На всякий случай включаем контроль целостности. Он должен быть включен, но вдруг.
astra-mic-control enable
Категории конф-ти и уровни кофиденциальности создаем через ГУИ. Пуск -> Панель управления -> Безопасность -> Политика безопасности -> Мандатные атрибуты
В категории конфиденциальности добавляем наши груши\яблоки. Лучше просто переименовать. И удалить лишнюю для красоты. На всякий случай оставлю команду:
usercat 0000...00 -r Яблоки
# usercat 0000...01 -r Груши
Лишнюю удалила:
usercat 000...02 -d
Посмотреть, что все категории конф-ти заданы корректно:
usercat
Там же в соседней вкладке создаем уровни конф-ти. Обращаем внимание на порядок. 0 – не секретно, 1 – ДСП, 2 – секретно.
Так-же код на всякий случай:
userlev Не_секретно --add 0
userlev ДСП --add 1
userlev Секретно --add 2
Посмотреть все уровни конфиденциальности
userlev
Создаем папки в корне в соответствии с заданием. Лучше в ГУИ. Чтобы создать папку с пробелом через cli необходимо экранировать пробел: Груши\ и\ яблоки.
mkdir /Сорт_яблок
mkdir /Сорт\ груш
mkdir /Яблонево-грушевый\ сад
Устанавливаем мандатные метки на директории в соответствии с заданием, на папки обязательно ставим ccnr, на файлы не надо. 1x:2x:3x:4x, где 1x – уровень доступа одной цифрой, 2х – всегда 0 или пропущен как в примерах ниже. 3х – название метки конф-ти без опечаток, 4х – флаг ccnr.
0 – не секретно, 1 – ДСП, 2 – секретно.
pdpl-file ::Яблоки:ccnr /Сорт_яблок
pdpl-file ::Груши:ccnr /Сорт\ груш
pdpl-file 1:0:Яблоки,Шруши:ccnr /Яблонево-грушевый\ сад
После создания папок обязательно выполнить chmod 777 на все три папки.
Посмотреть что получилось в конкретной папке можно через свойства папки в гуи.
Создаю три файла по заданию, выдаю на них полные права, ставлю необходимые метки. Через nano я бы написала еще проверочные фразы, чтобы было проще проверять. Но это не точно). Ниже все на примере одного файла. Команды будут аналогичны папкам, только без ccnr.
nano /Сорт_яблок/Яблоки_Голден
chmod 777 /Сорт_яблок/Яблоки_Голден
pdpl-file 2:0:Яблоки /Сорт_яблок/Яблоки_Голден
Проверить, что не слетели права 777 на папки и каталоги! Если слетели – снова чмодим.
Пользователь через GUI:
Пуск -> Панель управления -> Безопасность -> Политика безопасности -> Пользователи -> +, имя secure_user
Потом дополнительно еще раз задать пароль (если не был задан)
После создания можно выставить привилегии в соответствии с заданием в окне редактирования пользователя.
ls -l – проверка чтения содержимого папки
touch file – проверка возможности создания файла
nano file – проверить возможность редактирования. Если не дает сохранить изменения – значит нельзя.
cat file – проверка возможности чтения файлов.