ограничение на копирование и SELinux

Akkerman wrote:

Копирование по сути то-же самое чтение, от сюда следует что если файл
доступен для чтения то и для копирования тем или иным способом он тоже
будет доступен.

На ум приходит только вариант пропатчить ядро, запретив запись
определенной последовательности байт в сокет и в файл, находящейся вне
определенной директории.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36294; Возраст листа: 2176; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883082

Amper пишет:

Есть безумная идея разрешить всем текстовым редакторам запись только в
подмонтированную директорию. А чтобы пользователи не отправили текст из
буфера обмена через браузер например - написать софтину, которая будет
постоянно очищать буфер обмена. Правда получается совсем нездоровая
хрень... Ладно, походе тут лучше искать другой способ решения.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36299; Возраст листа: 2176; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883165

On Thursday 09 July 2009 02:12:13 Akkerman wrote:

Что мешает написать 10 строк на перле? И спокойно скопировать файл куда
надо...

-----Original MessageFrom: Alexey <Sleeping.Daem***@m*****.ru>
To: "comp.soft.linux.discuss" <andru_s***@m*****.ru> (1629695)

Задачу подобным образом - не решить. Даже в варианте когда документы из сети
отображаются в виде графического изображения на аппаратном терминале совершенно
без любых портов - их можно сфотографировать и распознать. Даже просто отдельным
фотоаппаратом.
Можно лишь сделать процесс долгим/дорогим.
Но, из опыта - в документах можно поменять шрифт на специальный (заказной) с
нестандартной кодировкой и соответствием символов кодам. Хотя - опять же, написание
конвертора - дело часа.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36302; Возраст листа: 2176; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883210

Alexey пишет:

Можно просто не разрешить перлу читать файлы из этой директории. Но
похоже Андрей Радионов прав, решить такими способами задачу все равно не
получится.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36304; Возраст листа: 2176; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883254

On Thursday 09 July 2009 11:25:35 Akkerman wrote:

Можно. А так же C, C++, python, scp, rsync, и тд. и тп.

Alexey пишет:

Нет, все программы, по дефолту не смогут читать ничего из этой
директории. А нужным отдельным программам можно дать на это права.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36306; Возраст листа: 2176; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883463

А если запретить пользователю писать куда-либо кроме собственного каталога?

09.07.09, 10:40, "Alexey" <Sleeping.Daem***@m*****.ru>:

Ганин Сергей пишет:

Остается проблема с электронной почтой и вебом... А интернет
пользователям нужен.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36308; Возраст листа: 2176; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883484

Имеется в виду проблема copy/paste ?

09.07.09, 20:35, "Akkerman" <akkerman.linuxo***@g*****.com>:

Ганин Сергей пишет:

Да, пользователи например могут воспользоваться веб мордой почты и
отправить документ по e-mail и т.п. Правда есть еще вариант с постоянной
очисткой буфера обмена, но я еще не придумал как это сделать. :)

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36311; Возраст листа: 2177; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883570

В серьезных организациях проблема решается проще:
Берется выделенный терминальный сервер, на котором и хранятся все рабочие документы,
откуда ведется рабочая переписка итд. Плюсы: мониторится всего одна машина, копипасты
во вне нет, флешки, распечатки итд также под контролем. Минусы: если человек
часть работы проводит в интернете с локальной машины, а затем ему надо перенести
полученное в защищенную сеть, то ему надо маленько поднапрячься...

В сумме действует правило, что секьюрити обратнопропорционально юзабилити...

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36346; Возраст листа: 2182; Участников: 1380
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/885435

Akkerman wrote:

Копирование по сути то-же самое чтение, от сюда следует что если файл
доступен для чтения то и для копирования тем или иным способом он тоже
будет доступен.

На ум приходит только вариант пропатчить ядро, запретив запись
определенной последовательности байт в сокет и в файл, находящейся вне
определенной директории.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36295; Возраст листа: 2176; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883093

Akkerman пишет:

Задача решаема лишь в отношении неопытных пользователей. Опытный же -
обойдёт ограничение в два счёта.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36309; Возраст листа: 2176; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883553

Вполне решаема и такая задача. Придется потратить прилично времени и сил, но
если нужно...

09.07.09, 19:48, "Vyacheslav Gorshkov" <odo***@y*****.ru>:

-----Original MessageFrom: Ганин Сергей <SGa***@y*****.ru>

Подскажите хоть какой-нибудь способ, защищающий от пользователя с фотоаппаратом?
Разве что охранник у каждого рабочего места...

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36317; Возраст листа: 2177; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883695

Решения для защиты от фотографирования экрана монитора существуют достаточно
давно. Довольно дорого, но если информация того стоит...

10.07.09, 09:04, "Андрей Радионов" <andru_s***@m*****.ru>:

но

On Friday 10 July 2009 11:40:54 Ганин Сергей wrote:

Проще отключить такой компьютер от внешней сети, запретить запись на внешние
носители и почту дать только внутреннюю(можно вообще отключить). А
фотоаппарат запретить вносить, так жи сотовые телефоны с фотокамерой.

Есть спец. мониторы, которые не дают с них снимать ни видео ни фото....
Но дорого, вам не понравиться....
--
Никулин Евгений Евгеньевич.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36322; Возраст листа: 2177; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883752

А ссылочкой не поделитесь?

10.07.09, 11:54, "Никулин Евгений Евгеньевич" <nikuly***@r*****.ru>:

Сам марки я незнаю, и ссылки нет, а знаю я это, от того, что виста не
воспроизводит HD
и жутко матюкается, если у монитора нет поддержки этого .....
Первое, что приходит в голову сайт Мелкософтовых.....
С другой стороны можно снять видео с монитора программой.
--
Никулин Евгений Евгеньевич.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36326; Возраст листа: 2177; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883815

Причуды Мелкософта это совсем другое.
На экране этих мониторов какой-то растр, котрый не мешает видеть изображение,
но на фото пусто.
Чтобы снять изображение программно, нужно иметь эту программу. В системах, по
настоящему защищенных, нет возможности запустить произвольную программу. А тем
более что-то установить.

10.07.09, 14:31, "Никулин Евгений Евгеньевич" <nikuly***@r*****.ru>:

-----Original MessageFrom: Никулин Евгений Евгеньевич <nikuly***@r*****.ru>

Поделка мелкомягких не хочет воспроизводить HD на железе, которое не поддерживает
шифрование данных, которые ему передаются. Это происки крпирастов в общем, подробнее
о "защите контента" - http://blog.not-a-kernel-guy.com/2007/01/03/126 для информации.
Сегодня попробовал поснимать изображение с монитора - вполне снимает...
В распознавалку не загонял, но уверен - распознает. Желающий может проверить,
но эффективное разрешение снимка должно быть одинкаковое мониторному или выше
в идеале. Хотя - сейчас и в телефонах такие камеры...

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36328; Возраст листа: 2177; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883861

Это уже будет режимное предприятие. И то, при сегодняшней технике, гарантировать
отсутствие спецтехники у пользователя сложно. Но в данном случае, как я понял,
вопрос ставится по другому. Вводить режим никто не хочет, а отвечать за сохранность
информации должен админ. Широко распространенный случай сегодня. Обсуждаемые
меры помогут защититься от непрофессионалов. От профи, извините, нужны совершенно
другие методы. Но и они существуют.

10.07.09, 11:00, "Alexey" <Sleeping.Daem***@m*****.ru>:

-

Ганин Сергей пишет:

На самом деле все не так страшно :) Там просто doc файлы с какими-то
данными, которые не так уж и секретны, но не хотелось бы, чтобы они
утекли из конторы. В общем игра свеч, судя по всему, не стоит.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36338; Возраст листа: 2178; Участников: 1381
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/884210

Я слышал, что есть решение не позволяющие в веб морде использовать
copy/paste.
В какой-то рассылке было, не помню, то ли скрипты, то ли программа
--
Никулин Евгений Евгеньевич.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36318; Возраст листа: 2177; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883697

On Wed, 08 Jul 2009 16:47:08 +0300
Akkerman wrote:

Вставлю свои пять копеек.
Имхо играет роль то, для чего пользователи эти файлы принимают. Если
для редактирования/вставки - тут мало чего сделаешь. Ежели только для
ознакомления - довольно просто подсовывать им картинку, защищённую от
копирования (скажем, наложить сверху другую - прозрачную).

это не в тему (имхо).

Значит, это нужно четко регламентировать, вести логи и отрубать
избыточные порты.

Вопросы с фотоаппаратом (в том числе и в телефоне), как и многие
другие подобные, на самом деле вполне решаются грамотным составлением
обязательств работников и расстановкой камер внутреннего наблюдения.

Хотя, разумеется, вопрос этот скорее организационный, нежели
технический, и _лучше_ не доводить до паранойи и прямой конфронтации с
работниками. Так, скажем, обыск на наличие крамольных флешек может
очень серьёзно подпортить внутренние отношения, в то время как эта
самая флешка без труда прячется... ну почти куда угодно).

Timohty Silent

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36323; Возраст листа: 2177; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883775

Насколько мне известно, от техсредств можно защититься, хоть и ценой немалых
затрат.
Защититься от человека, который запомнит текст, поймет чертеж ( а тому, кто не
поймет его и давать незачем) и т.д
защититься невозможно.

10.07.09, 11:12, "Timothy Silent" <taras***@m*****.ru>:

В Срд, 08/07/2009 в 16:47 +0300, Akkerman пишет:

насколько я понял из обсуждения осталась только проблема при копировании
в веб формы,или пересылки по почте файлов.
Для этого ,как мне думается можно разделить среду работы с документом и
среду пользования сетью. И запретить удалять пользователю файлы кем бы
они не были созданы.Юзб порты как правило отрубаются.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36339; Возраст листа: 2179; Участников: 1381
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/884428

votum пишет:

Я вот думал, может организовать просто очистку буфера обмена каждые n
миллисекунд? Никто не слышал, про готовые решения такой задачи?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36340; Возраст листа: 2180; Участников: 1381
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/884456

Слежение за буфером "дешевле".

13.07.09, 01:56, "Akkerman" <akkerman.linuxo***@g*****.com>: