Русская защищенная ОС Astra Linux
Есть такая отечественная операционная система – Astra Linux: http://www.astra-linux.com Насчет "отечетсвенности" сказано с некторой натяжкой, поскольку разработана на основе Debian. Но зато имеет важное отличие – сертификат по безопасности от ФСБ, о котором сказано следующее:
". На сегодняшний день «Astra Linux Special Edition» – это единственная в России операционная система, сертифицированная во всех трех системах сертификации средств защиты информации (ФСБ, Минобороны, ФСТЭК), позволяющая обрабатывать информацию ограниченного доступа, включая сведения, составляющие государственную тайну до степени секретности “совершенно секретно” включительно".
Разрешение на допуск к разработке совершенно секретных данных – это, конечно, круто, если не ошибаюсь – круче, чем NT. Для русского патриота, которого коробит даже от мысли о возможном сливе информации в АНБ через вражеские ОСи, Astra Linux может оказаться настоящей находкой.
Но что скажут об этой ОС обитатели pgpru.com? Может, у кого-то уже есть опыт ее использования, отзывы, как насчет совместимости с репозитариями от Debian и допустимы ли они без потери достигнутой безопасности? Потому что по описанию на сайте Astra выглядит кучеряво, а вот как оно на самом деле.
PS. Есть еще ОС "РОСА", но по отзывам, специалисты ее почему-то не очень жалуют.
— unknown (26/03/2014 16:49) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664По идее, недопустимы. Там должны стоять ссылки на свои репозитарии, которые переподписаны своими ключами. Всякое обновление от Debian должно попадать туда, перепроверяться, перекомпилироваться и переподписываться. Иначе вы потеряете сертифицированность продукта.
По-крайней мере, так должно быть, иначе сертификация не имеет смысла.
— Гость (26/03/2014 17:24) <#>Индусская, корейская, хоть французкая.
Если линукс – база. Основной язык дистрибутива обязан быть английским.
Холодная война проиграна.
Иначе у него горстка последователей будет, и пользователей тоже.
Батька Путин может пролабировать, всем коррумпированным чиновникам застряпать лаптопы с ней, слегка толкнуть в пропасть, так сказать.
— unknown (26/03/2014 17:45) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664У сертифицированных ОС в любой стране будет горстка последователей. Для использования в плане личной безопасности государственная сертификация не нужна. Скорее даже наоборот.
И наоборот, для госучреждений нужно формальное заверение безопасности. Они не могут доверять только открытому сообществу разработчиков.
— Гость (26/03/2014 20:31) <#>unknown, спасибо, у вас, как всегда – трезвый взвешенный ответ :) В отличие от некоторых "навальных". Добавлю, что "Astra Linux Special Edition" скачать даже для тестирования нельзя, стоит она 20000 руб. и продается только организациям, что на мой взгляд весьма глупо, т.к. снижает массовость. А " Astra Linux Common Edition" можно свободно скачать и использовать, но md5 имеет позорный косяк – сами полюбуйтесь:
Конечно, это легко правится в пять секунд, но говорит наплевательском отношении производителся к своему продукту, т.к. все проблемы начинаются с мелочей.
— unknown (26/03/2014 20:56) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664Потому что наехать на сообщество свободных разработчиков с целью выдать ключ, вставлять трояны в персонифицированных атаках и пр. — можно, но сложно, если их много, они мотивированы идеями свободного ПО; рассредоточены, но связаны отношениями подтверждаемого доверия.
А разработчики сертифицированного ПО — да вот же они, сидят в одном офисе фирмы-контрактора в кучке кабинетов, вот их допуски-подписки, вот их начальство; вот их зарплата, которая идёт от контракта на продажи продукта госструктурам. Они люди подневольные. В крайнем случае могут повторить подвиг Сноудена, но это же маловероятно.
— Гость (26/03/2014 21:10) <#> — Гость (26/03/2014 21:10) <#> — Гость (27/03/2014 05:27) <#> — Гость (27/03/2014 05:32) <#> — unknown (27/03/2014 09:42) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664 — Гость (27/03/2014 15:07) <#> — Гость (31/03/2014 13:15, исправлен 31/03/2014 13:40) <#>Рекомендуемое оборудование. Надо ли это понимать так, что эти компании "наши", в том смысле что на их обоудовании нет враждебных аппаратно-программных жучков? Всё таки гостайна до "совершенно секретно" как-никак.
— unknown (31/03/2014 13:43) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664На оборудование может требоваться отдельная сертификация. Возможно, на оборудовании из списка она уже стандартно отработана.
Или просто какое-то предпочитаемое оборудование работает для системы из-коробки, без особых настроек, без необходимости использовать какие-то закрытые драйвера.
— Гость (20/04/2014 00:33) <#>Из жизни криворуких кодеров:
Критическая уязвимость в Astra Linux
Jun. 28th, 2013 at 11:38 AM
Есть такой дистрибутив линукса Astra Linux Special Edition, который сертифицирован МО РФ, ФСТЕК. И который создается в лучших традициях линуксоидов, виндовых программистов решивших писать под линукс, как под виндовс, ну и специфических реалиях российской оборонки. Понятно что из этого всего что-то нормальное не могло получится. В итоге сделали кучу костылей, вместо того, чтобы доделать уже существующие и надежно работающие решения. В итоге был найден эксплойт для получения доступа к данным различного уровня доступа.
Под катом репост оригинала:
Критическая уязвимость в Astra Linux позволяет пользователю изменять категории мандатного доступа, понижая степень секретности и класс для сведений. Одной из причин описанной проблемы является закрытость проекта и построение велосипедов вместо использования значительно более проверенных и протестированных решений, таких, как SELinux. Для мандатного контроля доступа в Astra Linux используются следующие компоненты: модуль ядра parsecfs, реализующий монтирование файловых систем, видимых пользователям с одинаковым уровнем доступа, аудит действий пользователя и мандатный контроль доступа, юзерспейсный сервис для настройки ядерной части и модули PAM для аутентификации и авторизации пользователей. Идеологически модель, используемая в Astra Linux напоминает модель модель Белла-Лападулы, реализованную в Multi-level security политике SELinux, но имеет одно отличие: пользователю разрешено выбирать при входе в систему, с каким классом и уровнем сведений он желает работать. При обычной работе пользователь даже не видит документы, имеющие другой класс, так как содержимое его домашнего каталога фактически “монтируется” заново при каждом входе в систему. При этом, пользователю по умолчанию разрешено выполнять команду su, причём эта команда, помимо ID пользователя, изменяет и его мандатную метку, а опция -l “перемонтирует” и его домашний каталог.
1) Создаём юзера, указав ему минимальный уровень доступа 0, а максимальный 1: level2:0:0:1:0 2) Логинимся от секретного пользователя.
Astra Linux SE 1.3 (smolensk) tty1 astra login: level2 Secret level [1]: 1
3) Создаём файл с секретными данными
level2@astra$ echo “secret message” >test.txt
4) Повышаем привиллегии, открываем файл на чтение в старой сессии и скармливаем в новую level2@astra$ su -l level2 -c “echo `cat test1.txt` > secret.txt”
5) Проверяем результат, заходим с другим уровнем доступа: Astra Linux SE 1.3 (smolensk) tty1 astra login: level2 Secret level [1]: 0
level2@astra$ cat secret.txt secret message
Аналогичным образом возможен перенос документов между категориями и различными пользователями. Резюмируя вышесказанное, критическая уязвимость в Astra Linux несёт серьёзную угрозу безопасности органов государственной власти.
— Гость (19/05/2014 03:15) <#>Получил ответ от представителей ASTRA:
Просим Вас сообщить какую организацию Вы представляете? Мы готовы предоставить Вам операционную систему Astra Linux Special Edition, с комплектом эксплуатационной документации, стандартным способом по официальному письму-запросу.
— Для получения более подробной информации просим Вас обращаться по телефону, указанному ниже.
С уважением, Служба сопровождения ОАО "НПО РусБИТех"
тел. +7 (495) 648-15-30
(email затер от спамботов, но если кому нужно, могу выслать почтой.
Так найдутся у нас смельчаки, желающие потестить Special Edition? (на себя принять не могу, поскольку частное лицо).