Игры для astra linux установить. MAC в LSM. Далеко не фастфуд в управлении доступом. Загрузка операционной системы и вход в систему
Astra Linux - нишевое решение, предназначенное для государственных служб и крупных компаний с особыми требованиями к обеспечению информационной безопасности. СМБ или домашнему пользователю этот дистрибутив вряд ли интересен с практической точки зрения. Откровенно бедный репозиторий, крайне консервативная политика обновлений, уникальное и ни на что не похожее рабочее окружение...
На первый взгляд, даже непонятен смысл существования версии Astra Linux Common Edition, доступной для загрузки всем желающим. Зачем обычному пользователю, не обременённому необходимостью применять исключительно сертифицированные решения, нужна система с массой ограничений и неудобств? Тем не менее, резон в установке и изучении этого решения есть.
По ряду причин именно Astra Linux - главный кандидат на реализацию программы импортозамещения. Не исключено, что именно эта система через некоторое время будет активно использоваться в государственном секторе и крупных компаниях.
Поэтому знание Astra Linux может стать некоторым конкурентным преимуществом при трудоустройстве в такие учреждения. И, в любом случае, поможет быстрее приступить к работе, если даже на собеседовании этот вопрос не будет затронут.
Разумеется, в данном случае речь идёт о обычном пользователе системы, а не администраторе, которому вряд ли стоит уповать исключительно на самообразование, а не на специальные курсы. Тем более, что даже умение работать в Linux - не гарантия «быстрого старта» с Astra Linux. Причина этому - необычный и ни на что не похожий рабочий стол Fly, разработанный специально для этого дистрибутива.
Эта особенность решения - вовсе не следствие стремление разработчиков к самовыражению, а необходимость, вызванная повышенными требованиями к безопасности системы. К сожалению, привычные рабочие окружения этим требованиям не удовлетворяют.
Очевидно, что наиболее эффективный способ освоить десктопное окружение - использовать его на практике для решения своих повседневных задач. Для этого есть два пути.
Первый - использовать систему «как есть». Что не совсем удобно из-за чрезвычайно скудного репозитория, в котором наверняка не найдётся нескольких привычных приложений. А программы не имеют никакого отношения к интерфейсу Fly.
Второй - попробовать «обустроить» систему если не до состояния удобства, то хотя бы до приемлемого с точки зрения юзабилити уровня. Наверное, именно его и следует выбрать.
Однако, к сожалению, версия Common Edition не лишена ряда ошибок и просто неудачных для обучения решений. Поэтому, сперва придётся немного поработать, чтобы «довести систему до ума».
Впрочем, даже её установка потребует от пользователя определённой смекалки. Дело в том, что в программе инсталляции неверно указан репозиторий. Для того, чтобы процесс завершился успешно, требуется ввести корректные адреса: mirror.yandex.ru/astra/frozen/orel/1.10/repository/ для фиксированной версии или mirror.yandex.ru/astra/current/orel/repository/ для текущей.
Пользователей также наверняка смутит требуемая длина пароля - не менее восьми символов. С точки зрения ИБ это правильно и обоснованно, но для обучения это совершенно не обязательно. Поэтому нет разумных препятствий для того, чтобы сократить пароль до удобного пользователю размера.
Для этого следует открыть файл /etc/pam.d/common-password, где в строке «password pam_unix.so obscure sha512» удалить слово «obscure» и дописать «minlen=N» (N - желательное число символов в пароле). Затем можно сменить пароль командой passwd.
После этой небольшой и необязательной разминки (в конце концов, к длинным паролям тоже неплохо бы привыкнуть, чтобы потом не чувствовать от этого дискомфорта) предстоит разобраться с серьёзной ошибкой локализации, в чём легко убедиться, введя команду locale -c. Или нажать на правую кнопку тачпада и увидеть «пустое» контекстное меню. Наконец, можно просто попробовать набрать русские буквы в консоли и посмотреть, что из этого получится.
Исправляется эта ошибка следующим образом. Сначала потребуется установить русскую локаль командой localedef ru_RU.UTF-8 -i ru_RU -fUTF-8. А затем записать в файл /etc/default/locale следующие строки, описывающие переменные окружения:
LANG="ru_RU.UTF-8″
LC_ALL="ru_RU.UTF-8«
Обновление системы по умолчанию производится с установочного носителя. То есть, никакого обновления не будет. Активация указанного в настройках репозитория, к сожалению, завершится неудачей, поскольку и тут он указан неверно.
Хотя, вероятнее всего, даже при указании правильного адреса система сообщит, что все пакеты находятся в актуальном состоянии. Что вызовет у достаточно опытного пользователя вопросы. В частности, в Astra Linux Common Edition установлен браузер Firefox 44, тогда как актуальная версия приложения - 47-я. Это и есть тот самый консерватизм, с которым придётся смириться.
Совет пользователям, желающим установить отсутствующие в репозитории приложения дал генеральный директор АО «НПО РусБИТех» Юрий Аношко в своём интервью : «Если кому-то недостаточно программ, входящих в дистрибутив Astra Linux, можно легко подключить огромный репозиторий Debian, совместимость с которым мы обеспечиваем для расширения функциональных возможностей».
Для этого следует указать репозитории в файле /etc/apt/source.list:
deb http://mirror.yandex.ru/debian wheezy main contrib non-free
# Multimedia Wheezy
deb http://mirror.yandex.ru/debian-multimedia wheezy main non-free
Затем необходимо обновить обновить списки пакетов командой apt-get update и установить ключи репозитория командой apt-get install debian-archive-keyring deb-multimedia-keyring. После повторного обновления списка пакетов они будут доступны для установки.
Разумеется, можно устанавливать не только пакеты из репозиториев Debian, но и любые приложения, распространяемые через deb-пакеты, предназначенные для этой системы. Например, браузер Opera.
После этих операций система становится пригодной для решения большинства пользовательских задач. В том числе и практического освоения рабочего стола Fly.
Все выполняемые операции требуют привилегий пользователя root .
Astra Linux использует для конфигурирования сетей собственную утилиту wicd . В общем, она довольно удобна, но у неё есть фатальный недостаток - её писали не мы сеть не будет работать до авторизации пользователя в системе. Для обычных компьютеров в этом нет ничего страшного, однако, для сервера это большая проблема, так как иногда его приходится перезагружать по SSH.
Пусть компьютеры будут находиться в сети с адресами 192.168.0.XXX , где вместо XXX - число от 1 до 254.
Настройка осуществляется путем правки файла /etc/network/interfaces . Каждый сетевой интерфейс (сетевая карта, хотя это не совсем точное название) настраивается отдельно. Настройки для сервера выглядят так:
/etc/network/interfaces
Auto lo eth0 iface lo inet loopback iface eth0 inet static address 192.168.0.1 netmask 255.255.255.0 gateway 192.168.0.1 # В качестве шлюза - наш сервер с IP=1 network 192.168.0.0 # Указываем сеть, это обязательно для работы в составе ALD broadcast 192.168.0.255 # Сервер ALD начиная с Astra 1.5 выводит ошибку, если не видит # этого параметра в настройках сети. dns-nameservers 192.168.0.1
Первая строчка auto lo eth0 указывает, какие интерфейсы должны быть запущены при загрузке ОС. Отмечу, что локальная петля lo должна присутствовать там в любом случае.
Пропустим описание локальной петли и сразу перейдем к сетевому интерфейсу.
| iface | Ключевое слово, говорящее о том, что дальше будет описание сетевого интерфейса |
| eth0 | Указываем, что данный сетевой интерфейс должен быть привязан к сетевой карте eth0. Посмотреть список карт можно командой: lshw -class network |
| inet | Указываем, что это будет настройка сети. |
| static | При этом все настройки будут указаны вручную. |
| address | IPv4-адрес компьютера |
| netmask | Маска подсети. |
| gateway | Шлюз, т. е. IP-адрес, через который идёт подключение к интернету. Обычно на сервере указывают адрес, выданный провайдером, но в нашем случае (закрытый от мира сегмент) пусть будет 192.168.150.1, т. е. компьютер обращается сам к себе. |
| dns-nameservers | Список разделенных пробелами IP-адресов DNS-серверов. Полезно при разворачивании ЕПП под управлением Astra Linux и настройке приложения bind. |
На клиентских компьютерах настройки следует выполнить аналогичным образом, меняя только четвёртый октет в поле address .
На этом настройка не заканчивается. Теперь нужно отключить автозапуск встроенных утилит и остановить уже запущенный экземпляр службы wicd, после чего перезапустить службу поддержки сети.
Service wicd stop chkconfig wicd off rm /etc/xdg/autostart/fly-admin-wicd.desktop service networking restart
Время от времени я тестирую "русские" дистрибутивы Linux. Так то я поклонник Live дистрибутивов, но в этот раз будет обзор дистрибутива с установкой на жесткий диск. По той простой причине, что у компании "РусБИТех" нет Live варианта дистрибутива Astra Linux Common Edition.
Итак, сегодня в меню Астра Линукс, которая, далее цитата с их сайта:
"Представляет собой операционную систему класса Linux, функционирующую на аппаратной платформе с архитектурой x86-64, включающую в свой состав компоненты свободного программного обеспечения и авторские решения разработчиков операционной системы Astra Linux Common Edition, позволяющие расширить возможности ее применения в качестве серверной платформы или на рабочих местах пользователей."
Ложка первая
Установка прямо с дегтя началась. Первое что выдает установщик это лицензионное соглашение и запрос на согласие с этим соглашением. Прямо как в Windows:)
В принципе ничего страшного в этом нет. То же самое например в другом "русском" дистрибутиве - Альт Линукс. Но здесь проблема в том, что в лицензионном соглашении РусБИТех есть ограничения: запрет на декомпиляцию и запрет на аренду и видимо на продажу (пункты 3.1.1 и 3.1.2 их лицензионного соглашения).
Нет, конечно, каждый разработчик ПО имеет право сам решать на каких условиях предоставлять свою программу. Но свою. А не чужую.
А тут ребята взяли код дистрибутивов Ubuntu и Debian, добавили немного своего кода и на все это в целом накладывают свои запреты.
А между тем дистрибутивы Ubuntu и Debian отличаются как раз тем, что трепетно относятся к свободе распространения ПО. Настолько трепетно, что все программные пакеты под ограничивающими лицензиями, у них выделены в отдельные репозитарии. Чтобы каждый пользователь видел - вот здесь свободное ПО, а вот здесь несвободное.
И большая часть кода дистрибутивов Ubuntu и Debian распространяется как раз свободно, под лицензией GNU GPL, в которой нет запретов ни на продажу, ни на аренду ни на декомпиляцию кода. В контексте ОС GNU Linux само понятие декомпиляция это бред. Поскольку любые программы ОС GNU Linux распространяются в исходных кодах. То есть добывать исходный код при помощи декомпиляции бинарного кода не нужно:)
Именно это - наличие исходных кодов и отсутствие запретов на их использование - позволило ребятам из РусБИТех создать "свою" операционную систему. И к слову сказать - сами они со спокойной совестью продают чужой код (код дистрибутивов Ubuntu и Debian) в своей версии Special Edition. А нам, конечным пользователям, запрещают это делать. Нормально, да:)
Хотел бы я посмотреть на этих "программистов", если бы в сообществе GNU Linux были вот такие запреты - на использование исходных кодов например. Как бы они получили "свою" ОС при таком раскладе? Неужели написали бы целую ОС сами? :)
Заканчивая эту тему.
Было бы правильно, с их стороны, указать перечень программ которые они действительно сами написали, с нуля, и вот это свое лицензионное соглашение привязать к этим программам и только к ним.
Не присваивая себе результаты труда тысяч людей из разных стран мира:)
За пример нормального лицензионного соглашения можно взять те, которые предлагают команды Альт Линукс и Роса Линукс на свои дистрибутивы. Там свободные и несвободные компоненты дистрибутива разграничены и ограничений на свободные компоненты нет. А в дистрибутиве Роса Линукс разработчики и свой код тоже под лицензией GNU GPL распространяют.
Ложка вторая - внешний вид
Снова о дегте. На этот раз речь пойдет о дизайне. При первом же входе в установленную систему, при первых движениях в ней, становится ясно - эклектичный дизайн Астра Линукс это смесь стилей Windows XP и Linux KDE. Вообще смешение стилей оформления это известный прием. Но тут проблема в том, что люди, которые создавали дизайн графической среды Астра Линукс, непрофессиональны. И в результате внешний вид графической среды Fly производит удручающее впечатление.
Если вы живете в г. Краснодар и страстно хотите установить Astra Linux - звоните, пишите:
Иван Сухов, 2015, 2018 г .
Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354 . Или на телефон +7 918-16-26-331 .
Даже небольшая сумма может помочь написанию новых статей:)
Astra Linux - специализированная модификация дистрибутива Debian GNU/Linux , созданная для комплексной защиты информации и построения защищённых автоматизированных систем. Выпуски операционной системы носят имена городов воинской славы, имена городов-героев России и стран СНГ .
Защищённая операционная система востребована в первую очередь в российских силовых ведомствах, спецслужбах и государственных органах. Astra Linux разрабатывается ОАО "НПО РусБИТех " и обеспечивает степень защиты обрабатываемой информации до уровня государственной тайны "совершенно секретно " включительно. Операционная система сертифицирована в системах сертификации средств защиты Министерства обороны Российской Федерации , ФСТЭК и ФСБ России , включена в "Единый реестр " российских программ Минкомсвязи России .
Astra Linux выпускается в дух вариантах, в виде свободно распространяемой версии общего назначения (Common Edition) и в виде коммерческой версии специального назначения (Special Edition) предназначенной для обработки совершенно секретных документов. По заявлению разработчика "Лицензионные соглашения Astra Linux " разработаны в строгом соответствии с положениями правовых документов Российской Федерации и "международных правовых актов ", при этом не противореча духу и требованиям GNU General Public License (GNU GPL) . В цену коммерческой версии входят затраты на её сертификацию.
Astra Linux Common Edition предназначается для среднего и малого бизнеса, образовательных учреждений и персонального использования. Система предназначена для работы на аппаратной платформе с архитектурой x86-64 и распространяется как полнофункциональная Live (LiveDVD) система, с возможностью установки и установочного диска (можно установить с USB-накопителя или по сети) . Установка системы на жесткий диск практически не облачается от установки оригинального Debian GNU/Linux (различия мелкие и несущественные) .
В состав Astra Linux Common Edition входят свободные приложения (системные и пользовательские) и авторские решения разработчиков Astra Linux Special Edition , позволяющие расширить её применение в качестве серверной платформы, на рабочих местах пользователей, или использования в качестве "домашней " операционной системы.
Astra Linux Common Edition имеет полнофункциональное Qt графическое рабочее окружение FLY , это собственная разработка авторов проекта. Все приложения с fly -перфиксом являются частью окружения, все утилиты для настройки рабочего окружения собраны в "Панель управления ".
В операционных системах Astra Linux реализован мандатный метод разграничения доступа (MAC - Mandatory Access Control) и применяется наряду с традиционным для POSIX -систем дискреционным методом разграничения доступа (DAC - Discretionary Access Control) . Мандатная система эффективно дополняет дискреционный метод, слабым местом которого является зависимость прав доступа к объектам от желаний их владельцев. Мандатная система обеспечивает централизованное определение прав доступа к любым объектам системы на основе меток их конфиденциальности и ранжирование всех пользователей по возможности доступа к ним.
Astra Linux имеет собственный MAC -модуль, компактное и продуманное в администрировании решение, с одной стороны, не уступающее SELinux в функциональности, а с другой учитывающее особенности эксплуатации системы в реалиях обработки российской конфиденциальной информации (что весьма упрощает процесс сертификации) . Разработка собственного модуля мандатной системы разграничения доступа позволила эффективно модифицировать и другие компоненты системы.
Кроме собственной мандатной системы Astra Linux обеспечивает и собственные механизмы очистки оперативной памяти и блоков файловой системы, которые содержали обрабатываемые ранее конфиденциальные данные (это одно из требований сертификации к подобным системам) . Это реализовано в виде автономно функционирующего процесса, доступ к работе которого строго ограничен и ни одно из пользовательских приложений не может остановить процесс такой очистки, чтобы скрытно собрать сведения об обрабатываемых ранее секретах.
Набор пользовательских приложений Astra Linux Common Edition :
Россия, как известно, родина слонов. А также ракетных комплексов, подводных лодок, танков и, как оказалось, не менее бронированных операционных систем. Если ты рубишь в ИБ и живешь в России, то это как раз тот вид вооружений, которым ты можешь интересоваться и даже гордиться. Astra Linux SE - одна из таких ОС. Наш автор Евгений Лебеденко - специалист по таким системам, так что приготовься взглянуть на безопасность в Linux с самой серьезной стороны!
Операционные системы сегодня - это не просто набор служебных функций, который позволяет компьютеру работать. Операционки стали играть огромную роль в мире потребительской электроники: Microsoft приспосабливает Windows для всех возможных устройств, Apple экспериментирует с интерфейсом мобильных и десктопных систем, Google развивает Android и одновременно превращает в операционную систему Chrome.
В корпоративной среде прогресс ОС тоже идет по полной: программно-конфигурируемые сети (SDN), виртуальные серверы, глобальные и частные облака. Здесь на первый план выходит не юзабилити, а защищенность и соответствие жестким требованиям к безопасности.
Есть и еще одна область, в которой защита превыше всего, - это ОС для государственных и военных нужд. Это еще один параллельный мир операционных систем - безумно консервативный, но и в нем существует прогресс. Причем не только за рубежом, но и у нас. Показательный пример - это дистрибутив Astra Linux SE.
Пять лет. Полет нормальный
Astra Linux - не единственный российский защищенный дистрибутив. Есть и другие, и все они успешно прошли проверку в органах сертификации и нашли свои рыночные ниши. Детище НПО «РусБИТех» - не исключение. Astra Linux SE с завидной регулярностью получает сертификаты соответствия в системах сертификации ФСТЭК, Министерства обороны и ФСБ. Действующие на настоящий момент версии имеют «срок годности» до 2018 года.
На основе Astra Linux развернуты и функционируют десятки информационных систем - как в государственных, так и в коммерческих структурах. Среди них, например, такие крупные, как защищенная платформа для государственной автоматизированной системы гособоронзаказа.
Astra Linux отметился и в популярной ныне теме импортозамещения. Вполне вероятно, что органы госвласти самого «санкционированного» российского региона - Республики Крым - будут использовать эту ОС в качестве базы для своей инфраструктуры ИТ. В общем, менеджерам «РусБИТех» есть чем гордиться. Но нас, конечно, больше всего интересуют не те достижения, что связаны с продажами и историями успеха.
Первый релиз Astra Linux вышел в конце 2009 года. С тех пор дистрибутив совершенствуется, следуя за основной веткой Debian, но при этом разработчики не забывают о главном - повышенной безопасности. Предприятие «РусБИТех» неплохо оснащено научными кадрами и при этом ведет активное сотрудничество с вузами и исследовательскими институтами, которые специализируются на информационной безопасности.
Черты, которые делают Astra Linux 1.4 уникальным, относятся как раз к этой теме. В фирменной подсистеме безопасности PARSEC используется формальная модель разграничения доступа. Она была разработана в Институте криптографии, связи и информатики Академии ФСБ России, а в оценке качества принял участие Центр верификации ОС Linux Института системного программирования РАН. Реализация этой модели в Astra Linux SE ведется поэтапно, и в версии 1.4 добавлена большая ее часть, но еще не последняя.
MAC в LSM. Далеко не фастфуд в управлении доступом
Прежде чем разбирать модель разграничения доступа в Astra Linux SE 1.4, следует вспомнить некоторые основы. Очевидно, что пользователям информационных систем требуется доступ к данным, а также к набору механизмов ОС, которые обеспечивают этот доступ, - например, к файловым системам и стекам сетевых протоколов.
Продолжение доступно только подписчикам
Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.