Отличие линукс от астра линукс

Добавил пользователь Дмитрий К.
Обновлено: 19.09.2024

Что такое Astra Linux?

Таким вопросом задаются почти все, кто слышит про новый релиз на основе ОС Linux.

Учитывая все вышеперечисленные проблемы, многие крупные корпорации и даже целые государства занимаются разработками собственных дистрибутивов ОС.

Механизмы безопасности

Все механизмы безопасности были спроектированы и реализованы с нуля. В основу легли многолетние научные разработки в области контроля информационных потоков в защищенных информационных системах с мандатным и ролевым управлением доступа. (Для желающих проникнуться, можно ознакомиться с патентом № RU 2 525 481 C2 или учебным пособием с обилием технических деталей и практики).

Благодаря собственным разработкам в области средств защиты, дистрибутивы ALSE ежегодно проходят самые жесткие исследования исходных кодов на недекларируемую функциональность. На данный момент ALSE сертифицирована во всех системах сертификации информационной безопасности РФ.

В дополнение к этому, разработчик ALSE обратился в Центр верификации операционной системы Linux при Институте системного программирования РАН РФ для математической верификации формальной модели безопасности, используемой в ОС. Это было сделано, чтобы подтвердить соответствие математической модели безопасности и ее реализации в ОС и, тем самым, дополнительно исключить всякого рода недокументированные возможности в исходных кодах ALSE. К слову сказать, аналогичных центров и методик исследований вообще нет в странах СНГ.

Учитывая все вышеперечисленное, можно сказать, что были предприняты беспрецедентные меры по тестированию ALSE на безопасность. Планка была поднята настолько высоко, что ни один мировой разработчик операционных систем пока не смог достичь такого уровня проверок безопасности на просторах стран СНГ.

Какие есть особенности в ОС Astra Linux SE?

Более подробно об особенностях ОС ALSE можно почитать здесь.

Остановимся на тех, которые бросаются в глаза:


Такой подход позволяет максимально закрыть все потребности в жизненно необходимых сервисах без приобретения дополнительного ПО. По нашей статистике, на этом можно существенно сэкономить на лицензионных отчислениях от 300% до 400%. При этом основное прикладное ПО уже сертифицировано на безопасность.

2) Всей информации, попадающей в систему, присваивается уровень конфиденциальности. Кроме этого, все носители информации, включая переносимые, также категорируются по уровням конфиденциальности. Поэтому, если носителя информации нет в базе соответствующего уровня доступа, то вы просто не сможете туда записать информацию. Если вы захотите вывести документ на печать, то ваш документ попадет в защищенный комплекс печати и маркировки документов. Здесь по настроенному шаблону будет сформирован штамп, отражающий степень секретности, ФИО, дату и другие данные о печатающем лице. Это позволяет значительно упростить работу с бумажным делопроизводством в соответствии с утвержденными регламентами и политиками безопасности (ПБ) по ИБ.

Данный функционал прекрасно вписывается в современную парадигму управления ИБ по ISO/IEC серии 27000 и других нормативных актов, специфических для юрисдикций стран СНГ.

3) Ещё одним интересным компонентом является механизм внедрения мандатных меток в пакеты протокола IP по RFC 1108. Это позволяет применять мандатный контроль доступа к сетевым соединениям (сокетам). При этом метка сокета наследуется от субъекта (процесса).

4) Все приложения, которые входят в дистрибутив ОС ALSE, поддерживают механизмы мандатного контроля доступа. Это позволяет создать единую среду безопасности, включающую ОС и основное ПО. Поэтому вы получаете не только защищенную ОС, но еще и защищенные приложения.

5) Все понимают, что когда дело доходит до средних и крупных сетей, на первый план выходит задача централизованного управления. Для этих целей в ОС ALSE был разработан домен Astra Linux Directory (ALD).


ALD позволяет для всех связанных сетевых ресурсов и пользователей создать единую систему идентификации и аутентификации с централизованным управлением ПБ в соответствии с правилами мандатного разграничения доступа. Это существенно упрощает управляемость ИТ-инфраструктурой без потери контроля над безопасностью.

ОС ALSE прошла 10-летний путь разработки драйверов под разнотипную технику: от планшетов до мэйнфрэймов. Были найдены взаимопонимание и прямой контакт даже с такими вендорами, как HP, Dell, IBM, Huawei, Samsung и другими. Хотя нужно признать, работы в этой области еще очень и очень много, т.к. 60% работ над каждым новым релизом ОС занимает поддержка новых драйверов.

7) Разнотипное оборудование создает еще одну проблему – это поддержка ОС разнотипных аппаратных платформ. На данный момент ОС ALSE работает на 6 различных аппаратных платформах: x86-64, ARM, System Z, Power PC, MIPS, Эльбрус (в режиме совместимости).



8) Защищенная графическая система FLY предотвращает реализацию угроз нарушения конфиденциальности и целостности, запуская графический сеанс в соответствии с мандатным контекстом сесии. Еще одна интересная особенность FLY – это цветовая подкраска окна запущенного приложения в соответствии с мандатным уровнем и циферное отображение в трее мандатного контекста сессии. Это позволяет быстро увидеть, под какими полномочиями работает пользователь.

9) Контроль целостности ОС, прикладного ПО и СЗИ. ОС ALSE поддерживает контроль целостности на базе хэш-функции, как в ручном, так и в автоматическом режиме в соответствии с настроенным расписанием.

Кроме этого, реализован механизм проверки неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе ЭЦП, внедряемой в исполняемые ELF-файлы. Для разработчиков прикладного ПО под ALSE предусмотрен механизм внедрения ЭЦП в исполняемые файлы запускаемого ПО.

10) Изоляция модулей. Ядро ОС ALSE обеспечивает собственное изолированное адресное пространство для каждого процесса в системе. Такой механизм изоляции основан на страничном механизме защиты памяти, а также на механизме трансляции виртуального адреса в физический, поддерживаемый модулем управления памятью. Более подробно про данные механизмы можно почитать здесь, либо в документации на ALSE.

11) Очистка оперативной и внешней памяти с гарантированным удалением файлов. Ядро ОС ALSE гарантирует, что обычный непривилегированный прогресс не получит данные чужого процесса, если это явно не разрешено правилами разграничения доступа.

13) Средство управления политикой безопасности. Обеспечивает учет подключаемых устройств и съемных носителей в системе, установку дискреционных и мандатных атрибутов доступа пользователей к устройствам и создание дополнительных правил доступа к устройству (например, ограничение на подключение устройства только в определенный USB-порт).

14) Средства ограничения прав доступа к страницам памяти. Средства ограничения прав доступа к страницам памяти реализованы на основе набора изменений PaX для ядра операционной системы, который обеспечивает предоставление наименьших привилегий для процессов при доступе к сегментам памяти в собственном адресном пространстве.

Главной функциональной возможностью набора изменений PaX для ядра операционной системы является защита исполняемого кода в адресном пространстве. Эта защита использует технологии бита запрета исполнения в процессоре (NX-бит) для предотвращения выполнения произвольного кода.

  • интеграция с ядром ОС ALSE и базовыми библиотеками для обеспечения разграничения доступа
  • запрет создания исполняемых областей памяти
  • запрет перемещения сегмента кода
  • запрет создания исполняемого стека
  • рандомизация адресного пространства процесса

15) Средства централизованного протоколирования. В ОС ALSE реализована собственная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы. В библиотеках безопасности реализован прикладной программный интерфейс для использования подсистемы протоколирования. Средства централизованного аудита обеспечивают сбор и представление администратору безопасности сети информации о событиях безопасности в автоматизированной системе.

16) Виртуализация и терминальные режимы доступа. ОС ALSE позволяет запускать тонкие клиенты, которые работают в терминальном режиме. Поддерживаются следующие протоколы: VNC, RDP, SPICE. Схема работы приведена ниже.



В качестве гостевой ОС может выступать любая операционная система, даже Windows. Таким образом можно создать замкнутую защищенную среду и запускать в ней не очень доверенное ПО. Еще одним плюсом является повышение безопасности, т.к. вся информация хранится централизованно в системе виртуализации, а требования к клиентским терминалам снижаются. Более подробно можно посмотреть здесь.

Заключение


ОС была адаптирована для работы на российских процессорах, провалила этап внедрения в управлении делами президента, но нравится военным.

В рамках реализации проекта были проведены следующие тесты:

К сожалению, у отечественного разработчика есть и неуспешные проекты. понравилась операционная система. Она была признана эффективной для решения задач вооруженных сил Российской Федерации.

Вооруженные силы давно присматриваются к данной операционной системе. Сообщается, что первые поставки продукта для министерства были проведены в 2010 году. В текущем же году министерством было принято решение полностью перейти на Astra Linux. Как сообщает господин Донской, Вооруженным силам было поставлено более 50 тыс. лицензий на отечественную операционную систему.

Небольшие подробности об Astra Linux

Также применен патч ядра Pax, цель которого обеспечить работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей.

Основной минус программного решения – большое отставание по версиям пакетов программ в официальных репозиториях.



По количеству сертификатов можно сделать вывод, что военных система устраивает, и они готовы мигрировать на нее. Нет только подобного кандидата для гражданской сферы. В отличие от военной сферы, где после приказа нет места спорам, гражданские сферы привыкли к удобству привычных продуктов, а решения на базе Linux очень часто требуют иного подхода к задачам.

Операционная система специального назначения Astra Linux Special Edition основана на дистрибутиве Astra Linux Common Edition и, кроме того, включает в себя ряд принципиальных доработок для обеспечения соответствия требованиям руководящих документов по защите информации (см . Справка об особенностях и основных функциональных возможностях ). Кроме того, в целях оптимизации состава операционной системы Astra Linux Special Edition из дистрибутива исключен ряд дублирующих друг друга компонент, решающих сходные целевые задачи. Например, из двух СУБД MySQL и PostgreSQL, входящих в состав Astra Linux Common Edition, в дистрибутив операционной системы Astra Linux Special Edition включена СУБД PostgreSQL, доработанная по требованиям безопасности информации.

Для тех, кто копает глубже и хочет знать больше

Тестирование таких систем не имеет смысла и потому, что под ними работают крайне счастливые люди: боязнью грядущих бедствий они не терзаются, надеждой будущих благ не обольщаются и мук выбора не испытывают. Если высокое руководство дало им указание к определенной дате освоить конкретную ОС, мы можем быть уверены: в точно назначенный срок все подчиненные отчитаются о выполнении поставленной задачи.

Намного сложнее приходится тем, кто внезапно ощутил острую необходимость перехода на отечественную ось, а точной директивы не имеет. У свободного выбора дистрибутива есть свои преимущества и недостатки. Например, можно выбрать Linux с самыми красивыми обоями и темами, но при этом мучиться с полностью неработающей оргтехникой. Или так и не суметь подружить между собой различные операционные системы. Или случайно стереть все важные данные в процессе перехода на другую ось. Или.

В общем-то, подобными вещами я и забавлялся в последнее время, пытаясь составить личное мнение об отечественных дистрибутивах Linux. И вот что я вам скажу.

Об ALT Linux

Внимание! Отнеситесь к выбору варианта для скачивания очень серьезно. В противном случае вы рискуете получить незабываемые впечатления! К вопросу о вариантах сборок мы еще вернемся.

Даже если вы успешно скачали образ дистрибутива, не стоит облегченно вздыхать и расслабляться. Попытка записать iso-образ на флешку стандартными UltraISO и Unetbootin не принесут ничего хорошего ни вам, ни самому носителю. Установить систему с такой записи не удастся. Поэтому создавать загрузочный USB рекомендуется в ALT Media Writer или дружественных SUSE Studio Imagewriter и ROSA Image Writer. Скачайте вдобавок одну из этих программ. Только тогда образ запишется без проблем и позволит приступить к установке системы.

Российские Linux-дистрибутивы: часть первая, ALTернатива и горькие ошибки прошлого. Рис. 1

Изрядно расстроившись невозможностью работать в привычном Unetbootin и кое-как запилив загрузочную флешку, мы можем приступать к установке системы. Приняв решение смело, бескомпромиссно и откровенно высказывать разработчикам все свои важные замечания и бесценные советы, мы сможем самоутвердиться и заодно компенсировать моральные страдания от использования непривычных приложений.

Несмотря на то что ALT Linux является отечественной ОС, меню инсталляции стартового набора P9 предпочитает английский язык. Тем любимцам фортуны, которые успели осмыслить происходящее и нажать на клавишу F2, повезет, и они смогут пройти меню установки на русском. Более м-м-м. сообразительные будут общаться с установщиком на английском, что не всегда способствует взаимопониманию. Самые-самые альтернативно одаренные могут несколько раз перезагружать компьютер, чтобы понять, как изменить языковые настройки. Мой личный рекорд — три перезагрузки.

Для установки на HDD или SSD обязательно загрузить систему в режиме LiveCD. Поначалу очень трудно понять, что именно требуется сделать. Первым пунктом меню идет загрузка системы с жесткого диска, и неопытный пользователь может долго размышлять о том, почему система отказывается грузиться и вместо нее вылезает старая добрая Windows.

Впрочем, что это мы все о грустном, да о нем же. Есть в ALT Linux Starterkit и приятные моменты: например, отсутствие попсового разноцветного центра приложений со скринами и отзывами пользователей.

Российские Linux-дистрибутивы: часть первая, ALTернатива и горькие ошибки прошлого. Рис. 2

Вместо него имеется суровый менеджер пакетов Synaptic, в котором все эти ваши картинки и мишура отсутствуют напрочь, зато более чем достаточно настраиваемых опций и параметров. Для пользователя, понимающего, что ему нужно, — вещь незаменимая. Именно с его помощью удалось установить сервер печати CUPS и, следуя инструкциям, найденным в ALT Linux Wiki, — драйверы для принтера Xerox Phaser 6022. Скажу больше: драйверы не просто установлены, они еще и работают! Доказательство тому — фото тестовой страницы.

Российские Linux-дистрибутивы: часть первая, ALTернатива и горькие ошибки прошлого. Рис. 3

Кстати, вы обратили внимание на предупреждение о тщательном выборе образа для скачивания, выделенное жирным шрифтом? Правильный выбор очень много значит. Иначе вы можете повторить мой путь. Потому что несколько дней подряд, сам того не понимая, я с маниакальным упорством тестил сборку, которая изначально предполагалась для системных администраторов и разработчиков. Пытался отыскать простоту интерфейса и дружелюбность к новичкам, не уставая удивляться полному отсутствию оных. И только хлопал глазами, глядя на аскетичный набор предустановленных приложений.

ALT Workstation

Оказывается, установщик вполне корректно определяет уже существующие системы и не претендует на их пространство.

Меню установщика сразу использует русский язык, а весь процесс предельно ясен и прост.

Удаление разделов, их создание и форматирование происходит без каких-либо затруднений.

Очень интересно реализован выбор приложений, устанавливаемых вместе с дистрибутивом: указана общая группа, к которой относится ПО, и предоставлена возможность выбора нужного именно вам.

Такое решение позволяет еще на этапе установки ОС оценить необходимое для этого пространство и не тратить время на удаление ненужных приложений после инсталляции.

Во время установки ОС экран традиционно используется как рекламный баннер с важными сведениями о системе. И между прочим, он не бесполезен. Именно оттуда мне стало известно об очень полезном проекте BaseALT Education .

Российские Linux-дистрибутивы: часть первая, ALTернатива и горькие ошибки прошлого. Рис. 4

Так, для получения более удобных для скриншотов мне пришлось изменить размер шрифтов. Подобное изменение занимает не более минуты.

Меню приложений встречает нас теми самыми приложениями, которые мы выбрали при установке. Если что-либо было забыто, всегда есть возможность установить необходимое.

Это необязательно делать с помощью сурового установщика RPM-пакетов или Synaptic.

Российские Linux-дистрибутивы: часть первая, ALTернатива и горькие ошибки прошлого. Рис. 5

Разноцветный и гламурненький Центр приложений тоже доступен и прекрасно работает. Как впрочем, и все остальные, необходимые для комфортной работы приложения.

Система действует стабильно, никаких вылетов и произвольных перезагрузок замечено не было.

А в нем еще подменюшки с простыми пояснениями, примитивными картинками и БОЛЬШИМИ указателями.

Хочешь скачать c FileZilla? ⇛ Двигай сюда.

Желаешь торрент? ⇛ Кликни здесь.

Системный администратор? ⇛ Это там.

Будет очень жаль, если новичок заглянув к вам, не найдет нужной информации. Или как я, скачает не то, что было нужно.

Читайте также: