Comments 13
А ещё этот ваш pdp-init-fs при ребуте забирает диск на минуты подряд и не даёт запускаться никаким сервисам, пока не отработает. Как следствие, он не годится для чего-либо, кроме файловых серверов (и те бэкапаются без меток, потому что parsecfs это кусок tmpfs и не сохраняется при перезагрузке).
Это не так. pdp-init-fs отрабатывает достаточно быстро.
Что касается бэкапирования, то ничего не затирается, метки не хранятся в parsecfs. Тут важно помнить о том, что метки безопасности файлов хранятся в расширенных атрибутах. Что-бы сохранить метки в бэкапе вы должны просто выполнять копирование с поддержкой расширенных атрибутов на файловые системы с поддержкой расширенных атрибутов. Или архивировать в форматы с поддержкой расширенных атрибутов (например, tar). Я не знаю, как у вас организовано бэкапирование. Для восстановления данных с метками нужно включить режим unsafe_xattr.
Короче, нормально с этим всем можно работать, и, в данном случае, нытье о том, какой отечественный линукс хреновый, только говорит о ваших кривых руках
Не могу себе представить, как можно работать в русифицированном линуксе. Мне кажется, это привносит больше проблем, чем удобств.
Русификация приносит проблемы? Мало того, что почти все дистрибутивы Линукса русифицированы, так это еще и наименьшее из неудобств, с которыми сталкиваются пользователи Астры.
Если обычная Астра без мандатного доступа - вполне обычная и достаточно приятная сборка, то мандатная модель, кстати описанная в статье, привносит изоляцию доступов между информацией разного уровня, что заставляет разработчиков идти на крайне нетривиальные решения, либо плодить экземпляры приложений - каждый на свой уровень разграничения.
Кому действительно необходимо разобраться с мандатным управлением доступом и мандатным контролем целостности в ОС Astra Linux, рекомендую профильную учебно-методическую и научную литературу:
https://astragroup.ru/info/reference-information/library/,
а также иные достоверные источники информации:
статья на Хабр - https://habr.com/ru/companies/astralinux/articles/670060/.
ГОСТ Р 59453.1-2021 "Защита информации. Формальная модель управления доступом. Часть 1. Общие положения" (https://rst.gov.ru:8443/file-service/file/load/1699609661497).
Ситуация очень красиво описывается "бородатой" присказкой: "Гладко было на бумаге, да забыли про овраги, а по ним -- ходить."
Слишком много наворочено и наверчено, начиная от базового посыла применяемой модели "что, как и зачем защищать", заканчивая конкретными "нюансами" реализации.
Но человек привыкает ко всему :) Шесть лет -- полёт нормальный.
Там есть такое что нужно 2 админа чтоб пользователя создать?
Расскажите, будет ли реализован доступ по сети к машинам под управлением ОС Windows из сессии с уровнем конфиденциальности выше 0? Получается к файловому серверу даже зацепиться нельзя.
Зацепиться можно, но только если он запущен на AstraLinux SE "Смоленск" и MAC, установленный на данной шаре, это разрешает.
Все честно - выносить за пределы контура защиты нельзя - на то она и защита, а сеть использовать вполне можно.
Более того, если системы управляются FreeIPA от Astra (или ALD Pro, которая на ней построена), то управлять MAC доменных пользователей можно прямо в интерфейсе FreeIPA и это будет действовать на все ПК, включенные в домен
Можно, просто для ненулевой классификационной метки действуют ограничения, в частности, на fuse. Подключать шары может только администратор, например, через /etc/fstub, pam_mount или autofs. Понятно, что писать на виндовые шары будет нельзя, у них всегда нулевая классификационная метка.
Windows можно заставить отдавать файлы через NFS, sshfs, WebDAV.
проверяйте все, что-нибудь заработает.
Спасибо за статью! У меня чисто практический вопрос: как в Astra Linux получить поток исходящих пакетов с метками мандатного доступа в IP заголовках?
Разбираемся с мандатным управлением доступом в Астра Линукс