Разработка
ОС разрабатывается ОАО «НПО РусБИТех» во исполнение распоряжения Правительства РФ № 2299-р от 17 декабря 2010 г., утверждающего План перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на использование свободного программного обеспечения (СПО).
Производитель заявляет, что «лицензионные соглашения на операционные системы Astra Linux разработаны в строгом соответствии с положениями действующих правовых документов Российской Федерации, а также международных правовых актов», при этом они «не противоречат духу и требованиям лицензии GPL». Система работает с пакетами на базе .deb. Исходные тексты ядра доступны на сайте разработчика.
Выпускаемые релизы носят названия городов-героев России и стран СНГ.
Система применяется во многих государственных учреждениях. В частности, на ней построена информационная система Национального центра управления обороной РФ. В июле 2015 г. состоялись переговоры о переводе на Astra Linux госучреждений Республики Крым, в которой официальное использование популярных ОС затруднительно из-за антироссийских санкций. В ноябре 2015 года подписано соглашение о сотрудничестве с производителем серверов Huawei, который начал тестировать свои серверы на совместимость с Astra Linux.
Ядерная защита в Astra Linux SE 1.6 и как ее включить. Ядро Hardened
Как защититься от ядерных эксплоитов эксплуатирующих уязвимости ядра Linux? Рассмотрим как это реализовано в отечественной ОС Astra Linux SE 1.6.
Многие из Вас слышали, а кто-то давно уже использует ОС Astra Linux SE 1.6 — отечественную операционную систему, сертифицированную по ФСБ, Минобороны и ФСТЭК России. На платформе Astra Linux развернуты и функционируют десятки информационных систем — как в государственных, так и в коммерческих структурах. На фоне определенного ажиотажа вокруг отечественных ОС и темы импортозамещения становится особенно актуально применение Astra Linux SE. Много слов сказано о безопасности этой операционной системы и большинство пользователей считают, что достаточно просто установить ОС Astra Linux и они получат безопасную среду для работы автоматически, ничего не настраивая. Конечно это не так. И в этой статье я расскажу об одном из основных компонентов комплекса средств защиты (КСЗ) — ядре hardened и покажу как нужно его использовать.
Ядро hardened в Astra Linux SE 1.6
Ядро hardened — это несколько изменений в компиляторе и ядре, которые увеличивают общую защищенность системы от взлома. Ядро hardened умеет блокировать массу потенциально опасных операций. В ОС Astra Linux SE 1.6 поставляется две версии ядра — это hardened и generic. Ядро hardened более компактное по размеру. Из него убраны многие компоненты, которые не используются для обычной работы, но могут использоваться для отладки. Так же в этом ядре присутствуют технологии, которые обеспечивают очистку информации стека ядра после системных вызовов. Это позволяет защититься от некоторых эксплоитов, которые нацелены на считывание неочищенной информации после системных вызовов.
На практике hardened ядро на несколько (2-3%) медленнее, чем ядро generic, но оно обеспечивает эффективную защиту от эксплоитов, которые нацелены на эксплуатацию уязвимостей ядра (ядерных эксплоитов).
Ограничения по работе с памятью в ядре hardened:
- запрет записи в область памяти, помеченную как исполняемая;
- запрет создания исполняемых областей памяти;
- запрет перемещения сегмента кода;
- запрет создания исполняемого стека;
- случайное распределение адресного пространства процесса;
- очистка остаточной информации из стека ядра после системных вызовов.
Многие компоненты КСЗ Astra Linux SE 1.6 работают именно на уровне ядра, именно поэтому становится необходимым включение и использование защищенного ядра hardened для предотвращения взлома компонентов КСЗ с использованием ядерных эксплоитов.
Включаем использование ядра hardened в Astra Linux SE 1.6
Включить использование ядра hardened можно во время установки Astra Linux SE 1.6 и позже, уже непосредственно в установленной ОС.
Во время установки Astra Linux SE 1.6 эта настройка делается в разделе «Дополнительные настройки ОС».
Для того, чтобы ОС по умолчанию загружала ядро hardened необходимо отметить параметр «Использовать по умолчанию ядро Hardened».
Так же, чтобы исключить возможность выбора пользователем варианта загрузки незащищенного ядра generic, необходимо в этом же разделе установить параметр «Запретить вывод меню загрузчика».
Если Вы не установите параметры описанные выше, и продолжите установку Astra Linux SE 1.6, то после установки ОС, во время загрузки, по умолчанию будет загружаться незащищенное ядро generic, а не hardened. Так же, с такими настройками, у пользователя будет возможность выбора ядра generic для загрузки.
Скорее всего, такая ситуация с загрузкой по умолчанию незащищенного ядра generic встретится у многих администраторов. Для того, чтобы настроить загрузку защищенного ядра hardened в уже установленной ОС, необходимо администратором (высокоцелостным root) в графическом интерфейсе открыть — «Панель управления — Система — Загрузчик GRUB2» и сделать следующие настройки:
- «Запись по умолчанию» — ядро hardened
- «Следующая запись станет загружаемой по умолчанию» — выбрать
- «Автоматически загружать запись по умолчанию после показа меню» — немедленно
После этих настроек, ОС будет сразу загружаться с защищенным ядром hardened, а возможность у пользователя выбрать для загрузки незащищенное ядро generic будет отсутствовать.
Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.
Разработка
Система работает с пакетами на базе .deb, используется пакетный менеджер apt. Исходные тексты ядра доступны на сайте разработчика. Astra Linux считается «официально признанным» деривативом дистрибутива Debian после прохождения необходимых проверок на соответствие требованиям Debian, АО «НПО РусБИТех» находится в партнёрских отношениях с The Linux Foundation и The Document Foundation. Разработчик заявляет, что «лицензионные соглашения на операционные системы Astra Linux разработаны в строгом соответствии с положениями действующих правовых документов Российской Федерации, а также международных правовых актов», при этом они «не противоречат духу и требованиям лицензии GPL».
Собственный репозиторий Astra Linux состоит из более чем 20 000 пакетов. На пакетной базе этого репозитория развиваются и другие программные продукты компании. В состав дистрибутива входят такие пакеты с открытым исходным кодом, как графическое окружение пользователя Fly, офисный пакет LibreOffice, доработанный в части управления доступом, серверные компоненты (web-сервер, СУБД и так далее), браузер Firefox, почтовый клиент Thunderbird, редактор растровой графики GIMP, проигрыватель мультимедиа VLC и другие.
В феврале 2018 г. объявлено, что Astra Linux была адаптирована для российских микропроцессоров «Эльбрус».
С 17 декабря 2019 года правообладателем, разработчиком и производителем является ООО «РусБИТех-Астра», созданная в 2016 году как дочерняя компания АО «НПО РусБИТех», занимающаяся разработкой и сопровождением ОС. В 2019 году компания стала юридически самостоятельной, а в 2020 году на базе «Русбитех-Астра» была сформирована ГК «Астра».
В сентябре 2022 года в расширенный репозиторий ОС включен Яндекс.Браузер.
Графический интерфейс
Fly – собственная разработка создателей ОС, гибридное графическое окружение пользователя, которое включает в себя рабочий стол, написанный с использованием библиотеки xlib, а также набор графических утилит на QT, разработанных в основном с использованием фреймворка KF5 и PyQt. Особенностью также является полная интеграция графической оболочки со всеми механизмами защиты информации, встроенными в операционную систему Astra Linux.
Применение
Система применяется в ряде государственных учреждений в сферах обороны, здравоохранения, науки и образования, финансов, промышленности и торговли, ЖКХ. В частности, на ней построена информационная система Национального центра управления обороной РФ. В июле 2015 г. состоялись переговоры о переводе на Astra Linux госучреждений Республики Крым, в которой официальное использование популярных ОС затруднительно из-за антироссийских санкций. В ноябре 2015 года подписано соглашение о сотрудничестве с производителем серверов Huawei, который начал тестировать свои серверы на совместимость с Astra Linux. В феврале 2019 года объявлено о внедрении Astra Linux на Тяньваньской АЭС (Китай, провинция Цзянсу).
С января 2019 года происходит тестирование Astra Linux в системах группы компаний «Газпром».
С 2019 года производятся «защищённые»планшетные компьютеры марки MIG с предустановленной Astra Linux, планируются продажи смартфонов.
В 2020 объявлено о полном переводе на Astra Linux российской государственной корпорации «Росатом».
В 2021 году началось внедрение системы в ОАО РЖД. До конца 2024 года на Astra Linux планирует полностью перейти «Росатом» – всего на ОС будут работать около 130 тысяч пользователей.
В 2022 году ГК «Астра» сообщает об успешном переводе в Yandex Cloud собственных ключевых сервисов: «Центра загрузок» (репозитория с пакетами из состава операционной системы), «Справочного центра» и сервиса технической поддержки.
Основные версии
Astra Linux Special Edition в Национальном центре управления обороной РФ
Производителем разрабатывается базовая версия Astra Linux — Common Edition (общего назначения) и её модификация Special Edition (специального назначения):
- Common Edition — единственная российская ОС, репозиторий которой размещен в открытом доступе международной некоммерческой организации Еhe Linux Foundation. Используется в госучреждениях и корпорациях;
- Special Edition — сертифицированная ОС со встроенными средствами защиты информации (СЗИ) для стабильных и безопасных ИТ-инфраструктур любого масштаба и бесперебойной работы с данными любой степени конфиденциальности, лицензируется по трем уровням защиты.
Выпускаемые релизы ранее носили названия городов-героев РСФСР:
| Архитектура | Common Edition | Special Edition | Сфера применения |
|---|---|---|---|
| x86-64 | Орёл | Смоленск | рабочие станции и серверы |
| ARM | − | Новороссийск | мобильные устройства и встраиваемые компьютеры |
| MIPS | − | Севастополь | настольные и мобильные устройства, сетевое оборудование |
| POWER | − | Керчь | высокопроизводительные серверы |
| IBM System z | − | Мурманск | отказоустойчивые серверы (мейнфреймы) |
| Эльбрус 2000 | − | Ленинград | вычислительные комплексы «Эльбрус» |
История версий
Для краткого обозначения варианта исполнения ОС Astra Linux Special Editon (кроме варианта РУСБ.10230-02) используются два числа:
Код_дистрибутива.Номер_очередного_обновления_ОС
Для ОС Astra Linux Special Edition РУСБ.10230-02 используются три числа:
Код_дистрибутива.Код_версии_архитектуры.Номер_очередного_обновления_ОС
Если код дистрибутива 2, то это не Astra Linux Special Edition, а Astra Linux Common Edition. При этом может указываться три числа, третье число обозначает номер обновления ОС:
Код_дистрибутива.Номер_версии_ОС.Номер_обновления_ОС
Для Astra Linux Common Edition номер варианта исполнения представлен двумя или тремя числами:
Код_дистрибутива.Номер_версии_ОС
| Версия | Название | Дата выпуска | Версия ядра Linux |
|---|---|---|---|
| 1.2 | Astra Linux Special Edition (Смоленск) | 28 октября 2011 | 2.6.34 |
| 1.3 | Astra Linux Special Edition (Смоленск) | 26 апреля 2013 | 3.2.0 |
| 1.4 | Astra Linux Special Edition (Смоленск) | 19 декабря 2014 | 3.16.0 |
| 1.5 | Astra Linux Special Edition (Смоленск) | 8 апреля 2016 | 4.2.0 |
| 1.6 | Astra Linux Special Edition (Смоленск) | 26 сентября 2018 | 4.15.3-1 |
| 1.7 | Astra Linux Special Edition | 22 октября 2021 | 5.4 LTS |
| 1.7.1 | Astra Linux Special Edition | 26 ноября 2021 | 5.10 |
| 1.7.2 | Astra Linux Special Edition | 23 августа 2022 | 5.15 |
Сервер
FreeIPA. В дополнение к традиционным средствам построения сетевых доменов Astra Linux Directory добавлена домен FreeIPA. FreeIPA — открытый проект для создания централизованной системы управления пользователями, компьютерами с интеграцией зон DNS, доменами Samba и системой Kerberos 5. FreeIPA дает возможность централизации многих функциональных аспектов инфраструктуры.
Управление. Для удобства администрирования добавлены графические утилиты для работы с доменами. Включен графический интерфейс к брандмауэру UFW.
HAProxy. Добавлен прокси-сервер HAProxy в дистрибутив ОС.
Настройка сети. iproute2 вместо iproute.
СУБД. PostgreSQL обновлен до версии 9.6.
Веб-приложения. Включены многие дополнительные пакеты Ruby, а сам Ruby обновлен до версии 2.3.
Альтернативные варианты запуска: режим планшета и телефона
При входе в систему можно выбрать один из нескольких вариантов запуска: безопасный, десктоп, мобильный или планшетный.
Для работы на сенсорных устройствах можно включить экранную клавиатуру.
Посмотрим, что интересного в разных режимах. Десктопный — это обычный режим, где система похожа на Windows.
Планшетный режим подойдет для крупных сенсорных экранов. Помимо очевидных внешних отличий, которые можно увидеть на скриншоте ниже, здесь есть другие особенности интерфейса. Курсор в планшетном режиме невидим, кнопка закрытия приложений вынесена на панель задач. Полноэкранные приложения работают несколько иначе, файлы в файл-менеджере также выбираются по-другому.
Стоит упомянуть и мобильный режим — здесь все примерно так же, как в Android. Используется графическая среда Fly. В сенсорных режимах работает длительное касание, по которому можно вызвать контекстное меню. Мобильный режим потребляет несколько больше ресурсов по сравнению с десктопным и планшетным.
Наличие разных режимов работы — это удобно. Например, если вы используете планшет с подключаемой клавиатурой и, соответственно, сенсорные и несенсорные сценарии использования.
Процесс установки: проще, чем Windows
Напрямую можно скачать только пользовательскую версию Common Edition, либо версию Special для разработчиков платформ x86-64 .
Для конечного пользователя большой разницы нет: прокаченная версия имеет необходимые для оборонки сертификаты, у Common их нет. Однако обе работают по общим принципам Astra Linux, реализовывая раздельный доступ согласно заложенным сценариям.
Процесс установки предельно прост и как две капли воды похож на прочие Linux-дистрибутивы.
Из серьезных отличий стоит отметить русскую документацию с картинками по установке и понятный русскоязычный интерфейс с выбором важных мелочей.
Среди прочих и те самые базовые элементы защиты, выделенные отдельным экраном предварительной настройки.
Установка проходит стабильно как на обычный жесткий диск, так и на виртуальную машину.
Для работы системы хватает даже одноядерного процессора с 512 Мб оперативной памяти и 30-гигабайтным накопителем. Комфортная работа предполагает наличие больше 1 Гб ОЗУ и поддержку современных инструкций вычислительных ядер.
![Обновление astra linux common edition до 2.12.45 и обновление ядра kernel до 5.15 [техническая база знаний]](https://centr-nachalo.ru/wp-content/uploads/7/9/f/79fd09994b11673f03a214bc47b21855.png)
Astra linux как обновить ядро
Completing the CAPTCHA proves you are a human and gives you temporary access to the web property.
What can I do to prevent this in the future?
If you are on a personal connection, like at home, you can run an anti-virus scan on your device to make sure it is not infected with malware.
If you are at an office or shared network, you can ask the network administrator to run a scan across the network looking for misconfigured or infected devices.
Another way to prevent getting this page in the future is to use Privacy Pass. You may need to download version 2.0 now from the Chrome Web Store.
Cloudflare Ray ID: 71af16e18b4c9196 • Your IP : 82.102.23.104 • Performance & security by Cloudflare
Старые песни о главном: сколько раз российские чиновники меняли Windows на Astra Linux
История с переводом госслужбы на свободное ПО тянется уже не первое десятилетие. Еще в 2010 году Владимир Путин утвердил программу перехода госорганов на Linux.
«План перехода федеральных органов власти и федеральных бюджетных учреждений на использование свободного программного обеспечения» — так назывался документ, разработанный Минкомсвязи и призванный в обязательном порядке внедрить открытое ПО по все государственные учреждения. План был подписан лично Владимиром Путиным, программа предусматривала реализацию в течение пяти лет.
Спустя 5 лет в системе госслужбы ничего не изменилось. А ведь была разработана поэтапная инструкция с конкретными шагами развертывания программных комплексов. Правительство утверждало, что намерено внедрить не просто репозиторий дистрибутива Linux, но «магазин приложений, подобный App Store». Аналитики активно обсуждали спорные моменты властной инициативы… В общем, жизнь кипела, бюджет пилился.
12 ноября 2020 года, на волне импортозамещения, опять пришла новость: «Госорганы России массово меняют Windows на Astra Linux». Согласно плану, 26 органов исполнительной власти России должны были перейти на отечественный софт вместо операционной системы Windows.
Внедрение новинки начали с Ивановской области. В качестве базового ПО была выбрана операционная система AstraLinux — UNIX-подобная ОС, основанная на дистрибутиве Debian, разработку которой с 2008 г. ведет компания «Русбитех».
Имеет значение то, что продукты Astra Linux входят в реестр отечественного ПО при Минцифры. ОС Astra Linux принята в стандарт ФОИВов и госкорпораций, кроме того, она имеет полный набор сертификатов Минобороны России, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ.
В 2020 г. Ивановский государственный университет (ИвГУ) и международная ИТ-компания Involta разработали образовательный курс по мобильной разработке для программы персональных цифровых сертификатов.
Программа распространялась на 48 регионов страны. Она стартовала 15 октября 2020 г. в рамках федерального проекта «Кадры для цифровой экономики» нацпроекта «Цифровая экономика». За счет федерального бюджета любой житель страны может пройти обучение и получить дополнительное образование в сфере ИT. Всего на страну было выделено 33 тыс. таких образовательных сертификатов.
Сейчас — середина 2022 года, гром грянул, самое время перекреститься. Но проблема перехода госслужбы на Linux по-прежнему стоит со всей остротой. Что-то подсказывает, что так останется и дальше. Большинство чиновников предпочтет пиратским образом (ой, простите — «серым импортом») качать Windows из-под VPN, а не разбираться в нюансах линуксоидных протоколов.
linux и linux с приставкой generic: в чём разница?
Подскажите, пожалуйста: в чём разница между ядром и его компонентами в репозитории Ubuntu и такими же точно, но с приставкой generic?
То есть: image, headers и так далее – всё тоже, версия таже, только прибавлено generic.
generic это ядро без наложения убунтовских patch'(ев).
linux-image – еще один метапакет, который в свою очередь зависит от linux-image-generic (так же и с headers). Разницы практически нет.
Скорее всего пакеты без приставки *generic оставили для выбора дефолтного ядра убунты (для неких будущих целей). Сейчас ядро по-умолчанию – это linux-image-generic (и там дальше по зависимостям).
Простите, не могли бы вы помочь разобраться?
Я установил систему Ubuntu 12.10, ничего не ставил и не обновлял. И что я вижу?
Почему грузится ядро без патчей? И как грузить с патчами?
Какие офисные приложения есть в Astra Linux?
Не стоит забывать, что отказ от Microsoft Windows влечет за собой и отказ от пакета для офисной работы Microsoft Office, который сегодня используется как на Windows, так и на Mac.
Среди отечественных альтернатив стоит выделить МойОфис — это продукт полного цикла, который выпускается для операционной системы Linux в том числе. Причем как для частного лица, так и для компании. Еще один вариант — LibreOffice. Это ответвление от OpenOffice, распространяемое по свободной лицензии и с открытым исходным кодом.
ОС Astra Linux совместима с приложениями «Р7-Офис», «МойОфис» и другим офисным ПО, входящим в реестр Минкомсвязи России.
Поправки в Налоговый кодекс: чего ожидать в 2023 году?
Меры поддержки бизнеса в связи с мобилизацией
Заказать помощь специалиста 1С
Основа Astra Linux и её варианты
Базовым дистрибутивом для Astra cтал Debian, что позволяет использовать стандартные пакеты для устновки на базе .deb.
Исходные коды к пользовательской версии ОС доступны на сайте разработчика. Доступ к исходникам продвинутых защищенных вариантов осуществляется по запросу.
Благодаря этому Astra стала «официально признанной» веткой Debian, а АО «НПО РусБИТех» заключило партнерское соглашение с The Linux Foundation и The Document Foundation.
Открытый исходный код, защита и нормальные программы? Реальность, если есть серьезные партнеры.
Система оптимизирована для всех существующих платформ, включая дистрибутивы для
- настольных компьютеров и ноутбуков х86/х64 («Смоленск» и «Орел»),
- ARM-платформ («Новороссийск»),
- процессоров «Эльбрус» («Ленинград»),
- отказоусточивых серверов с архитектурой IBM System z («Мурманск»),
- MIPS-систем («Севастополь»),
- POWER-систем («Керчь»).
Таким образом обеспечивается единая среда для разработки и эксплуатации одних и тех же пакетов на любых компьютерах, оборудовании и даже интегрированных решений. Унификация в таких случаях очень удобна.
Кроме того, в ходе реализации партнерского соглашения с Huawei, в феврале 2019 года оптимизированная версия дистрибутива была внедрена на Тяньваньской АЭС в серверных системах китайского партнера.
Общая информация
Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6).
- обновление основного диска:https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210730SE16/20210730SE16.iso;
- обновление диска со средствами разработки:https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20210730SE16/.
Данное обновление включает в себя:
Принцип механизмов защиты Astra Linux
Для собственной защиты Astra Linux использует так называемый мандатный доступ, когда один и тот же пользователь в зависимости от его действий рассматривается как несколько разных пользователей, для которых система создает отдельные каталоги с ограниченными правами доступа. Всего же в Астре имеется 256 уровней доступа. Для защиты от подмены системных файлов используется хеширование и сравнение полученных контрольных сумм с заложенными оригинальными хэшами, для защиты от перехвата управления применяется принцип иерархии, позволяющий более или менее точно отличать пользователя от программ, в том числе вредоносных.
Вывод
Ну, что сказать? У государственных и государство-ориентированных учреждений сейчас уже есть достаточно различных дистрибутивов. Кстати, с одним из дистрибутивов мы долго-долго тестировались, “совместимость подтверждена, но публиковать это не будем, потому что у вас продукт ДЛЯ разработки, идёт в ПОЛНЫХ исходных кодах, подписать сертификатом невозможно” 
Понятно, что все они исторически ориентируются на привычный интерфейс того, что импортозамещают (MS Windows) c различной степенью успешности. Тем не менее, для своих задач (нет, конечно же, не для простых смертных домашних пользователей!) — вполне крепкие платформы. Дело теперь за малым — наполнить их смыслом — прикладным ПО. И нет, это не только офисные пакеты (а там, кстати, тоже уже есть из чего выбирать — не только “мой офис”, который у всех на слуху, но и “Р7-офис” — о них несколько позже отдельно напишу), но и узкоспециализированные для задач создания, хранения и обработки данных , документооборота и т.п. Благо, что для разработки тоже уже есть полноценные совместимые решения.
