Как устанавливать программы в astra linux. Astra Linux: как самостоятельно приступить к практическому изучению

Россия, как известно, родина слонов. А также ракетных комплексов, подводных лодок, танков и, как оказалось, не менее бронированных операционных систем. Если ты рубишь в ИБ и живешь в России, то это как раз тот вид вооружений, которым ты можешь интересоваться и даже гордиться. Astra Linux SE - одна из таких ОС. Наш автор Евгений Лебеденко - специалист по таким системам, так что приготовься взглянуть на безопасность в Linux с самой серьезной стороны!

Операционные системы сегодня - это не просто набор служебных функций, который позволяет компьютеру работать. Операционки стали играть огромную роль в мире потребительской электроники: Microsoft приспосабливает Windows для всех возможных устройств, Apple экспериментирует с интерфейсом мобильных и десктопных систем, Google развивает Android и одновременно превращает в операционную систему Chrome.

В корпоративной среде прогресс ОС тоже идет по полной: программно-конфигурируемые сети (SDN), виртуальные серверы, глобальные и частные облака. Здесь на первый план выходит не юзабилити, а защищенность и соответствие жестким требованиям к безопасности.

Есть и еще одна область, в которой защита превыше всего, - это ОС для государственных и военных нужд. Это еще один параллельный мир операционных систем - безумно консервативный, но и в нем существует прогресс. Причем не только за рубежом, но и у нас. Показательный пример - это дистрибутив Astra Linux SE.

Пять лет. Полет нормальный

Astra Linux - не единственный российский защищенный дистрибутив. Есть и другие, и все они успешно прошли проверку в органах сертификации и нашли свои рыночные ниши. Детище НПО «РусБИТех» - не исключение. Astra Linux SE с завидной регулярностью получает сертификаты соответствия в системах сертификации ФСТЭК, Министерства обороны и ФСБ. Действующие на настоящий момент версии имеют «срок годности» до 2018 года.

На основе Astra Linux развернуты и функционируют десятки информационных систем - как в государственных, так и в коммерческих структурах. Среди них, например, такие крупные, как защищенная платформа для государственной автоматизированной системы гособоронзаказа.

Astra Linux отметился и в популярной ныне теме импортозамещения. Вполне вероятно, что органы госвласти самого «санкционированного» российского региона - Республики Крым - будут использовать эту ОС в качестве базы для своей инфраструктуры ИТ. В общем, менеджерам «РусБИТех» есть чем гордиться. Но нас, конечно, больше всего интересуют не те достижения, что связаны с продажами и историями успеха.

Первый релиз Astra Linux вышел в конце 2009 года. С тех пор дистрибутив совершенствуется, следуя за основной веткой Debian, но при этом разработчики не забывают о главном - повышенной безопасности. Предприятие «РусБИТех» неплохо оснащено научными кадрами и при этом ведет активное сотрудничество с вузами и исследовательскими институтами, которые специализируются на информационной безопасности.

Черты, которые делают Astra Linux 1.4 уникальным, относятся как раз к этой теме. В фирменной подсистеме безопасности PARSEC используется формальная модель разграничения доступа. Она была разработана в Институте криптографии, связи и информатики Академии ФСБ России, а в оценке качества принял участие Центр верификации ОС Linux Института системного программирования РАН. Реализация этой модели в Astra Linux SE ведется поэтапно, и в версии 1.4 добавлена большая ее часть, но еще не последняя.

MAC в LSM. Далеко не фастфуд в управлении доступом

Прежде чем разбирать модель разграничения доступа в Astra Linux SE 1.4, следует вспомнить некоторые основы. Очевидно, что пользователям информационных систем требуется доступ к данным, а также к набору механизмов ОС, которые обеспечивают этот доступ, - например, к файловым системам и стекам сетевых протоколов.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.

Время от времени я тестирую "русские" дистрибутивы Linux. Так то я поклонник Live дистрибутивов, но в этот раз будет обзор дистрибутива с установкой на жесткий диск. По той простой причине, что у компании "РусБИТех" нет Live варианта дистрибутива Astra Linux Common Edition.

Итак, сегодня в меню Астра Линукс, которая, далее цитата с их сайта:

"Представляет собой операционную систему класса Linux, функционирующую на аппаратной платформе с архитектурой x86-64, включающую в свой состав компоненты свободного программного обеспечения и авторские решения разработчиков операционной системы Astra Linux Common Edition, позволяющие расширить возможности ее применения в качестве серверной платформы или на рабочих местах пользователей."

Ложка первая

Установка прямо с дегтя началась. Первое что выдает установщик это лицензионное соглашение и запрос на согласие с этим соглашением. Прямо как в Windows:)

В принципе ничего страшного в этом нет. То же самое например в другом "русском" дистрибутиве - Альт Линукс. Но здесь проблема в том, что в лицензионном соглашении РусБИТех есть ограничения: запрет на декомпиляцию и запрет на аренду и видимо на продажу (пункты 3.1.1 и 3.1.2 их лицензионного соглашения).

Нет, конечно, каждый разработчик ПО имеет право сам решать на каких условиях предоставлять свою программу. Но свою. А не чужую.

А тут ребята взяли код дистрибутивов Ubuntu и Debian, добавили немного своего кода и на все это в целом накладывают свои запреты.

А между тем дистрибутивы Ubuntu и Debian отличаются как раз тем, что трепетно относятся к свободе распространения ПО. Настолько трепетно, что все программные пакеты под ограничивающими лицензиями, у них выделены в отдельные репозитарии. Чтобы каждый пользователь видел - вот здесь свободное ПО, а вот здесь несвободное.

И большая часть кода дистрибутивов Ubuntu и Debian распространяется как раз свободно, под лицензией GNU GPL, в которой нет запретов ни на продажу, ни на аренду ни на декомпиляцию кода. В контексте ОС GNU Linux само понятие декомпиляция это бред. Поскольку любые программы ОС GNU Linux распространяются в исходных кодах. То есть добывать исходный код при помощи декомпиляции бинарного кода не нужно:)

Именно это - наличие исходных кодов и отсутствие запретов на их использование - позволило ребятам из РусБИТех создать "свою" операционную систему. И к слову сказать - сами они со спокойной совестью продают чужой код (код дистрибутивов Ubuntu и Debian) в своей версии Special Edition. А нам, конечным пользователям, запрещают это делать. Нормально, да:)

Хотел бы я посмотреть на этих "программистов", если бы в сообществе GNU Linux были вот такие запреты - на использование исходных кодов например. Как бы они получили "свою" ОС при таком раскладе? Неужели написали бы целую ОС сами? :)

Заканчивая эту тему.

Было бы правильно, с их стороны, указать перечень программ которые они действительно сами написали, с нуля, и вот это свое лицензионное соглашение привязать к этим программам и только к ним.

Не присваивая себе результаты труда тысяч людей из разных стран мира:)

За пример нормального лицензионного соглашения можно взять те, которые предлагают команды Альт Линукс и Роса Линукс на свои дистрибутивы. Там свободные и несвободные компоненты дистрибутива разграничены и ограничений на свободные компоненты нет. А в дистрибутиве Роса Линукс разработчики и свой код тоже под лицензией GNU GPL распространяют.

Ложка вторая - внешний вид

Снова о дегте. На этот раз речь пойдет о дизайне. При первом же входе в установленную систему, при первых движениях в ней, становится ясно - эклектичный дизайн Астра Линукс это смесь стилей Windows XP и Linux KDE. Вообще смешение стилей оформления это известный прием. Но тут проблема в том, что люди, которые создавали дизайн графической среды Астра Линукс, непрофессиональны. И в результате внешний вид графической среды Fly производит удручающее впечатление.

Если вы живете в г. Краснодар и страстно хотите установить Astra Linux - звоните, пишите:

Иван Сухов, 2015, 2018 г .

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354 . Или на телефон +7 918-16-26-331 .

Даже небольшая сумма может помочь написанию новых статей:)

Насчет "отечетсвенности" сказано с некторой натяжкой, поскольку разработана на основе Debian.
Но зато имеет важное отличие – сертификат по безопасности от ФСБ, о котором сказано следующее: "...На сегодняшний день «Astra Linux Special Edition» – это единственная в России операционная система, сертифицированная во всех трех системах сертификации средств защиты информации (ФСБ, Минобороны, ФСТЭК), позволяющая обрабатывать информацию ограниченного доступа, включая сведения, составляющие государственную тайну до степени секретности “совершенно секретно” включительно".
Разрешение на допуск к разработке совершенно секретных данных – это, конечно, круто, если не ошибаюсь – круче, чем NT.

Для русского патриота, которого коробит даже от мысли о возможном сливе информации в АНБ через вражеские ОСи, Astra Linux может оказаться настоящей находкой.

Но что скажут об этой ОС обитатели pgpru.com? Может, у кого-то уже есть опыт ее использования, отзывы, как насчет совместимости с репозитариями от Debian и допустимы ли они без потери достигнутой безопасности?

Потому что по описанию на сайте Astra выглядит кучеряво, а вот как оно на самом деле...

PS. Есть еще ОС "РОСА", но по отзывам, специалисты ее почему-то не очень жалуют.

Astra Linux Common Edition (релиз «Орел») является «гражданским» аналогом основного продукта линейки операционных систем компании РусБИТех — операционной системы в погонах Astra Linux Special Edition (релиз «Смоленск»). Если распространение ОС специального назначения ограничено, то дистрибутив версии общего назначения доступен для загрузки.
Согласно описанию с страницы дистрибутива Astra Linux CE:

представляет собой операционную систему класса Linux, функционирующую на аппаратной платформе с архитектурой x86-64, включающую в свой состав компоненты свободного программного обеспечения и авторские решения разработчиков операционной системы Astra Linux Common Edition, позволяющие расширить возможности ее применения в качестве серверной платформы или на рабочих местах пользователей.

В статье описан личный опыт использования Astra Linux CE в качестве «домашней» операционной системы.
Примечание: Автор не имеет отношения к компании — разработчику.

Получение дистрибутива

Образ дистрибутива можно скачать с официальной страницы загрузки .

Установка

Исчерпывающая инструкция по установке находится в руководстве по установке (pdf) . В нем описаны все опции и параметры инсталляции. В более лаконичном виде руководство в html формате находится в дистрибутиве (install-doc/index.html). В самом простом варианте установка в графическом режиме представляет последовательное нажимание кнопки «Продолжить».

Операционную систему можно установить с USB накопителя. На каждом экране установки есть возможность сделать скриншот и сохранить его на USB, с которого ставится операционная система.

Замеров времени установки не выполнял, но по субъективным ощущениям установка проходит довольно быстро.
Большинство выполняемых действий типичны для процесса установки *nix систем. Для интересующихся — под спойлером пошаговые скриншоты.

Этапы графической установки

После установки остался один неясный момент: где ввод пароля для суперпользователя? Просмотрев справочное руководство такую форму нашел, но по факту она не появлялась в процессе установки. Пришлось потом в режиме восстановления создать учетную запись root.

Загрузка операционной системы и вход в систему

Загрузчик GRUB с фирменным background-ом. Во время запуска системы стартует серверная fly-dm и графическая часть fly-qdm оболочки.
Все приложения, имеющие префикс fly- являются разработками авторов дистрибутива. Большинство из них имеют мнемонические сокращения (например fly-fm — файловый менеджер, fly file manager).

Рабочий стол

В левой части панели задач находятся кнопки вызова стартовой меню-панели Fly, кнопка сворачивающая/разворачивающая все окна, кнопка включения режима выбора рабочего стола, кнопка отображения переключателя окон и схематическое изображение рабочих столов.

Набор панели задач справа зависит от текущих запущенных программ, но в общем случае содержит менеджер сетевых соединений fly-admin-wicd , утилиту проверки обновлений fly-update-notifier , регулятор громкости QasMixer, индикатор/переключатель раскладки клавиатуры fly-xkbmap , часы fly-admin-date . При подключении USB-накопителя появляется пиктограмма, кликнув по которой можно монтировать накопитель и открыть содержимое в файловом менеджере fly-fm или Midnight Commander.

Справочная система

Вызвав ту или иную программу fly и нажав F1 можно получить справку по данной программе. Справка отображается в программе Qt Assistant. По древовидной структуре возможно перейти к любой программе. Все программы разбиты на разделы.

Горячие клавиши

Почти все горячие клавиши выполняют действия, аналогичные (или схожие) с таковыми в MS Windows. Например, нажатие клавиши Win открывает панель-меню. Alt+tab отображает переключатель окон. Win+D сворачивает все окна, а повторное нажатие Win+D разворачивает окна (но при этом их порядок уже меняется — они разворачиваются от первого до последнего согласно их очередности в панели задач), Win+E открывает менеджер файлов fly-fm.
Полное описание горячих клавиш находится в справочной системе.

Терминал Fly

Терминал Fly — это графическая оболочка для командного интерпретатора bash 4.2.37(1).

Терминал позволяет создавать сессии в новых вкладках, которые нумеруются по мере их открытия. Вкладки можно переименовывать. В ниспадающем меню в панели задач можно выбрать команду из заранее определенного списка (если совсем лень руками вводить). Содержимое данного меню можно настроить, добавив свои команды и переопределив порядок размещения команд. Для терминала можно выбрать одну из предустановленных цветовых схем, или задать свою.
Выделив текст можно нажать правой кнопкой мыши и в появившемся контекстном меню выбрать необходимое действие.

Офисные средства

Офисные средства представлены пакетом LibreOffice 4.2.4.2, словариком GoldenDict, программой просмотра pdf qpdfviewer, а также текстовым редактором JuffEd.

Файловый менеджер fly-fm

Файловый менеджер внешне очень напоминает «Проводник» из мира Microsoft.

В fly-fm директории можно открывать как в отдельных окнах, так и в новых вкладках. Расположение «Избранное» позволяет добавить ссылки на каталоги, для этого необходимо перейти в нужную директорию, щелкнуть правой кнопкой по Избранному и выбрать «Добавить текущее местоположение в Избранное». Только на деле эта возможность порой оказывается бесполезной, так как в строке адреса и на вкладке отображается путь в виде «Избранное/sdk» и если мы добавим в «Избранное» еще одну директорию «sdk», то их адрес будет выглядеть одинаково.

С помощью fly-fm можно непосредственно подключать директории FTP, для этого соответствующий адрес нужно ввести в адресную строку. FTP-директория появится в расположении «Сеть».

Чтобы открыть терминал в текущей директории, можно выбрать Сервис->Открыть терминал, при этом текущей директория станет та, которая является текущей в fly-fm.

Создать новый файл можно в любой (доступной) директории, выбрав из контекстного меню соответствующий пункт.
Заметка: в предыдущей версии ОС в fly-fm был досадный недостаток — невозможно было скопировать файл в ту же директорию — менеджер предлагал заменить его самим же собой. В текущей версии к имени файла добавляется текст вида «Копия файла (1)».

Мультимедиа

Мультимедийные средства представлены следующими программами:

VLC Media Pleer
QasMixer
Audacity
Clementine
guvcview
Видеокамера (fly-videocamera)
Звукозапись (fly-record)
Запись дисков (fly-cddvdburner)

Для установленной на ноутбуке web-камеры в Astra драйверов не нашлось.

Средства работы с графикой

В разделе меню «Графика» имеются ярлыки для программ:

EasyPaint
Inkscape
Работа с изображениями (fly-image)
Распознавание текста (fly-ocr)
Сканирование (fly-scan)
Снимок экрана (fly-snapshot)
Фотокамеры (fly-photocamera)

Из всего этого набора пользовался только GIMP и fly-snapshot. про GIMP ничего не могу сказать, а fly-snapshot настолько прост, что в большинстве случаев годится только для захвата экрана и последующей передачи изображения в GIMP. Если область, которую необходимо обрезать, в высоту занимает значительную часть, то ее становится невозможно обрезать инструментом «прямоугольная обрезка» а инструмента «crop» (обрезки) перетягиванием границ в этой программе нет. Надеюсь со временем появится скриншотер, который сможет автоматически делать скрин по геометрии окна.

Также среди стандартных программ для работы с графикой лично мне не хватает color picker"а. Пришлось устанавливать gpick из репозитория Debian Wheezy.

Настройки

Описание всех программ, для настройки системы заняло бы непозволительно много места, поэтому я просто приведу скриншот данного раздела панели-меню Fly, которое вызывается при нажатии на красную звезду в левой нижней части экрана.

Программы из раздела «настройки» позволяет вносить большинство необходимых изменений в конфигурацию системы исключительно в оконном режиме (в рамках, ограниченных их функционалом).

Средства разработки

Создание fly-приложений регламентируется Руководящими указаниями по конструированию прикладного программного обеспечения для операционной системы общего назначения «Astra Linux Common Edition» (pdf) . В данном документе перечисляются все инструментальные средства разработки, имеющиеся в системе.

Основным фреймворком для разработки под Astra Linux является Qt 4.8.6 для версии 1.9 и 4.8.6/5.3.0 для версии 1.10. Выбрав при установке астры 1.10 пункт «Средства разработки» будет установлен только набор для Qt 5.3.0, для 4.8.6 необходимо установить пакет libqt4-dev.

Ниже представлено содержимое вкладки «Разработка» стартовой панели-меню.

Заключение

Рекомендовал бы я ставить Astra Linux Common Edition в качестве дексктоп-системы простого пользователя? Скорее нет, чем да, если только у вас нет на то необходимости/заинтересованности.

Вся особенность и собственно причина создания Astra Linux (на мой взгляд) заключена в его специализированной версии. Изначально этот дистрибутив не создавался для домашних пользователей. Можно посмотреть страницу с перечнем совместимого оборудования и понять, что у большинства пользователей «со стороны» установивших систему на свое оборудования будут проблемы с совместимостью (на ПК пришлось устанавливать проприетарный драйвер Nvidia для дискретной карты (так как c nouveau были проблемы с отображением), на ноутбуке — драйвер для Wi-Fi).

Но меня радует, что система активно развивается, устраняются недочеты, которые были в предыдущих версиях. Надеюсь, что в следующем релизе система станет еще лучше.

Предотвратить утечку информации проще, чем разбираться с ее последствиями. Поэтому, если вы ведете работу с данными ограниченного распространения, то не стоит откладывать вопросы обеспечения информационной безопасности в долгий ящик. Сегодня сайт расскажет о «бронированной» операционной системе Astra Linux от российского производителя, которая может стать неоценимым помощником в защите данных, особенно тех, которые находятся под грифом «совершенно секретно».

Что такое Astra Linux?

Astra Linux Special Edition - это операционная система специального назначения, используемая для обработки как открытой информации, так и всех видов информации ограниченного доступа: персональных данных, конфиденциальной, содержащей служебную, банковскую и государственную тайну до степени секретности «совершенно секретно» включительно. А почти восьмилетний опыт практической эксплуатации показал, что данная ОС успешно используется не только в государственных и силовых ведомствах, но и в банковском, коммерческом и других секторах экономики.

Данная операционная система – это «детище» ОАО «НПО РусБИТех» – научно-производственного объединения, которое осуществляет разработку и создание средств защиты информации, ситуационных центров принятия решений и сложных систем моделирования окружающей обстановки в режиме реального времени. Чего стоит один только Национальный центр управления обороной Российской Федерации , который появился не без участия специалистов ОАО «НПО РусБИТех». К слову, на этом деятельность компании не заканчивается. Подробности о производителе можно прочитать .

А зачем нам «новый велосипед»?

Таким вопросом задаются почти все, кто слышит про новый релиз на основе ОС Linux.

Действительно, на данный момент существует большое количество операционных систем, которые обладают выдающимися возможностями по «юзабилити» и функционалу. Однако, когда дело доходит до безопасности информации, то выясняется, что никто не имеет представления, как все это устроено «изнутри». Есть ли там «закладки» и «спящие механизмы», которые по команде «хозяина» могут парализовать или саботировать работу всей информационной инфраструктуры любой организации.

Проблема осложняется еще и тем, что на уровне приложений существует огромное количество уязвимостей и «багов» (как преднамеренно введеных на этапах отладки, тестирования и разработки, так и просто по незнанию разработчика и применению новомодных технологий). Данные уязвимости и служат «плацдармом» для хакеров, которые используют их для организации атак на всю ИТ-инфраструктуру организации.

Учитывая все вышеперечисленные проблемы, многие крупные корпорации и даже целые государства занимаются разработками собственных дистрибутивов ОС.

Так как ОАО «НПО РусБИТех» прежде всего была ориентирована на ВПК, то вопросы безопасности ставились на первый план.

Дистрибутив Astra Linux является официальной веткой Debian, который не просто свободен от множества лицензионных органичений, но и является независимым от какой-либо государственной юрисдикции. К слову сказать, ОАО «НПО РусБИТех» является полноценным серебрянным партнером сообщества The Linux Foundation , официально финансирует и участвует в развитии комьюнити Linux.

Механизмы безопасности

Все механизмы безопасности были спроектированы и реализованы с нуля. В основу легли многолетние научные разработки в области контроля информационных потоков в защищенных информационных системах с мандатным и ролевым управлением доступа. (Для желающих проникнуться, можно ознакомиться с патентом № RU 2 525 481 C2 или учебным пособием с обилием технических деталей и практики).

Благодаря собственным разработкам в области средств защиты, дистрибутивы ALSE ежегодно проходят самые жесткие исследования исходных кодов на недекларируемую функциональность. На данный момент ALSE сертифицирована во всех системах сертификации информационной безопасности РФ.

В дополнение к этому, разработчик ALSE обратился в Центр верификации операционной системы Linux при Институте системного программирования РАН РФ для математической верификации формальной модели безопасности, используемой в ОС. Это было сделано, чтобы подтвердить соответствие математической модели безопасности и ее реализации в ОС и, тем самым, дополнительно исключить всякого рода недокументированные возможности в исходных кодах ALSE. К слову сказать, аналогичных центров и методик исследований вообще нет в странах СНГ.

К слову, ALSE находится в одном шаге от завершения сертификации по профилю защиты для операционных систем типа «А» по 2-му классу защиты. Если говорить простым языком, то это аналог 5-го уровня по общим критериям безопасности в ИТ (наиболее близкий документ ISO/IEC 15408).

Учитывая все вышеперечисленное, можно сказать, что были предприняты беспрецедентные меры по тестированию ALSE на безопасность. Планка была поднята настолько высоко, что ни один мировой разработчик операционных систем пока не смог достичь такого уровня проверок безопасности на просторах стран СНГ.

Какие есть особенности в ОС Astra Linux SE ?

Более подробно об особенностях ОС ALSE можно почитать .

Остановимся на тех, которые бросаются в глаза:

1) Производитель ОС ALSE вышел за рамки разработки только ОС. Сейчас из «коробки» вы получаете сразу все необходимые сервисы для ИТ-инфраструктуры предприятия: как на стороне клиента, так и на стороне сервера.

Такой подход позволяет максимально закрыть все потребности в жизненно необходимых сервисах без приобретения дополнительного ПО. По нашей статистике, на этом можно существенно сэкономить на лицензионных отчислениях от 300% до 400%. При этом основное прикладное ПО уже сертифицировано на безопасность.

2) Всей информации, попадающей в систему, присваивается уровень конфиденциальности. Кроме этого, все носители информации, включая переносимые, также категорируются по уровням конфиденциальности. Поэтому, если носителя информации нет в базе соответствующего уровня доступа, то вы просто не сможете туда записать информацию. Если вы захотите вывести документ на печать, то ваш документ попадет в защищенный комплекс печати и маркировки документов. Здесь по настроенному шаблону будет сформирован штамп, отражающий степень секретности, ФИО, дату и другие данные о печатающем лице. Это позволяет значительно упростить работу с бумажным делопроизводством в соответствии с утвержденными регламентами и политиками безопасности (ПБ) по ИБ.

Данный функционал прекрасно вписывается в современную парадигму управления ИБ по ISO/IEC серии 27000 и других нормативных актов, специфических для юрисдикций стран СНГ.

3) Ещё одним интересным компонентом является механизм внедрения мандатных меток в пакеты протокола IP по RFC 1108. Это позволяет применять мандатный контроль доступа к сетевым соединениям (сокетам). При этом метка сокета наследуется от субъекта (процесса).

4) Все приложения, которые входят в дистрибутив ОС ALSE, поддерживают механизмы мандатного контроля доступа. Это позволяет создать единую среду безопасности, включающую ОС и основное ПО. Поэтому вы получаете не только защищенную ОС, но еще и защищенные приложения.

5) Все понимают, что когда дело доходит до средних и крупных сетей, на первый план выходит задача централизованного управления. Для этих целей в ОС ALSE был разработан домен Astra Linux Directory (ALD).

ALD позволяет для всех связанных сетевых ресурсов и пользователей создать единую систему идентификации и аутентификации с централизованным управлением ПБ в соответствии с правилами мандатного разграничения доступа. Это существенно упрощает управляемость ИТ-инфраструктурой без потери контроля над безопасностью.

6) В настоящее время невозможно представить крупную компьютерную сеть, состоящую из однотипного оборудования. Производители ОС всегда сталкиваются с проблемой поддержки нового оборудования. Иногда процесс повсеместного внеднения Linux-подобных ОС тормозится тем, что не все производители «железа» предоставляют драйвера под Linux.

ОС ALSE прошла 10-летний путь разработки драйверов под разнотипную технику: от планшетов до мэйнфрэймов. Были найдены взаимопонимание и прямой контакт даже с такими вендорами, как HP, Dell, IBM, Huawei, Samsung и другими. Хотя нужно признать, работы в этой области еще очень и очень много, т.к. 60% работ над каждым новым релизом ОС занимает поддержка новых драйверов.

7) Разнотипное оборудование создает еще одну проблему – это поддержка ОС разнотипных аппаратных платформ. На данный момент ОС ALSE работает на 6 различных аппаратных платформах: x86-64, ARM, System Z, Power PC, MIPS, Эльбрус (в режиме совместимости).

8) Защищенная графическая система FLY предотвращает реализацию угроз нарушения конфиденциальности и целостности, запуская графический сеанс в соответствии с мандатным контекстом сесии. Еще одна интересная особенность FLY – это цветовая подкраска окна запущенного приложения в соответствии с мандатным уровнем и циферное отображение в трее мандатного контекста сессии. Это позволяет быстро увидеть, под какими полномочиями работает пользователь.

9) Контроль целостности ОС, прикладного ПО и СЗИ. ОС ALSE поддерживает контроль целостности на базе хэш-функции, как в ручном, так и в автоматическом режиме в соответствии с настроенным расписанием.

Кроме этого, реализован механизм проверки неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе ЭЦП, внедряемой в исполняемые ELF-файлы. Для разработчиков прикладного ПО под ALSE предусмотрен механизм внедрения ЭЦП в исполняемые файлы запускаемого ПО.

10) Изоляция модулей. Ядро ОС ALSE обеспечивает собственное изолированное адресное пространство для каждого процесса в системе. Такой механизм изоляции основан на страничном механизме защиты памяти, а также на механизме трансляции виртуального адреса в физический, поддерживаемый модулем управления памятью. Более подробно про данные механизмы можно почитать , либо в документации на ALSE.

11) Очистка оперативной и внешней памяти с гарантированным удалением файлов. Ядро ОС ALSE гарантирует, что обычный непривилегированный прогресс не получит данные чужого процесса, если это явно не разрешено правилами разграничения доступа.

12) Защита рабочей памяти («стек» и «куча») от выполнения. Ядро ОС СН гарантирует, что обычный непривилегированный процесс не получит данные чужого процесса, если это явно не разрешено правилами разграничения доступа. Это означает, что средства межпроцессного взаимодействия контролируются с помощью правил разграничения доступа, и процесс не может получить неочищенную память (как оперативную, так и дисковую). В ОС ALSE реализована очистка неиспользуемых блоков файловой системы непосредственно при их освобождении.

13) Средство управления политикой безопасности. Обеспечивает учет подключаемых устройств и съемных носителей в системе, установку дискреционных и мандатных атрибутов доступа пользователей к устройствам и создание дополнительных правил доступа к устройству (например, ограничение на подключение устройства только в определенный USB-порт).

14) Средства ограничения прав доступа к страницам памяти. Средства ограничения прав доступа к страницам памяти реализованы на основе набора изменений PaX для ядра операционной системы, который обеспечивает предоставление наименьших привилегий для процессов при доступе к сегментам памяти в собственном адресном пространстве.

Главной функциональной возможностью набора изменений PaX для ядра операционной системы является защита исполняемого кода в адресном пространстве. Эта защита использует технологии бита запрета исполнения в процессоре (NX-бит) для предотвращения выполнения произвольного кода.

Решаемые задачи:

интеграция с ядром ОС ALSE и базовыми библиотеками для обеспечения разграничения доступа
запрет создания исполняемых областей памяти
запрет перемещения сегмента кода
запрет создания исполняемого стека
рандомизация адресного пространства процесса

Набор изменений PaX предотвращает выполнение произвольного кода на основе контроля доступа к сегментам памяти следующих типов: «чтение», «запись», «исполнение» – или их комбинации. Комбинация «запись» и «исполнение» запрещена.

Все выполняемые операции требуют привилегий пользователя root .

Astra Linux использует для конфигурирования сетей собственную утилиту wicd . В общем, она довольно удобна, но у неё есть фатальный недостаток - её писали не мы сеть не будет работать до авторизации пользователя в системе. Для обычных компьютеров в этом нет ничего страшного, однако, для сервера это большая проблема, так как иногда его приходится перезагружать по SSH.

Пусть компьютеры будут находиться в сети с адресами 192.168.0.XXX , где вместо XXX - число от 1 до 254.

Настройка осуществляется путем правки файла /etc/network/interfaces . Каждый сетевой интерфейс (сетевая карта, хотя это не совсем точное название) настраивается отдельно. Настройки для сервера выглядят так:

/etc/network/interfaces

Auto lo eth0 iface lo inet loopback iface eth0 inet static address 192.168.0.1 netmask 255.255.255.0 gateway 192.168.0.1 # В качестве шлюза - наш сервер с IP=1 network 192.168.0.0 # Указываем сеть, это обязательно для работы в составе ALD broadcast 192.168.0.255 # Сервер ALD начиная с Astra 1.5 выводит ошибку, если не видит # этого параметра в настройках сети. dns-nameservers 192.168.0.1

Первая строчка auto lo eth0 указывает, какие интерфейсы должны быть запущены при загрузке ОС. Отмечу, что локальная петля lo должна присутствовать там в любом случае.

Пропустим описание локальной петли и сразу перейдем к сетевому интерфейсу.

iface	Ключевое слово, говорящее о том, что дальше будет описание сетевого интерфейса
eth0	Указываем, что данный сетевой интерфейс должен быть привязан к сетевой карте eth0. Посмотреть список карт можно командой: lshw -class network
inet	Указываем, что это будет настройка сети.
static	При этом все настройки будут указаны вручную.
address	IPv4-адрес компьютера
netmask	Маска подсети.
gateway	Шлюз, т. е. IP-адрес, через который идёт подключение к интернету. Обычно на сервере указывают адрес, выданный провайдером, но в нашем случае (закрытый от мира сегмент) пусть будет 192.168.150.1, т. е. компьютер обращается сам к себе.
dns-nameservers	Список разделенных пробелами IP-адресов DNS-серверов. Полезно при разворачивании ЕПП под управлением Astra Linux и настройке приложения bind.

На клиентских компьютерах настройки следует выполнить аналогичным образом, меняя только четвёртый октет в поле address .

На этом настройка не заканчивается. Теперь нужно отключить автозапуск встроенных утилит и остановить уже запущенный экземпляр службы wicd, после чего перезапустить службу поддержки сети.

Service wicd stop chkconfig wicd off rm /etc/xdg/autostart/fly-admin-wicd.desktop service networking restart