Search
Write a publication
Pull to refresh

Comments 13

А ещё этот ваш pdp-init-fs при ребуте забирает диск на минуты подряд и не даёт запускаться никаким сервисам, пока не отработает. Как следствие, он не годится для чего-либо, кроме файловых серверов (и те бэкапаются без меток, потому что parsecfs это кусок tmpfs и не сохраняется при перезагрузке).

Это не так. pdp-init-fs отрабатывает достаточно быстро.

Что касается бэкапирования, то ничего не затирается, метки не хранятся в parsecfs. Тут важно помнить о том, что метки безопасности файлов хранятся в расширенных атрибутах. Что-бы сохранить метки в бэкапе вы должны просто выполнять копирование с поддержкой расширенных атрибутов на файловые системы с поддержкой расширенных атрибутов. Или архивировать в форматы с поддержкой расширенных атрибутов (например, tar). Я не знаю, как у вас организовано бэкапирование. Для восстановления данных с метками нужно включить режим unsafe_xattr.

Короче, нормально с этим всем можно работать, и, в данном случае, нытье о том, какой отечественный линукс хреновый, только говорит о ваших кривых руках

Ну или о том, что мы о разных астрах - вы о последней (1.8 или 1.7.5) а я об 1.6, с которой такие грабли в наличии. А бэкапы выполняются veeam'ом с гипервизора.

Не могу себе представить, как можно работать в русифицированном линуксе. Мне кажется, это привносит больше проблем, чем удобств.

Русификация приносит проблемы? Мало того, что почти все дистрибутивы Линукса русифицированы, так это еще и наименьшее из неудобств, с которыми сталкиваются пользователи Астры.

Если обычная Астра без мандатного доступа - вполне обычная и достаточно приятная сборка, то мандатная модель, кстати описанная в статье, привносит изоляцию доступов между информацией разного уровня, что заставляет разработчиков идти на крайне нетривиальные решения, либо плодить экземпляры приложений - каждый на свой уровень разграничения.

Кому действительно необходимо разобраться с мандатным управлением доступом и мандатным контролем целостности в ОС Astra Linux, рекомендую профильную учебно-методическую и научную литературу:

https://astragroup.ru/info/reference-information/library/,

а также иные достоверные источники информации:

Ситуация очень красиво описывается "бородатой" присказкой: "Гладко было на бумаге, да забыли про овраги, а по ним -- ходить."
Слишком много наворочено и наверчено, начиная от базового посыла применяемой модели "что, как и зачем защищать", заканчивая конкретными "нюансами" реализации.
Но человек привыкает ко всему :) Шесть лет -- полёт нормальный.

Там есть такое что нужно 2 админа чтоб пользователя создать?

Расскажите, будет ли реализован доступ по сети к машинам под управлением ОС Windows из сессии с уровнем конфиденциальности выше 0? Получается к файловому серверу даже зацепиться нельзя.

Зацепиться можно, но только если он запущен на AstraLinux SE "Смоленск" и MAC, установленный на данной шаре, это разрешает.

Все честно - выносить за пределы контура защиты нельзя - на то она и защита, а сеть использовать вполне можно.

Более того, если системы управляются FreeIPA от Astra (или ALD Pro, которая на ней построена), то управлять MAC доменных пользователей можно прямо в интерфейсе FreeIPA и это будет действовать на все ПК, включенные в домен

Можно, просто для ненулевой классификационной метки действуют ограничения, в частности, на fuse. Подключать шары может только администратор, например, через /etc/fstub, pam_mount или autofs. Понятно, что писать на виндовые шары будет нельзя, у них всегда нулевая классификационная метка.

Windows можно заставить отдавать файлы через NFS, sshfs, WebDAV.
проверяйте все, что-нибудь заработает.

Спасибо за статью! У меня чисто практический вопрос: как в Astra Linux получить поток исходящих пакетов с метками мандатного доступа в IP заголовках?

Sign up to leave a comment.