Утилиты монтирования с метками PARSEC
Вспомогательные утилиты для работы с метками PARSEC в Astra Linux Special Edition.
Авторы: Лаборатория 50 team@lab50.net.
Совместимость:
- Astra Linux Special Edition 1.6;
- Astra Linux Special Edition 1.7.
Лицензия
Все материалы распространяются на условиях стандартной общественной лицензии GNU (GPL) версии 3.
Полный текст лицензии находится в файле LICENSE.
Проблема
Постоянные метки
Права на специальные каталоги, такие как /var, /dev и т.п. устанавливаются при загрузке операционной системы с помощью утилиты /usr/sbin/pdp-init-fs. Набор каталогов, на которые устанавливаются метки статичен, как и уровень меток.
Нельзя просто внести свой файл и каталог в список обрабатываемых при загрузке операционной системы.
Подключение файловых систем
Astra Linux Special Edition сбрасывает метку в нулевую при монтировании файловых систем, например через FUSE. Неважно, поддерживает монтируемая ФС мандатное разделение доступа или нет.
Таком образом, какую бы вы метку не ставили на точку монтирования, после монтирования эта метка будет сброшена и вы не сможете использовать МРД на вашей ФС. А иногда очень надо!
parsec-mount-helper
Утилита и сервис parsec-mount-helper помогает гибко устанавливать метки на нужные каталоги и файлы:
- при загрузке операционной системы (реально при старте демона);
- при подключении (монтировании) файловых систем.
Настройки демона находятся в каталоге /etc/parsec/fs.
Перманентные мандатные метки
Список перманентных файлов и каталогов хранится в файле /etc/parsec/fs/onboot. Каждая строка представляет собой путь в файловой системе и мандатные атрибуты:
/absolute/path ключ1=значение1 ключ2=значение2 ...Где ключN один из вариантов:
- level (мандатный уровень);
- category (мандатные категории);
- integrity (мандатный уровень целостности);
- flags (дополнительные параметры).
Если уровень и категория не указываются, то считывается метка родительского каталога (..) и используются соответствующие параметры, кроме дополнительных параметров (flags).
Пример файла /etc/parsec/fs/onboot:
/srv flags=ccnr integrity=0
/srv/level1 level=1
/srv/level2 level=2Утилитой будет установлена метка 3:0:0xffffffffffffffff:ccnr на /srv, 1:0:0xffffffffffffffff на /srv/level1 и 2:0:0xffffffffffffffff на /srv/level2.
Метки монтирования
Список точек монтирования хранится в файле /etc/parsec/fs/onmount. Формат файла аналогичен onboot.
Демон следит за подключением файловых систем. При монтировании или перемонтировании, в случае, если точка монтирования упомянута в файле /etc/parsec/fs/onmount, будет установлена соответствующая мандатная метка.
Мы так монтируем GlusterFS с МРД.
Пример файла /etc/parsec/fs/onmount:
/srv/mnt flags=ccnr integrity=0Запуск и остановка
Сервис запускается при загрузке операционной системы. После изменения файла /etc/parsec/fs/onboot его нужно перезапустить вручную с помощью команды
systemctl restart parsec-mount-helper