Как создается ОС, сертифицированная по I классу защиты
Рассказ из первых рук о том, как создается, а потом готовится к сертификации для работы с данными под грифом «особой важности» защищенная ОС Astra Linux.
Что представляет собой Astra Linux?
Astra — отечественный дистрибутив Linux, сочетающий в себе компоненты от сообщества, распространяющиеся по открытым лицензиями типа GPL, MPL, Xiph License и др., и программное обеспечение собственной разработки одноименной группы компаний. Пользовательский функционал закрыт по большей части компонентами из состава открытого программного обеспечения — стандартные механизмы Linux используются для выполнения основных задач, например, запуска приложений, виртуализации, поддержки аппаратного обеспечения или того же Steam. Компоненты собственной разработки в основном решают две ключевые задачи: обеспечения безопасности, а также взаимодействие графического интерфейса операционной системы и человека.
С точки зрения лицензирования дистрибутив является сложным объектом (понятие из ч. 4 ГК РФ), т.е. составным произведением, поэтому распространение его в целом имеет некоторые ограничения. Хотя все компоненты открытого программного обеспечения, входящие в продукт, сохраняют свой свободный статус.
Версии Astra Linux существуют под самые разнообразные платформы. При этом наименование платформы «спрятано» в первую цифру номера версии:
Кстати, версия под каждую платформу имеет свое кодовое имя в честь одного из городов-героев России. Здесь гайдлайнов нет, опираемся на чувство прекрасного.
Среди разрабатываемых версий Astra есть как обычные дистрибутивы, так и защищенные (Special Edition), ориентированные на работу с конфиденциальными данными, сертифицированные по требованиям безопасности информации всех систем сертификации России. С точки зрения пользовательского набора функций версии почти не различаются. Однако система защиты в них выстроена по-разному. Некоторые компоненты специальной версии, требующиеся для работы с конфиденциальными данными, хотя они и не обязательно избыточны для обычных пользователей и бизнеса, в обычную версию не включены,, т.к. нормативная и правовая база Российской Федерации требует их обязательной сертификации.
Базовая версия — что и для кого
Обычная версия Astra Linux ориентирована на корпоративных заказчиков. Для домашних пользователей при использовании в некоммерческих целях лицензия бесплатна — но в развитии мы стремимся удовлетворить потребности именно корпоративного сегмента. В конце концов, мы тоже коммерческая компания, а сегмент домашних пользователей — очень непростой. Для них есть различные дистрибутивы Linux, в том числе бесплатные.
В обычной версии Astra Linux используется дискреционная модель управления доступом — пользователи сами определяют, кому они могут предоставить права доступа к своим файлам. Сторонние программы (браузеры, офисные пакеты и т.п.) запускаются точно так же, как и в других дистрибутивах Linux.
Как и любое другое ПО, обычную версию Astra Linux можно скачать или купить (для организаций) в электронном виде без всякого физического носителя. Кстати, эта версия также размещена на ресурсе международного сообщества Linux, где есть хороший внешний канал.
Следуя общемировым тенденциям, версия активно развивается в направлении поддержки нового оборудования и технологий.
Специальная версия
Помимо обычных версий, у Astra Linux есть так называемые специальные версии — Special Edition, которые разрабатываются с расчетом на сертификацию ФСТЭК России и других систем сертификации. С точки зрения пользовательского функционала специальная версия практически ничем не отличается от обычной. Однако в ней реализованы дополнительные компоненты для повышения безопасности (как раз самописные), в частности:
При этом они включаются и отключаются независимо друг от друга (администратором системы). Для некоторых компонент существуют разные режимы работы. Например, для средства проверки ЭЦП можно включить режим обучения, когда файлы с неверной ЭЦП (или у которых она отсутствует) все-таки запускаются, но на уровне системы выдается предупреждение. Все эти механизмы настраиваются администратором под политику безопасности, определенную руководством. При этом почти вся настройка уже осуществляется как в графическом режиме. Безусловно, администраторам доступен весь набор инструментов консольном исполнении для автоматизации задач по настройке и конфигурированию подсистем безопасности.
Текущая версия Astra Linux Special Edition — Смоленск 1.6.
Специальная версия развивается, как и обычная, однако нововведения в нее попадают только после тестирования и обкатки в обычном релизе.
Как мы готовили специальную версию к сертификации
Каждый безопасник и системный администратор по-своему расставляют приоритеты в вопросах информационной безопасности. Попроси их создать проект защиты некой IT-инфраструктуры, и каждый предложит свое решение, поскольку будет видеть какие-то свои угрозы и акценты. Если речь идет о коммерческих компаниях, решение о том, к чьему мнению прислушиваться, принимает бизнес — на свой страх и риск.
На государственном уровне любой риск необходимо минимизировать, поэтому нужны общие механизмы оценки эффективности защиты, а точнее — подтверждения того, что информационные системы могут устоять перед определенным набором угроз. Для этого в системах должны быть реализованы определенные функции безопасности (например, проверка пароля, функции разграничения доступа и т.п.), а с другой стороны процесс разработки и сам код этой системы должен соответствовать определенным требованиям доверия. Задача системы сертификации и сертифицирующего органа — проверить конкретный продукт на соответствие всем как функциональным условиям, так и требованиям доверия.
Степени секретности
Применительно к системам обработки данных ограниченного доступа важную роль играет характер этих данных — это информация для свободного распространения, персональные данные, ценные медицинские сведения, государственная тайна, в том числе сведения особой важности. Логично, что для каждой степени секретности предусмотрен свой список функциональных требований и критериев оценки «доверенности» кода информационных систем — свой класс защиты, включающий уровень доверия. Список требований для каждого последующего уровня включает в себя список для предыдущего уровня, а также некоторые дополнительные условия. Подобная практика существует во многих странах. При этом каждая настаивает на каких-то своих критериях и даже по-своему разделяет данные по уровням. В России приняты шесть классов, при этом шестой — самый низкий, а первый — наивысший.
Низшие классы — с шестого по четвертый — это требования для защиты персональных данных, а также коммерческой и служебной тайны. На российском рынке продукты, соответствующие этим классам, уже не редкость. Мы же поговорим о сертификации по высшим классам — с третьего по первый — с грифами «секретно», «совершенно секретно» и «особой важности» (живые примеры — чертежи нового истребителя Сухого или общие данные о состоянии критической инфраструктуры в стране, не так давно приравненные к государственной тайне). И здесь самое сложное — даже не функциональные требования (в конце концов, разработать что-то — не проблема), а подтверждения доверия к ОС. Для этого необходима корректная математическая модель управления доступом к данным и обоснование соответствия реального программного продукта этой математической модели. Т.е. процедура разработки системы, ориентированной на работу с секретными данными, многократно усложняется.
Вот пример реакции системы на включение политики MLS (multi level security) в SELinux в дистрибутиве Fedora:
Как мы видим, ни графическая оболочка, ни консольные приложения не умеют по умолчанию корректно обрабатывать ситуацию, когда в системе включена политика работы с несколькими уровнями секретности. Соответственно, всё это необходимо или перерабатывать или делать своё, что и сделано в Astra Linux.
К слову, сертификация не ограничивает свободу системных администраторов по части усиления защиты. Прохождение сертификации отражает удовлетворение минимальных требований, однако каждая компания, государственный орган и даже каждый отдельный безопасник могут усовершенствовать систему так, как считают нужным. Сертификация лишь подтверждает «необходимый минимум» наличия функционала по защите информации и корректность его работы, а также обязательство вендора по сопровождению этого функционала в течение всего жизненного цикла, например:
Подготовка к сертификации
Процедура сертификации на практике довольно длительная. Однако упомянутый релиз сертифицировался в течение всего лишь полугода, что достаточно быстро, поскольку это уже шестая по счету версия, которая проходила проверки. Предыдущие пять релизов (а это порядка десяти лет разработки) Astra Linux шла к тому, чтобы получить сертификаты вплоть до второго класса, и без этих наработок не получилось бы отладить все механизмы защиты, адаптировать код для верификации, пройти нужные проверки и «замахнуться» на первый класс.
При этом необходимо отметить, что в настоящее время, сертификация это не заморозка продукта, а обязательное оперативное устранение выявленных уязвимостей в сертифицированном решении.
Самое главное, что произошло за эти полгода — Astra Linux Special Edition прошла многоуровневую процедуру проверки и анализа программного кода. При этом разные части продукта проверялись по-разному.
Наиболее серьезной проверке подвергалась система безопасности. В ней, кроме стандартной дискреционной используется мандатно-ролевая модель управления доступом и контроля целостности, поддерживающая существующие в России степени секретности информации — «секретно», «совершенно секретно» и т.п. Согласно этой модели, каждой учетной записи пользователя, процессу, файлу или каталогу присваивается метка конфиденциальности, по которой и определяются права доступа. Например, файлы, созданные отделом производства танков уровня «совершенно секретно», недоступны другим отделам с уровнем доступа «секретно» или ниже. Кроме того, всем учетным записям пользователей, процессам, файлам или каталогам присваивается метка целостности, в результате, например, пользовательские низкоцелостные процессы не смогут модифицировать системные высокоцелостные файлы. Даже если в результате эксплуатации уязвимости пользовательский процесс получит системные привилегии, он не сможет повлиять на работоспособность системы.
На скриншоте пример того, как низкоцелостный пользователь получил права суперпользователя, но при этом не может скопировать данные.
Для обоснования безопасности такого предоставления доступа строилась математическая модель, которая проверялась на логическую целостность, замкнутость и корректность.
Далее исходные коды системы безопасности проверялись на соответствие заявленной математической модели. И это довольно сложная и трудоемкая процедура, которая выполнялась совместно с сотрудниками Института системного программирования РАН.
Стоит отметить, что сейчас в России мы можем решать подобные задачи о проверке кода на соответствие математической модели для компонент объемом общей сложностью до 10 тыс. строк. И в эти лимиты система безопасности Astra Linux вполне укладывается. Но ядро Linux — это десятки миллионов строк кода, и инструментов по строгой математической верификации проекта такого объема на данный момент нет не только в компании, но и в стране в целом. Так что для них используются иные механизмы контроля — с помощью инструментов статического и динамического анализа кода от того же Института системного программирования РАН или собственной разработки. Задача данного этапа — проверить код на ошибки, закладки или бекдоры. Прохождение этой проверки обеспечивает высокий уровень доверия к коду и, соответственно, возможность его сертификации на первый класс защиты информации.
Сертификация определяет не только, как выглядит код Astra Linux, но и каким образом продукт (точнее его специальная версия) поставляется пользователю — она распространяется только на дисках. Это связано как с ограничениями нормативных документов: чтобы подтвердить, что программный код не был изменен, так и реальными задачами по долговременному хранению оригинального носителя. Технически это может быть и флешка, но они имеют свойство ломаться, тогда как хранение на оптическом диске более предсказуемо (да и есть гарантия от перезаписи).
Что с конкурентами?
На данный момент сертификацией на такой высокий класс защиты не может похвастаться больше никто.
Но даже если предположить, что завтра появится конкурент с версией ОС, которая гипотетически могла бы соответствовать условиям сертификации, в ближайшее время он не сможет потеснить Astra Linux. Барьером выступит та самая процедура сертификации, а точнее ее часть, касающаяся верификации программного кода. Ресурсы и научные знания для этой процедуры, по нашим оценкам, в России есть только у Института системного программирования РАН и Astra Linux.
Если оценивать научно-технический потенциал компаний, то теоретически сертификацию в России могли бы пройти продукты Microsoft. Компания обладает нужными ресурсами и компетенциями, они даже рассказывают о важности задачи верификации кода на YouTube. Однако открыть исходники они вряд ли решатся. И тем более не будут дорабатывать свою модель безопасности под российские требования (напомню, в США иной список требований к государственной сертификации).
Возможно, тем же путем мог бы пойти Google и Лаборатория Касперского с их проектом защищенной Kaspersky OS.Однако у нас информации на их счет нет. Выйти на сертификацию по второму классу пыталась компания «Базальт». Но нам пока не ясно, есть ли у них технический и научный потенциал.
Кто использует Astra?
На самом деле клиентов у Astra Linux множество, ведь внедрялась система еще до сертификации. Да и потенциальный рынок достаточно велик — это органы военного и государственного управления, работающие с любой информацией ограниченного доступа. В отсутствии сертифицированной ОС эти организации создавали собственные информационные системы — компоновали существующие решения, дорабатывали их в рамках отдельных проектов, чтобы пройти аттестацию для работы с данными, требующими защиты. Однако такие решения дороги и далеко не всегда оптимальны. Предположим, нет системы, которая бы позволяла в рамках одного рабочего места разграничить доступ к трем уровням секретных данных — значит можно использовать три разных компьютера, а ключи от них выдавать под роспись в журнале (т.е. проблему решить можно административным способом, хоть и не самым простым и удобным). Это не соответствует современному уровню развития IT. Да и разработка таких систем требует значительного времени, т.к. тут нужна и индивидуальная модель угроз (актуальных именно для этой системы), и дополнительные компоненты защиты, и сама процедура аттестации.
Серийный продукт — в данном случае Astra Linux Special Edition — дешевле, логичнее, современнее, хоть и требует от администраторов прохождения этапа обучения. Иначе будет сложно настраивать систему безопасности, которой нет аналогов в ПО для широкого круга пользователей.
Astra Linux подходит для внедрения даже на высших уровнях управления. К примеру, на этот продукт планирует перейти Администрация Президента. В планы переход на Astra Linux был включен довольно давно, но на тот момент система не могла быть внедрена, т.к. не имела интеграции с необходимыми компонентами. ОС ведь не существует сама по себе, а встраивается в некую экосистему программных продуктов — антивирусов, систем защиты каналов связи и т.п. С тех пор была выпущена новая версия Astra Linux, под которую уже началась сертификация необходимых решений, например, Антивируса Касперского 10-й версии. И работа с производителями других программных продуктов и систем защиты продолжается.
Обзор Astra Linux, операционной системы для спецслужб и силовиков
Пока американские санкции грозят Huawei, корпорация не дремлет. Судьба Android на борту её смартфонов пока не ясна, однако лэптопы для китайского рынка уже получили Deepin Linux.
Что будет дальше? Кажется, российский рынок тоже получил собственный дистрибутив: компания объявила о том, что серверные решения будут поставляться с Astra Linux на борту.
Что это такое?
Astra Linux — операционная система специального назначения на базе ядра Linux, созданная для комплексной защиты информации и построения защищённых автоматизированных систем.
Первоначальная разработка была организована для нужд российских силовиков, спецслужб и государственных органов. Для снижения порога входимости и популяризации релиз разделили на
Первая предназначена для рядовых пользователей и разработчиков. Вторая как раз и является «военной» ОС, соответствующей всем необходимым стандартам.
Важной особенностью Astra Linux стала защита ОС, используемых данных и программ: система обеспечивает степень защиты обрабатываемой информации до уровня государственной тайны «особой важности» включительно.
Включена в Единый реестр российских программ Минкомсвязи России, поэтому может использоваться для исполнения перехода приказа о переходе на отечественный софт в коммерческих и некоммерческих организациях.
Разработчикам системы в лице АО «НПО РусБИТех» удалось, по их словам, увязать законодательные требования Российской Федерации к операционным системам с «духом и требованиям лицензии GPL».
У Astra есть даже свой комплекс виртуализации. Похвально
Astra Linux неожиданно среди массы защищенных российских дистрибутивов оказалась самой удачливой: именно она станет основной для Министерства обороны.
Первые движения начались уже в 2018: тогда военные приняли решение об отказе от Windows в пользу Astra, а в этом году появились предсерийные варианты планшетов для использования в особо ответственных задачах (об этом расскажем ниже).
Основа Astra Linux и её варианты
Исходные коды к пользовательской версии ОС доступны на сайте разработчика. Доступ к исходникам продвинутых защищенных вариантов осуществляется по запросу.
Благодаря этому Astra стала «официально признанной» веткой Debian, а АО «НПО РусБИТех» заключило партнерское соглашение с The Linux Foundation и The Document Foundation.
Открытый исходный код, защита и нормальные программы? Реальность, если есть серьезные партнеры.
Система оптимизирована для всех существующих платформ, включая дистрибутивы для
Таким образом обеспечивается единая среда для разработки и эксплуатации одних и тех же пакетов на любых компьютерах, оборудовании и даже интегрированных решений. Унификация в таких случаях очень удобна.
Кроме того, в ходе реализации партнерского соглашения с Huawei, в феврале 2019 года оптимизированная версия дистрибутива была внедрена на Тяньваньской АЭС в серверных системах китайского партнера.
Как реализуется защита ОС?
Стартовое окно не выдает терминатора среди ОС
Astra Linux Special Edition рассматривает одного и того же пользователя в зависимости от действия как разных пользователей (так называемый «мандатный доступ») и создаёт для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.
Всего система использует 256 уровней доступа (от 0 до 255) и 64 категории доступа, разграничивающий допуск к различным операциям с файлами, файловой системой, стеком TCP/IP и многое другое.
Принятие решения о запрете или разрешении доступа пользователя или программы к файлу или его блоку принимается на основе типа операции (чтение/запись/исполнение) и шаблонного эталона безопасности на основе собственной запатентованной модели, распространяющейся на информационные потоки в системе.
Включающаяся в патент уникальная иерархия позволяет точно отличать пользователя от зловреда или несанкционированного управления извне и самостоятельно определять ОС скомпрометированные (несоответствующие правилам доступа) файлы и препятствовать доступу таким файлам или операциям к дистрибутиву и файловой системе.
Система контролирует каждый шаг программ
В Astra Linux отсутствует большая часть известных уязвимостей, которым подвержены операционные системы: зловреды не могут работать с памятью, встраиваться в код ОС или запускаться напрямую из сети.
В том случае, если исполняемый код скачивается, его запуск осуществляется в защищенной области памяти, который ограничивает доступ к данным и системе на всех уровнях.
Операционная система, её файлы и отдельные элементы хэшируются, протоколируются и сравниваются с эталонными, что позволяет полностью исключить подмену или изменение кода ОС.
Пользовательские режимы работы
После установки Astra готова к работе без предварительной настройки.
Для тех случаев, когда необходима дополнительная защита, возможно создание новых пользователей с определенными правами и запуск рабочих сессий во вложенном режиме (что-то вроде «окно-в-окне»).
Вложенная сессия
При этом вложенное содержимое полностью изолировано от операционной системы и может быть удалено вместе со всем активным содержимым, при этом пакеты вернутся в исходное состояние до работы.
Сессию можно завершать автоматически по таймеру, либо обычным путем.
Процесс установки: проще, чем Windows
Для конечного пользователя большой разницы нет: прокаченная версия имеет необходимые для оборонки сертификаты, у Common их нет. Однако обе работают по общим принципам Astra Linux, реализовывая раздельный доступ согласно заложенным сценариям.
Процесс установки предельно прост и как две капли воды похож на прочие Linux-дистрибутивы.
Из серьезных отличий стоит отметить русскую документацию с картинками по установке и понятный русскоязычный интерфейс с выбором важных мелочей.
Среди прочих и те самые базовые элементы защиты, выделенные отдельным экраном предварительной настройки.
Установка проходит стабильно как на обычный жесткий диск, так и на виртуальную машину.
Для работы системы хватает даже одноядерного процессора с 512 Мб оперативной памяти и 30-гигабайтным накопителем. Комфортная работа предполагает наличие больше 1 Гб ОЗУ и поддержку современных инструкций вычислительных ядер.
Внешний вид: привыкать не придется
Рабочий стол спроектирован на основе привычных Windows-интерфейсов, но по умолчанию использует множество особенностей macOS/Linux. Например, по умолчанию действием для запуска файла или программы стал однократный клик вместо двойного.
Пользователю предлагается 4 готовых рабочих стола, на каждом из которых сгруппирован набор значков для доступа к набору программ конкретного назначения.
Есть Win-образный «Пуск» в стилистике старых версий ОС с группировкой встроенных приложений по виду деятельности.
Настройка проводится как в фирменном терминале, так и с использованием графической оболочки через удобную панель управления с массой настроек.
Базовый набор программ: на все случаи жизни
Файл-менеджер наследует двухпанельную идеологию «Проводника» Windows, умеет монтировать архивы как папки и вычислять контрольные суммы, подтверждая целостность компонентов.
Браузер — Mozilla Firefox или Chromium в стандартном облачении для Debian. Скромно и со вкусом.
Редактором графики выступает GIMP, EasyPaint, Inkscape и ряд фирменных приложений для офисной работы с изображениями: сканирования, распознавания, создания скриншотов.
Офисным пакетом выбрали LibreOffice со словариком GoldenDict, а дополняют их просмотрщик qpdfviewer и текстовый редактор JuffEd.
Мультимедийные программы представлены VLC Media Pleer, QasMixer, Audacity, Clementine, guvcview.
В целом, система готова к офисному использованию и не требует установки дополнительных приложений, даже предоставляя определенные альтернативы.
Где брать софт?
Для установки приложений используется apt-get, но базовые приложения Debian требуют ручной установки либо добавки их размешения в список разрешенных репозиториев.
Устанавливается почти все, но ряд приложений потребует дополнительных разрешений или будет функционировать только внутри собственной папки расположения.
Запретов на использование каких-либо приложений нет: защита осуществляется на уровне операционной системы, поэтому ограничения не предусмотрены и подключить можно любой репозиторий. Аналогично с установкой из скаченных пакетов.
При необходимости можно установить и виртуальную машину (существует собственная разработка из состава Astra Dev.), и Wine для запуска Win-приложений.
Единственной проблемой для начинающих пользователей может стать отсутствие пропиетарных видеодрайверов для карт Nvidia. Но поддержка Open GL и Direct X идет из коробки.
При попытке программы совершить «лишнее» действие, например, самостоятельно обратившись к файловой системе вне собственного каталога, Astra предложит подтвердить его окном ввода пароля с подробностями операции.
Настройки и возможности
Полная русификация и удобный графический интерфейс позволяют производить любые настройки операционной системы, вплоть до тонкой отладки разрешений на то или иное действие.
Большая часть настроек не требует терминала и видима из-под пользовательской учетной записи. Работа с ними возможна по вводу соответствующего пароля.
Для выбора подготовлены готовые списки основных пользовательских настроек, вроде удобного изменения времени, способа переключения раскладки или действий системы при подключении того или иного устройства.
Отрезать компьютер от внешних ресурсов или перевести ПК в полностью защищенный режим можно из терминала.
Неудобство доставляет только странная реализация хоткеев: хотя они по умолчанию полностью повторяют аналоги из WIndows, в ряде случаев они перестают работать.
Например, Esc, закрывающий активное окно на рабочем столе или в активной программе, вдруг отказывает действовать в панели настроек.
Мобильные режимы работы
Планшетный режим
Особенно интересны дополнительные режимы работы Astra Linux, которые можно включить прямо на стартовом экране системы: «Планшетный режим» и «Мобильный режим».
И тот, и другой интерфейсы представляют собой базовую оболочку, оптимизированную для работы на сенсорных экранах больших и малых диагоналей соответственно.
Мобильный режим
Курсор в планшетном режиме невидим, кнопка закрытия приложений вынесена на панель задач. Полноэкранные приложения работают несколько иначе, файлы в файл-менеджере также выбираются по-другому. Однако, в удобном интерфейсе запустятся только встроенные в дистрибутив приложения.
Виджеты
Мобильный режим предлагает собственный «лаунчер» fly, напоминающий по внешнему виду и в использовании Android: сходные рабочие столы, логика работы виджетов, долгий тап для вызова меню.
Почему не китайский Deepin
Huawei отказалась от красивого Deepin в пользу Astra. Она надежнее
По всей видимости, Huawei будет использовать Astra для своих серверов в Европе, а так же планирует возможные продажи ноутбуков с Astra.
Почему, ведь Huawei и Honor для внутреннего рынка Китая оснащаются именно предустановленным Deepin?
Китайские разработчики имеют очень неплохой, красивый и удобный Deepin Linux, так же основанном на Debian с собственной средой Deepin Desktop Environment и набором утилит.
Однако в апреле 2018 Deepin Linux версии 15.5 был скомпрометирован шпионским программным обеспечением, замаскированным под стандартную утилиту из ядра системы.
Поэтому Россия стала для Huawei «третьей стороной», гарантом безопасности со стороны операционной системы.
Ощущения от использования Astra
Писать тексты, обрабатывать фотографии и работать с документацией можно
Для тех, кто использовал популярные дистрибутивы Linux, Windows или macOS, Astra Linux станет интуитивно понятной и не потребует сколько-то значимого времени для привыкания.
Интерфейс настолько приближен к существующим стандартам, что справится и бабушка. Аналогично собран набор базовых приложений: все они либо уже использовались пользователем, либо копируют интерфейсы других популярных приложений.
Ресурсов нужно немного
«Железо» определяет моментально, поэтому каких-либо проблем с установкой и запуском не предвится.
На данный момент среди аппаратных партнеров Astra Linux, предоставляющих необходимые данные для оптимизации системы, числятся все свободно продаваемые в России пользовательские и профессиональные решения.
Высшие строки на соответствующей странице занимают Acer, HP, Dell и множество других крупных поставщиков.
Основываясь на всем вышесказанном и собственном опыте, можно подтвердить: Astra полностью готова к массовому внедрению и может использоваться для любых задач.
Стоит ли попробовать?
Одна система для ВСЕХ платформ. Мечты сбываются
Другое дело, стоит ли устанавливать её сейчас? Как и любой уважающий себя Debian, Astra Linux может похвастаться довольно старым ядром и устаревшими репозиториями. Догнать Ubuntu у нее не получится.
Соответственно, даже для «линуксоида» Ubuntu-совместимые дистрибутивы предпочтительнее. А ещё лучше — свежие версии macOS и Windows (выбирать и комбинировать по вкусу).
Интересно использовать Astra в работе. Дома она не нужна
В отсутствии необходимости особой секретности хранимых данных и проводимых операций они быстрее и предлагают больше возможностей в любых сценариях.
Бэкдоры и удобство против старых версий программ с полной защитой? Каждый выбирает сам. Но с Astra не страшно, и довольно удобно.
Николай Маслов
Kanban-инженер, радиофизик и музыкант. Рассказываю о технике простым языком.
Apple попросила Трампа отменить пошлины на Apple Watch, AirPods и на запчасти для iPhone
Так выглядит пьяная сорока, которая объелась гнилыми яблоками
Facebook планирует объявить о смене названия 28 октября
Новые MacBook Pro могут оказаться мощнее PlayStation 5
Это прикол? Китайский инсайдер обнаружил картинки новых MacBook Pro, которые были сделаны ещё 12 апреля
Пользователи Ситимобил будут платить сервисный сбор за каждую поездку
Российская команда победила в чемпионате мира по DOTA 2 и выиграла 18 миллионов долларов
Посмотрел фильм Веном 2. Главное разочарование осени
Нажал на кнопку и пропылесосил весь дом, не встав с дивана. Обзор робота-пылесоса Viomi SE
Большой обзор маленького iPad mini 6 (2021). Кому он нужен, плюсы и минусы
🙈 Комментарии 56
Этим зеленым муда…m только колькулятор можна доверить
Логин: гыук
Пароль: зфыыцщкв
На торрентах раздают SE версию и можно опробовать.
Напомню что есть ещё Rosa linux тоже не плоха и тоже Российская. Как ни странно отзывы хорошие.
А вот поддержку проприетарных драйверов к сожалению не все дистрибутивы имеют из под установки чаще всего приходится ручками доделывать. Но всё это актуально для работы, работа с документами и данными которые имеют секретность или ценность. Винда незаменима для домашних юзеров.
Кстати Astra имеет закрытый исходный код, так что проверить на наличие бэкдоров не удастся. Ну само собой разработана ОС с целью защиты информации, но доказать они это не хотят, приходится полагаться на их слова, а слова ничего не значат у власти
upd: не все приложения работают корректно у Астры. Будьте внимательны
Первая фотка – фейк.
У чувака за компом нет лупы. Как же они в монитор что то разглядят?
Скоро все дадут по рукам, американским бандитам. )
Майор Ксения Шестакова, срочно перелогиньтесь!
Ужас какой!
Лучше поставить Pop!_OS и наслаждаться.
У вас ошибка в статье. Нету Astra Linux SE 1.9 максимально выпущенная версия – 1.6. В дополнение скажу – по факту это просто слегка переписанный Debian чтобы соответствовать стандартам защиты и работы с секретными данными. А так у нас с данной системой давно работают и давно на нее идет разработка приложений для силовых структур и спец служб.
PS красный экран на фото – один из режимов работы с секретными данными. Всего три уровня: не секретный ( цвет идет базового интерфейса), секретно ( точно не знаю как выглядит) и совершенно секретно красный интерфейс). По умолчанию в 1.6 пользователь входит как раз в последний режим. Все эти режими накладывают некоторые ограничения на работу с системой и по факту разграничивают их. ( К примеру пользователь USER с не секретно и USER с совершенно секретно – имеют две разные папки ( почти как два разных пользователья но при этом он один)
“Как и любой уважающий себя Debian, Astra Linux может похвастаться довольно старым ядром и устаревшими репозиториями. Догнать Ubuntu у нее не получится.”
Это минус к сожалнию, так как сертификация у нас в стране происходит очень долго. А так то 1.6 по сути не такая уж и старая ось ( основано на Debian Stretch выпущенная в 2017 году) так что никто вам не мешает поставить все ручками скачав из инета. Кстаи таже UBUNTU сделана на дебиане
еще одна поправка военные давно отказались от Windows, в 2018 году они отказались от системы под название МСВС – мобильная система вооруженых сил, которая являлась переписанным дистрибутивом Red Hat. Да тут просто идет совпадение с сокращением MSWC что является виндой
Ставить и настраивать проще чем Винду – это больше всего конечно порадовало )))) ставили как-то на работе на несколько компов версию ещё 1.3, нужны были статические ip, так на одном сетка так и не завелась, какие только конфиги не ковыряли.
После убунты или минта – как-то тяжко работать. Но по сравнению с мсвс с его древним ядром – вполне себе шаг вперёд
Как будто на семинаре по импортозамещению побывал, такой же marketing bullshit.
Супер отечественная ОС (нет) на базе Debian:
Astra действительно наследует кодовую базу Debian, но с устаревшими версиями пакетов и ядра, и собственными репозитариями. Если чего-то в нашем репозитарии нет, ну значит “оно не нужно™”, то есть выкручивайся сам как хочешь. Редакции дистрибутива – их действительно две, Орёл и Смоленск, Орёл свободно скачивается с сайта, Смоленск – за деньги. И тут есть нюанс, Орёл это фактически альфа-версия дистрибутива, установив её вы станете бесплатным альфа-тестером, а учитывая качество поддержки и разработки со своими проблемами в работе дистрибутива вы останетесь один на один.
Супирзащищённая (нет) ОС для ядерных реакторов, вундервафель, летающих тарелок и робота Фёдора.
Аудита и пентестов для проверки Astra Linux я не проводил, но есть пара нюансов, которые наполняют недоверием моё сердце.
1. Во-первых в Astra Linux даже в последних версиях присутствуют старые, дебиановские баги семилетней давности, а если не исправляются даже они, то что говорить об оперативном исправлении уязвимости и выпуске секьюрити патчей.
2. Аудит кода и написание LSM – модулей, которые и дают возможность разработчикам утверждать о своей суперзащищённости, выполнятся выпускниками ВУЗов. Я ничего не имею против, но когда речь идёт о гостайне наверное всё-таки ключевые вещи должен писать кто-то с опытом.
пятиминутка ликбеза на iphones
Существует два основных типа управления доступом к объектам в ОС:
дискретный – большинство современных ОС и мандатный – именно он реализован в Astra Linux Смоленск.
ru.wikipedia.org/wiki/Мандатное_управление_доступом
Технически это осуществляется с помощью так называемых LSM – модулей, что это такое написано здесь:
habr.com/ru/company/pt/blog/144014/
пятиминутка ликбеза на iphones
Поэтому утверждения о какой-то особой суперзащищённости ОС Astra Linux не обоснованы. При желании всё то же самое можно реализовать на любом дистрибутиве Linux.
Репозитарии, обновление и зависимости
У Astra есть свою собственные репозитарии, подключать сторонние запрещено, поэтому для установки используем только родные Astra Linux, какого-то пакета в них нет – кури бамбук.
Старая версия софта? – Кури бамбук. Для установки пакета ОС тянет кучу левых зависимостей, которые ещё и конфликтуют? – Кури бамбук.
Никто и ничего исправлять и улучшать не будет, ну может быть в когда-нибудь потом.
Установка
Вот тут у меня к автору вопрос, просто интересно догадается он или нет, он описал процесс установки когда у вас в системе один диск, а если их несколько и возникает ошибка записи на диск, мол диск уже использует. Что в этом случае делать и почему косяк исправленный в большинстве нормальных дистров в этом “поставить проще чем Windows” до сих пор присутствует.
Стоит ли использовать?
Если в принципе имеется выбор – нет не стоит, возьмите ROSA Linux или AltLinux, или вообще CentOS/Ubuntu, но только не Astra.
Если выбора у вас нет, значит вы работаете там откуда не уходят – страдайте.