторизации пользователя. После изменения настроек в домене нужно перелогиниться, тогда все заработает.
Примечание 2: Лучше вообще не использовать носители с не-EXT’овыми ФС.
«. каждому пользователю нужно явно задать нижний мандатный уровень как нулевой. Да, в утилите fly-admin-smc он и так показывает, что у пользователя нижняя метка нулевая, но всё равно эту операцию нужно проделать вручную. «
Этот пункт планируют пофиксить или останется на долгие годы?
Источник
