Операционная система астра линукс описание

Добавил пользователь Евгений Кузнецов
Обновлено: 19.09.2024

Разработка


Система применяется во многих государственных учреждениях. В частности, на ней построена информационная система Национального центра управления обороной РФ. В июле 2015 г. состоялись переговоры о переводе на Astra Linux госучреждений Республики Крым, в которой официальное использование популярных ОС затруднительно из-за антироссийских санкций. В ноябре 2015 года подписано соглашение о сотрудничестве с производителем серверов Huawei, который начал тестировать свои серверы на совместимость с Astra Linux.

Ос новные характеристики

  • Коммерческая тайна
  • Конфиденциальная информация
  • Персональные данные
  • Государственная тайна
  • защищенный графический рабочий стол Fly;
  • защищенная реляционная СУБД PostgreSQL ;
  • защищенные сервера Exim и Dovecot и клиент электронной почты Thunderbird;
  • защищенный web-сервер Apache и браузер Firefox ;
  • средство организации сетевого домена и централизованного управления учетными данными пользователей Astra Linux Directory (ALD);
  • интегрированный пакет офисных приложений OpenOffice ,
  • а также большое количество других приложений.

Ключевой особенностью Astra Linux Special Edition является наличие встроенных средств защиты информации, интегрированных с ее основными компонентами. Это — основа для создания защищенных высокопроизводительных масштабируемых решений широкого спектра: от автономных ЭВМ и небольших программно-технических комплексов до сложнейших территориально распределенных автоматизированных систем.

В 2013 году приказом Министра обороны РФ ОС Astra Linux Special Edition была принята на снабжение Вооруженных Сил России.

История развития

2012г: Сертификация ОС

2014г: Мобильная версия

Система может работать как на планшетах, так и на смартфонах. На основе исходных кодов базового дистрибутива компания по заказу собирает ее индивидуально под конкретное устройство клиента, каждый раз по-новому.

Помимо непосредственно необходимых заказчику компонентов ОС при сборке мобильной версии Astra Linux Special Edition учитывается также степень секретности обрабатываемой информации на устройстве и необходимая система сертификации СЗИ (Минобороны, ФСТЭК, ФСБ). Установка мобильной ОС и прошивка устройства ведутся в заводских условиях.

2015г: Astra Linux Common Edition

Astra Linux Common Edition предназначена для решения задач среднего и малого бизнеса, в то время как версия Special Edition — это защищенная система специального назначения, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше "совершенно секретно". В состав Astra Linux Special Edition включены программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.

Особенности версии Special Edition

Функция идентификации и аутентификации пользователей в Astra Linux основывается на использовании механизма PAM. Кроме того, в состав операционной системы включены средства поддержки двухфакторной аутентификации.

В Astra Linux реализован механизм избирательного управления доступом, который заключается в том, что на защищаемые именованные объекты устанавливаются (автоматически при их создании) базовые правила разграничения доступа в виде идентификаторов номинальных субъектов (UID и GID), которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x).

Кроме общей схемы разграничения доступа, Astra Linux поддерживает также список контроля доступа — ACL, с по­мощью которого можно для каждого объекта задавать права всех субъектов на доступ к нему.

В операционной системе реализован механизм мандатного разграничения доступа. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.

  • механизмы IPC;
  • стек TCP/IP (IPv4);
  • файловые системы Ext2/Ext3/Ext4;
  • сетевую файловую систему CIFS;
  • файловые системы proc, tmpfs.
  • В Astra Linux Special Edition существует 256 мандатных уровней доступа (от 0 до 255) и 64 мандатных категории доступа

При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создает для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.

Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная[ мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель), которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы.

В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[.

В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.

В состав ядра операционной системы Astra Linux включен набор изменений PaX, обеспечивающий работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении:

  • запрет записи в область памяти, помеченную как исполняемая;
  • запрет создания исполняемых областей памяти;
  • запрет перемещения сегмента кода;
  • запрет создания исполняемого стека;
  • случайное распределение адресного пространства процесса.

Нормативные документы по НСД выделяют семь классов защищённости, объединённых в четыре группы. Системы, отнесённые к первой группе, в которую входит всего один класс номер 7, обладают самой низкой защищённостью. В противоположность им системы группы 1, отнесённые к классу номер 1, благодаря верифицированной защите имеют наивысший уровень защищённости. Группа 2, в состав которой входят классы номер 5 и 6, определяет системы с дискреционными методами защиты, а в третьей группе объединены классы номер 2, 3 и 4 для систем с мандатными методами защиты. В рамках каждого класса чётко определено, какие функции системы разграничения доступа должна поддерживать сертифицируемая система. Именно их наличие и определяет решение экспертов об отнесении её к тому или иному классу.

Четыре уровня контроля отсутствия НДВ определяют возможность использования системы для обработки конфиденциальной (уровень 4), секретной (уровень 3), совершенно секретной (уровень 2) информации и информации особой важности (уровень 1).

Четыре уровня контроля отсутствия НДВ определяют, какие грифованные документы может обрабатывать информационная система.

Astra Linux

Астра Линукс – российская операционная система на базе Debian GNU/Linux, ориентированная на защиту конфиденциальной информации и предназначенная для защищённых рабочих станций и серверов. Система разработана для спецслужб, государственных предприятий и бизнес клиентов, для которых важна безопасность и защита информации. Редакция Common Edition подходит для домашнего использования.

Собственное графическое окружение Fly включает интуитивно понятный интерфейс и рабочий стол, а также файловый менеджер оконного типа и различные средства настройки для пользователей и системных администраторов. Привычный интерфейс удобен и понятен начинающим пользователям, что делает операционную систему Astra Linux хорошим вариантом для импортозамещения ПО.

Операционная система включает авторские разработки и свободное программное обеспечение, и готова для использования как на рабочих местах и ноутбуках, так и на серверах, встраиваемой специальной технике и мобильных устройствах. Система поддерживает работу на отечественных процессорах Эльбрус, Байкал и Комдив и имеет совместимость с большинством отечественного программного обеспечения, например 1С:Предприятие 8, Мой офис и КриптоПро CSP.

Всем привет, это моя вторая статья в цикле материалов по Astra Linux. Прошлая статья вызвала немало разногласий и теперь я собираюсь пояснить, что все-таки есть в Астре, чего нет в других дистрибутивах.

Немного истории

Не секрет, что само по себе ядро Linux было написано в 1991 году Линусом Торвальдсом. И единственной отличительной особенностью Linux от других ОС семейства Unix была отсутствие каких-либо лицензий в отношении его кода. Это обстоятельство привело к тому, что в начале нулевых “критическая масса” приложений, написанных под Linux превысила порог и Linux начал становиться общепринятым стандартом. Так что мне кажется не стоит рассуждать, кто, что и на каком ядре делал, ибо все ныне существующие Linux дистрибутивы содержат код, написанный Торвальдсом.

Так что же такого в этой Астре?

Лично я считаю эту систему защищенной, так как:

  • Она сертифицирована одновременно ФСТЭК, ФСБ и МинОбром. Насколько сложно получить хотя бы один из этих сертификатов даже при малом объеме кода я знаю не понаслышке)
  • В ней реализован ряд модулей (о которых я расскажу ниже), которые сильно усложняют неконтролируемый доступ к объектам системы.

Среди администраторов безопасности ОС семейства Linux распространено мнение, что для её превращения в высокозащищённую ОС достаточно установить пакет Security Enhanced Linux (SELinux) специально разработанный для этой цели в АНБ США. Данный пакет широко и успешно применяется для реализации замкнутой программной среды, однако попытки его применить для реализации более сложных моделей управления доступом, как правило, заканчиваются неудачей, так как требуют существенных усилий по разработке соответствующих политик.

Поэтому наши разработчики собрались и разработали свою мандатную сущностно-ролевую ДП-модель безопасности управления доступом и информационными потоками (МРОСЛ ДП-модель). Уже само название звучит устрашающе, и модель ему полностью соответствует. Существует полное математическое описание и доказательство безопасности такого подхода, однако оно займет целую книгу и уйму времени, чтобы в нем разобраться. Поэтому доверимся разработчикам и идём дальше (кому надо, тот посмотрит).

Начнем с 2-х типов ядер в данной системе (generic и hardened).
Kernel Generic – ядро общего назначения, обеспечивающее базовую функциональность ОС.
Kernel Hardened – это ядро “на стероидах”. Помимо базовых функций оно поддерживает:

  • ряд функций модуля PaX (например, UDEREF и kernexec), устанавливающие правила доступа прикладных программ к адресному пространству памяти.
  • функции, например, такие, как PIE (Position Independent Executables) и SSP (Stack Smashing Protector), предотвращающие переполнения стека.
  • функции, используемые ядром при копировании данных в/из пространства памяти прикладных программ (userspace).
  • функции, предотвращающие внедрение вредоносного кода в процессы, путём перехвата начального потока управления.

Про каждую из этих функций вы можете прочитать отдельно, все эти идеи не новы.

Таким образом, Hardened является дополнительным уровнем защиты, наряду с мандатными управлением доступом и контролем целостности , а также с подсистемой безопасности PARSEC на основе МРОСЛ ДП-модели.

Ну вот мы и подошли в PARSECу.

Схема PARSEC

По факту этот модуль расширяет систему передачи привилегий обычным пользователям по выполнению действий админа, перехватывая и анализируя обращения к ядру системы. Реализован он на основе упомянутой выше МРОСЛ ДП-модели, применяя в том числе и мандатную и дискреционную модель доступа .

Что же касаемо сетевой безопасности, она реализована с помощью службы Astra Linux Directory (ALD), являющаяся аналогом Active Directory от Microsoft. Конечно, реализованы не все возможности AD, однако проект активно развивается и совместим с другими доменными инфраструктурами.

Теперь перейдём к вопросу для кого эта система? Прежде всего знание астры будет полезно сетевым администраторам в различных гос. организациях (рано или поздно), а также всем, кто желает поближе познакомиться с творением РусБИТеха и защищенными ОС в целом. Не стоит забывать, что безопасность требует жертв в виде определенных трудностей в использовании и администрировании системы (в чем вы сможете в последующих статьях)

Заключение

Несмотря на кажущуюся простоту, реализация каждого модуля, согласование их работы, обоснование безопасности и сертификация – это огромный труд, так что стоит отдать должное разработчикам, несмотря на некоторые трудности в работе с данной ОС. При этом поддержка основных функций современной ОС (с небольшими ограничениями) реализована в полной мере. Помимо этого, есть возможность разворачивать весьма гибкие платформы, зачастую реализованная с помощью собственных программных продуктов. О том, как развернуть некоторые из них я планирую написать в последующих статьях.

На этом все, я постарался в общих чертах объяснить суть творения российских разработчиков. Если остались вопросы, пишите в комментариях, постараюсь на них ответить.

В последнее время отечественный рынок программных продуктов активно развивается в сторону импортозамещения. Появляются различные собственные разработки-альтернативы глобальным программным пакетам для использования в критически-важных областях. Собственно, Linux - это операционная система с открытым исходным кодом, родом из семейства Unix-подобных, разработанная впервые 17 сентября 1991 года Линусом Торвальдсом (и подхваченная позднее IBM, как альтернатива операционным системам MS Windows - об их противостоянии в области операционных систем, в частности, истории OS/2 и появлении Windows NT написано немало). В общем - альтернатива удалась.

Код, используемый для создания Linux, распространяется бесплатно (под лицензией GNU) и доступен широкой публике для просмотра и редактирования пользователями с соответствующими навыками. В силу открытости и доступности для изменений существует несколько различных версий-редакций ОС, адаптированных под различные потребности разных пользователей (начиная от мощных серверных - ни для кого не секрет, полагаю, что большая часть интернет-серверов “крутится под Linux”, и заканчивая пользовательскими терминалами, “заточенными” под совершенно узкие задачи типа “рабочее место кассира”). Такие версии именуются дистрибутивами и включают в себя различные варианты программного обеспечения.

Наиболее популярны: Linux Mint, Debian, Ubuntu, OpenSUSE, Manjaro Linux. Россия же “пошла своим путём” - и создала (также на основе Linux) под свои госпотребности собственные дистрибутивы, как раз о них мы сегодня поговорим.

Astra Linux

Astra Linux

Astra Linux - операционная система специального назначения на базе ядра Linux, созданная для комплексной защиты информации и построения защищённых автоматизированных систем.

Astra Linux

Начинка ОС Astra, например в релизе “Смоленск” — это тот же Debian только со встроенной системой безопасности и графическим окружением (а ещё с десятками собственных графических и консольных утилит). Интерфейс больше приближен к привычной Windows, дополнительно адаптирован для сенсорных экранов, в том числе и для смартфонов.

Astra Linux

Естественно, как всё отечественное спецназначения, подвергнут жесточайшей сертификации. Сертифицированный релиз операционной системы функционирует на современных серверах и рабочих станциях с процессорной архитектурой х86-64 и имеет несколько версий - Astra Linux Special Edition и Astra Linux Common Edition. В чём же разница? В целях оптимизации Special Edition из дистрибутива исключен ряд дублирующих друг друга компонент, решающих сходные целевые задачи. Например, из двух СУБД MySQL и PostgreSQL в дистрибутив Special включена только Postgres, доработанная по всем требованиям к безопасности информации. А главное отличие от Special Edition - Common Edition бесплатная.

Системные требования:

Системные требования

Rosa Linux

Rosa Linux

Данный дистрибутив также был сертифицирован Министерством обороны РФ.

При создании рабочего стола ROSA Linux принят стандарт KDE. На данный момент он распространяется в большинстве популярных дистрибутивов.

Rosa Linux

Ещё есть варианты поставки с иными графическими средами: LXQt, GNOME, MATE, PLASMA. Не во всех версиях есть поддержка этих графических средств. Fresh R10 не поддерживает GNOME, в Fresh R9 будут доступны все вышеперечисленные средства.

Компания внедрила большое количество своих собственных разработок. Особенно выделяется среда разработки и сборки на основе непрерывного режима, где поддерживается возможность добавления пакетными дистрибутивами или же ABF (Automatic Build Farm), внедрён обмен функционалом среди разных версий дистрибутива, и ускорено появление внешних программ от сторонних производителей.

Помимо всего прочего, разработчики Rosa создают для своих пользователей авторский функциональный софт. Например, теперь не придётся заморачиваться с записью образа на USB, в ROSA Linux встроена специальная утилита для подобных манипуляций.

Ещё имеется быстрый запуск приложений или же групповой запуск, когда они объединены схожим функционалом. За изменениями ядра следит и анализирует модуль Kernel ABI Tracker.

Системные требования:

Наличие хотя бы 10 ГБ свободного места на жёстком диске, но чем больше, тем лучше; минимум 1 ГБ оперативной памяти для 32-битных версий и 2 Гб для 64-битных версий.

Alt Linux

Alt Linux

Альт 8 СП – дистрибутив операционной системы для серверов и рабочих станций со встроенными программными средствами защиты информации, сертифицированный ФСТЭК России.

Дистрибутив выпускается для следующих аппаратных платформ:

Если с Intel всё понятно, то что за зверь этот Эльбрус? 4С — четырёхъядерный процессор, работающий на частоте 800 МГц, который поддерживает работу с тремя каналами памяти. Также имеется кэш-память общим объёмом 8 МБ. Процессор произведён по технологии 65 нанометров, со средним энергопотреблением в 45 Ватт. Да-да, ещё одна отечественная разработка!

Кстати, мы проводили кросс-тестирование совместимости и подтверждаем полную совместимость доступных дистрибутивов ALT Linux с FastReport VCL (при разработке приложений на Lazarus) и FastReport Mono. Если ещё в 2018 году пользователи могли столкнуться с некоторыми несовместимостями, например, при формировании PDF, то на сегодня проведена большая работа по исправлению возможных “шероховатостей” (в частности, улучшен механизм включения и подстановки шрифтов в формируемые FastReport PDF-документы).

Но вернёмся к Альт.

Сегодня ALT Linux Team поддерживает собственный репозиторий Sisyphus, который содержит RPM-пакеты собственной сборки и является отдельной ветвью развития Linux, не базируясь ни на каком крупном дистрибутиве.

Рабочее окружение основано на Mate, что является плюсом для людей со слабым железом. Внешний вид системы приближен к Windows XP. На мой взгляд это больше достоинство, чем недостаток, ведь мы все помним горячо любимую Windows XP.

Alt Linux

Интересной особенностью всех ALT-систем является то, что, не смотря на формат пакетов RPM в качестве пакетного менеджера используется APT. Отлично работает классический apt-get, но современный apt не поддерживается в качестве графической оболочки используется Synaptic.

Теперь о минусах. При установке нам предлагаются достаточно интересные пресеты, один из них - поддержка стороннего ПО – это ок, другой - поддержка Windows. Если у кого-то промелькнёт мысль, что пакеты с поддержкой Windows можно будет доставить позже, то нет, позже сделать это будет нельзя. Подход достаточно странный, не сказать, что он критично на что-то влияет, но осадок неприятный остался. А так, чтобы установить рабочий экземпляр Wine нам потребуется открыть консоль и обратиться конечно же к документации.

А если официальные бумаги не особо помогли, то Альт имеет самое большое сообщество, богатую историю, и качественную поддержку. Кроме того, у них хорошо проработанная документация по продуктам, большое количество мануалов, много детализированных сценариев использования.

Отмечу, что дистрибутив Альт, по сравнению с ОС РОСА и Astra Linux, далеко ушёл от базового. Astra — это видоизменённый существующий дистрибутив, АСТРА — это Debian, а РОСА — Mandriva. А у Альта изначально был Mandrake, но разработчик настолько его изменил, что базовый дистрибутив уже не разглядеть.

Системные требования:

  • Оперативная память: от 1 Гб, рекомендуется 8 и больше Гб (а для виртуализации рекомендуется не менее 16 Гб ОЗУ и двухпроцессорная система или лучше);
  • Жёсткий диск: от 32 Гб, рекомендуется 200+ Гб (для всё той же виртуализации рекомендуется аппаратный RAID-контроллер);
  • Сеть: порт Ethernet;
  • Периферийное оборудование: стандартное, есть возможность использовать без монитора.

RED ОС

РЕД ОС

РЕД ОС — это дистрибутив Linux на основе пакетной базы формата RPM, который предоставляет универсальную доверенную среду для использования прикладного программного обеспечения, включающую большое количество сервисов и приложений. Ещё в этой ОС имеется средство графического терминального доступа, обладающее функционалом поддержки использования ключевой информации клиента в терминальной сессии.

РЕД СОФТ не стоят на месте и выпускают собственные разработки, которые предназначены для облегчения миграции с Microsoft Windows. Примером выступает RED WINE - ответвление от проекта WINE, которое позволяет использовать средства электронной подписи Windows-приложениями в среде Linux.

РЕД ОС

Основные фишки ОС:

  • Поддержка авторизации пользователя в домене Active Directory и механизмов централизованной авторизации по протоколам LDAP и LDAP+Kerberos;
  • Поддерживает работу с файловыми системами Ext 2/3/4, ISO 9660, FAT, exFAT, NTFS, CIFS. Даже есть разбиение пространства жестких дисков с помощью подсистемы LVM на логические тома;
  • Наличие в репозитории различных СУБД: PostgreSQL 10.6, MariaDB 10.1, Firebird 3.0 и драйверов для работы с ними;

Системные требования:

Минимальные Рекомендуемые
Процессор 1 ГГц тактовой частоты 3 ГГц тактовой частоты
ОЗУ 1 ГБ для конфигурации "Рабочая станция"

2 ГБ для конфигурации "Сервер"

4 ГБ и выше для конфигурации "Рабочая станция"

32 ГБ и выше для конфигурации "Сервер"

Сравнение ALT, Astra, RED, ROSA

Сравнение

Основная разница выражена в разных версиях ядра Linux, остальное на вкус и цвет как говорится.

Состав ПО для рабочих станций

Сравнение

С точки зрения прикладного ПО какой-либо серьёзной разницы между дистрибутивами нет, все они используют схожий набор ПО.

Состав ПО в серверных дистрибутивах

Сравнение

* если верить документации, то также доступны FreeIPA и Samba.

Для серверных ОС каких-то особых отличий я не вижу. Можно лишь отметить, что только Ред ОС ожидаемо использует исключительно собственную СУБД Ред База Данных, основанную на FireBird.

Вывод

Ну, что сказать? У государственных и государство-ориентированных учреждений сейчас уже есть достаточно различных дистрибутивов. Кстати, с одним из дистрибутивов мы долго-долго тестировались, “совместимость подтверждена, но публиковать это не будем, потому что у вас продукт ДЛЯ разработки, идёт в ПОЛНЫХ исходных кодах, подписать сертификатом невозможно” :)

Понятно, что все они исторически ориентируются на привычный интерфейс того, что импортозамещают (MS Windows) c различной степенью успешности. Тем не менее, для своих задач (нет, конечно же, не для простых смертных домашних пользователей!) - вполне крепкие платформы. Дело теперь за малым - наполнить их смыслом - прикладным ПО. И нет, это не только офисные пакеты (а там, кстати, тоже уже есть из чего выбирать - не только “мой офис”, который у всех на слуху, но и “Р7-офис” - о них несколько позже отдельно напишу), но и узкоспециализированные для задач создания, хранения и обработки данных , документооборота и т.п. Благо, что для разработки тоже уже есть полноценные совместимые решения.

Читайте также: