Начало работы в astra linux. ОС Astra Linux – что это

Россия, как известно, родина слонов. А также ракетных комплексов, подводных лодок, танков и, как оказалось, не менее бронированных операционных систем. Если ты рубишь в ИБ и живешь в России, то это как раз тот вид вооружений, которым ты можешь интересоваться и даже гордиться. Astra Linux SE - одна из таких ОС. Наш автор Евгений Лебеденко - специалист по таким системам, так что приготовься взглянуть на безопасность в Linux с самой серьезной стороны!

Операционные системы сегодня - это не просто набор служебных функций, который позволяет компьютеру работать. Операционки стали играть огромную роль в мире потребительской электроники: Microsoft приспосабливает Windows для всех возможных устройств, Apple экспериментирует с интерфейсом мобильных и десктопных систем, Google развивает Android и одновременно превращает в операционную систему Chrome.

В корпоративной среде прогресс ОС тоже идет по полной: программно-конфигурируемые сети (SDN), виртуальные серверы, глобальные и частные облака. Здесь на первый план выходит не юзабилити, а защищенность и соответствие жестким требованиям к безопасности.

Есть и еще одна область, в которой защита превыше всего, - это ОС для государственных и военных нужд. Это еще один параллельный мир операционных систем - безумно консервативный, но и в нем существует прогресс. Причем не только за рубежом, но и у нас. Показательный пример - это дистрибутив Astra Linux SE.

Пять лет. Полет нормальный

Astra Linux - не единственный российский защищенный дистрибутив. Есть и другие, и все они успешно прошли проверку в органах сертификации и нашли свои рыночные ниши. Детище НПО «РусБИТех» - не исключение. Astra Linux SE с завидной регулярностью получает сертификаты соответствия в системах сертификации ФСТЭК, Министерства обороны и ФСБ. Действующие на настоящий момент версии имеют «срок годности» до 2018 года.

На основе Astra Linux развернуты и функционируют десятки информационных систем - как в государственных, так и в коммерческих структурах. Среди них, например, такие крупные, как защищенная платформа для государственной автоматизированной системы гособоронзаказа.

Astra Linux отметился и в популярной ныне теме импортозамещения. Вполне вероятно, что органы госвласти самого «санкционированного» российского региона - Республики Крым - будут использовать эту ОС в качестве базы для своей инфраструктуры ИТ. В общем, менеджерам «РусБИТех» есть чем гордиться. Но нас, конечно, больше всего интересуют не те достижения, что связаны с продажами и историями успеха.

Первый релиз Astra Linux вышел в конце 2009 года. С тех пор дистрибутив совершенствуется, следуя за основной веткой Debian, но при этом разработчики не забывают о главном - повышенной безопасности. Предприятие «РусБИТех» неплохо оснащено научными кадрами и при этом ведет активное сотрудничество с вузами и исследовательскими институтами, которые специализируются на информационной безопасности.

Черты, которые делают Astra Linux 1.4 уникальным, относятся как раз к этой теме. В фирменной подсистеме безопасности PARSEC используется формальная модель разграничения доступа. Она была разработана в Институте криптографии, связи и информатики Академии ФСБ России, а в оценке качества принял участие Центр верификации ОС Linux Института системного программирования РАН. Реализация этой модели в Astra Linux SE ведется поэтапно, и в версии 1.4 добавлена большая ее часть, но еще не последняя.

MAC в LSM. Далеко не фастфуд в управлении доступом

Прежде чем разбирать модель разграничения доступа в Astra Linux SE 1.4, следует вспомнить некоторые основы. Очевидно, что пользователям информационных систем требуется доступ к данным, а также к набору механизмов ОС, которые обеспечивают этот доступ, - например, к файловым системам и стекам сетевых протоколов.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.

Все выполняемые операции требуют привилегий пользователя root .

Astra Linux использует для конфигурирования сетей собственную утилиту wicd . В общем, она довольно удобна, но у неё есть фатальный недостаток - её писали не мы сеть не будет работать до авторизации пользователя в системе. Для обычных компьютеров в этом нет ничего страшного, однако, для сервера это большая проблема, так как иногда его приходится перезагружать по SSH.

Пусть компьютеры будут находиться в сети с адресами 192.168.0.XXX , где вместо XXX - число от 1 до 254.

Настройка осуществляется путем правки файла /etc/network/interfaces . Каждый сетевой интерфейс (сетевая карта, хотя это не совсем точное название) настраивается отдельно. Настройки для сервера выглядят так:

/etc/network/interfaces

Auto lo eth0 iface lo inet loopback iface eth0 inet static address 192.168.0.1 netmask 255.255.255.0 gateway 192.168.0.1 # В качестве шлюза - наш сервер с IP=1 network 192.168.0.0 # Указываем сеть, это обязательно для работы в составе ALD broadcast 192.168.0.255 # Сервер ALD начиная с Astra 1.5 выводит ошибку, если не видит # этого параметра в настройках сети. dns-nameservers 192.168.0.1

Первая строчка auto lo eth0 указывает, какие интерфейсы должны быть запущены при загрузке ОС. Отмечу, что локальная петля lo должна присутствовать там в любом случае.

Пропустим описание локальной петли и сразу перейдем к сетевому интерфейсу.

iface	Ключевое слово, говорящее о том, что дальше будет описание сетевого интерфейса
eth0	Указываем, что данный сетевой интерфейс должен быть привязан к сетевой карте eth0. Посмотреть список карт можно командой: lshw -class network
inet	Указываем, что это будет настройка сети.
static	При этом все настройки будут указаны вручную.
address	IPv4-адрес компьютера
netmask	Маска подсети.
gateway	Шлюз, т. е. IP-адрес, через который идёт подключение к интернету. Обычно на сервере указывают адрес, выданный провайдером, но в нашем случае (закрытый от мира сегмент) пусть будет 192.168.150.1, т. е. компьютер обращается сам к себе.
dns-nameservers	Список разделенных пробелами IP-адресов DNS-серверов. Полезно при разворачивании ЕПП под управлением Astra Linux и настройке приложения bind.

На клиентских компьютерах настройки следует выполнить аналогичным образом, меняя только четвёртый октет в поле address .

На этом настройка не заканчивается. Теперь нужно отключить автозапуск встроенных утилит и остановить уже запущенный экземпляр службы wicd, после чего перезапустить службу поддержки сети.

Service wicd stop chkconfig wicd off rm /etc/xdg/autostart/fly-admin-wicd.desktop service networking restart

Время от времени я тестирую "русские" дистрибутивы Linux. Так то я поклонник Live дистрибутивов, но в этот раз будет обзор дистрибутива с установкой на жесткий диск. По той простой причине, что у компании "РусБИТех" нет Live варианта дистрибутива Astra Linux Common Edition.

Итак, сегодня в меню Астра Линукс, которая, далее цитата с их сайта:

"Представляет собой операционную систему класса Linux, функционирующую на аппаратной платформе с архитектурой x86-64, включающую в свой состав компоненты свободного программного обеспечения и авторские решения разработчиков операционной системы Astra Linux Common Edition, позволяющие расширить возможности ее применения в качестве серверной платформы или на рабочих местах пользователей."

Ложка первая

Установка прямо с дегтя началась. Первое что выдает установщик это лицензионное соглашение и запрос на согласие с этим соглашением. Прямо как в Windows:)

В принципе ничего страшного в этом нет. То же самое например в другом "русском" дистрибутиве - Альт Линукс. Но здесь проблема в том, что в лицензионном соглашении РусБИТех есть ограничения: запрет на декомпиляцию и запрет на аренду и видимо на продажу (пункты 3.1.1 и 3.1.2 их лицензионного соглашения).

Нет, конечно, каждый разработчик ПО имеет право сам решать на каких условиях предоставлять свою программу. Но свою. А не чужую.

А тут ребята взяли код дистрибутивов Ubuntu и Debian, добавили немного своего кода и на все это в целом накладывают свои запреты.

А между тем дистрибутивы Ubuntu и Debian отличаются как раз тем, что трепетно относятся к свободе распространения ПО. Настолько трепетно, что все программные пакеты под ограничивающими лицензиями, у них выделены в отдельные репозитарии. Чтобы каждый пользователь видел - вот здесь свободное ПО, а вот здесь несвободное.

И большая часть кода дистрибутивов Ubuntu и Debian распространяется как раз свободно, под лицензией GNU GPL, в которой нет запретов ни на продажу, ни на аренду ни на декомпиляцию кода. В контексте ОС GNU Linux само понятие декомпиляция это бред. Поскольку любые программы ОС GNU Linux распространяются в исходных кодах. То есть добывать исходный код при помощи декомпиляции бинарного кода не нужно:)

Именно это - наличие исходных кодов и отсутствие запретов на их использование - позволило ребятам из РусБИТех создать "свою" операционную систему. И к слову сказать - сами они со спокойной совестью продают чужой код (код дистрибутивов Ubuntu и Debian) в своей версии Special Edition. А нам, конечным пользователям, запрещают это делать. Нормально, да:)

Хотел бы я посмотреть на этих "программистов", если бы в сообществе GNU Linux были вот такие запреты - на использование исходных кодов например. Как бы они получили "свою" ОС при таком раскладе? Неужели написали бы целую ОС сами? :)

Заканчивая эту тему.

Было бы правильно, с их стороны, указать перечень программ которые они действительно сами написали, с нуля, и вот это свое лицензионное соглашение привязать к этим программам и только к ним.

Не присваивая себе результаты труда тысяч людей из разных стран мира:)

За пример нормального лицензионного соглашения можно взять те, которые предлагают команды Альт Линукс и Роса Линукс на свои дистрибутивы. Там свободные и несвободные компоненты дистрибутива разграничены и ограничений на свободные компоненты нет. А в дистрибутиве Роса Линукс разработчики и свой код тоже под лицензией GNU GPL распространяют.

Ложка вторая - внешний вид

Снова о дегте. На этот раз речь пойдет о дизайне. При первом же входе в установленную систему, при первых движениях в ней, становится ясно - эклектичный дизайн Астра Линукс это смесь стилей Windows XP и Linux KDE. Вообще смешение стилей оформления это известный прием. Но тут проблема в том, что люди, которые создавали дизайн графической среды Астра Линукс, непрофессиональны. И в результате внешний вид графической среды Fly производит удручающее впечатление.

Если вы живете в г. Краснодар и страстно хотите установить Astra Linux - звоните, пишите:

Иван Сухов, 2015, 2018 г .

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354 . Или на телефон +7 918-16-26-331 .

Даже небольшая сумма может помочь написанию новых статей:)

Насчет "отечетсвенности" сказано с некторой натяжкой, поскольку разработана на основе Debian.
Но зато имеет важное отличие – сертификат по безопасности от ФСБ, о котором сказано следующее: "...На сегодняшний день «Astra Linux Special Edition» – это единственная в России операционная система, сертифицированная во всех трех системах сертификации средств защиты информации (ФСБ, Минобороны, ФСТЭК), позволяющая обрабатывать информацию ограниченного доступа, включая сведения, составляющие государственную тайну до степени секретности “совершенно секретно” включительно".
Разрешение на допуск к разработке совершенно секретных данных – это, конечно, круто, если не ошибаюсь – круче, чем NT.

Для русского патриота, которого коробит даже от мысли о возможном сливе информации в АНБ через вражеские ОСи, Astra Linux может оказаться настоящей находкой.

Но что скажут об этой ОС обитатели pgpru.com? Может, у кого-то уже есть опыт ее использования, отзывы, как насчет совместимости с репозитариями от Debian и допустимы ли они без потери достигнутой безопасности?

Потому что по описанию на сайте Astra выглядит кучеряво, а вот как оно на самом деле...

PS. Есть еще ОС "РОСА", но по отзывам, специалисты ее почему-то не очень жалуют.

Astra Linux Common Edition (релиз «Орел») является «гражданским» аналогом основного продукта линейки операционных систем компании РусБИТех — операционной системы в погонах Astra Linux Special Edition (релиз «Смоленск»). Если распространение ОС специального назначения ограничено, то дистрибутив версии общего назначения доступен для загрузки.
Согласно описанию с страницы дистрибутива Astra Linux CE:

представляет собой операционную систему класса Linux, функционирующую на аппаратной платформе с архитектурой x86-64, включающую в свой состав компоненты свободного программного обеспечения и авторские решения разработчиков операционной системы Astra Linux Common Edition, позволяющие расширить возможности ее применения в качестве серверной платформы или на рабочих местах пользователей.

В статье описан личный опыт использования Astra Linux CE в качестве «домашней» операционной системы.
Примечание: Автор не имеет отношения к компании — разработчику.

Получение дистрибутива

Образ дистрибутива можно скачать с официальной страницы загрузки .

Установка

Исчерпывающая инструкция по установке находится в руководстве по установке (pdf) . В нем описаны все опции и параметры инсталляции. В более лаконичном виде руководство в html формате находится в дистрибутиве (install-doc/index.html). В самом простом варианте установка в графическом режиме представляет последовательное нажимание кнопки «Продолжить».

Операционную систему можно установить с USB накопителя. На каждом экране установки есть возможность сделать скриншот и сохранить его на USB, с которого ставится операционная система.

Замеров времени установки не выполнял, но по субъективным ощущениям установка проходит довольно быстро.
Большинство выполняемых действий типичны для процесса установки *nix систем. Для интересующихся — под спойлером пошаговые скриншоты.

Этапы графической установки

После установки остался один неясный момент: где ввод пароля для суперпользователя? Просмотрев справочное руководство такую форму нашел, но по факту она не появлялась в процессе установки. Пришлось потом в режиме восстановления создать учетную запись root.

Загрузка операционной системы и вход в систему

Загрузчик GRUB с фирменным background-ом. Во время запуска системы стартует серверная fly-dm и графическая часть fly-qdm оболочки.
Все приложения, имеющие префикс fly- являются разработками авторов дистрибутива. Большинство из них имеют мнемонические сокращения (например fly-fm — файловый менеджер, fly file manager).

Рабочий стол



В левой части панели задач находятся кнопки вызова стартовой меню-панели Fly, кнопка сворачивающая/разворачивающая все окна, кнопка включения режима выбора рабочего стола, кнопка отображения переключателя окон и схематическое изображение рабочих столов.

Набор панели задач справа зависит от текущих запущенных программ, но в общем случае содержит менеджер сетевых соединений fly-admin-wicd , утилиту проверки обновлений fly-update-notifier , регулятор громкости QasMixer, индикатор/переключатель раскладки клавиатуры fly-xkbmap , часы fly-admin-date . При подключении USB-накопителя появляется пиктограмма, кликнув по которой можно монтировать накопитель и открыть содержимое в файловом менеджере fly-fm или Midnight Commander.

Справочная система

Вызвав ту или иную программу fly и нажав F1 можно получить справку по данной программе. Справка отображается в программе Qt Assistant. По древовидной структуре возможно перейти к любой программе. Все программы разбиты на разделы.

Горячие клавиши

Почти все горячие клавиши выполняют действия, аналогичные (или схожие) с таковыми в MS Windows. Например, нажатие клавиши Win открывает панель-меню. Alt+tab отображает переключатель окон. Win+D сворачивает все окна, а повторное нажатие Win+D разворачивает окна (но при этом их порядок уже меняется — они разворачиваются от первого до последнего согласно их очередности в панели задач), Win+E открывает менеджер файлов fly-fm.
Полное описание горячих клавиш находится в справочной системе.

Терминал Fly

Терминал Fly — это графическая оболочка для командного интерпретатора bash 4.2.37(1).



Терминал позволяет создавать сессии в новых вкладках, которые нумеруются по мере их открытия. Вкладки можно переименовывать. В ниспадающем меню в панели задач можно выбрать команду из заранее определенного списка (если совсем лень руками вводить). Содержимое данного меню можно настроить, добавив свои команды и переопределив порядок размещения команд. Для терминала можно выбрать одну из предустановленных цветовых схем, или задать свою.
Выделив текст можно нажать правой кнопкой мыши и в появившемся контекстном меню выбрать необходимое действие.

Офисные средства

Офисные средства представлены пакетом LibreOffice 4.2.4.2, словариком GoldenDict, программой просмотра pdf qpdfviewer, а также текстовым редактором JuffEd.

Файловый менеджер fly-fm

Файловый менеджер внешне очень напоминает «Проводник» из мира Microsoft.



В fly-fm директории можно открывать как в отдельных окнах, так и в новых вкладках. Расположение «Избранное» позволяет добавить ссылки на каталоги, для этого необходимо перейти в нужную директорию, щелкнуть правой кнопкой по Избранному и выбрать «Добавить текущее местоположение в Избранное». Только на деле эта возможность порой оказывается бесполезной, так как в строке адреса и на вкладке отображается путь в виде «Избранное/sdk» и если мы добавим в «Избранное» еще одну директорию «sdk», то их адрес будет выглядеть одинаково.

С помощью fly-fm можно непосредственно подключать директории FTP, для этого соответствующий адрес нужно ввести в адресную строку. FTP-директория появится в расположении «Сеть».

Чтобы открыть терминал в текущей директории, можно выбрать Сервис->Открыть терминал, при этом текущей директория станет та, которая является текущей в fly-fm.

Создать новый файл можно в любой (доступной) директории, выбрав из контекстного меню соответствующий пункт.
Заметка: в предыдущей версии ОС в fly-fm был досадный недостаток — невозможно было скопировать файл в ту же директорию — менеджер предлагал заменить его самим же собой. В текущей версии к имени файла добавляется текст вида «Копия файла (1)».

Мультимедиа

Мультимедийные средства представлены следующими программами:

• VLC Media Pleer
• QasMixer
• Audacity
• Clementine
• guvcview
• Видеокамера (fly-videocamera)
• Звукозапись (fly-record)
• Запись дисков (fly-cddvdburner)

Для установленной на ноутбуке web-камеры в Astra драйверов не нашлось.

Средства работы с графикой

В разделе меню «Графика» имеются ярлыки для программ:

• EasyPaint
• Inkscape
• Работа с изображениями (fly-image)
• Распознавание текста (fly-ocr)
• Сканирование (fly-scan)
• Снимок экрана (fly-snapshot)
• Фотокамеры (fly-photocamera)

Из всего этого набора пользовался только GIMP и fly-snapshot. про GIMP ничего не могу сказать, а fly-snapshot настолько прост, что в большинстве случаев годится только для захвата экрана и последующей передачи изображения в GIMP. Если область, которую необходимо обрезать, в высоту занимает значительную часть, то ее становится невозможно обрезать инструментом «прямоугольная обрезка» а инструмента «crop» (обрезки) перетягиванием границ в этой программе нет. Надеюсь со временем появится скриншотер, который сможет автоматически делать скрин по геометрии окна.



Также среди стандартных программ для работы с графикой лично мне не хватает color picker"а. Пришлось устанавливать gpick из репозитория Debian Wheezy.

Настройки

Описание всех программ, для настройки системы заняло бы непозволительно много места, поэтому я просто приведу скриншот данного раздела панели-меню Fly, которое вызывается при нажатии на красную звезду в левой нижней части экрана.

Программы из раздела «настройки» позволяет вносить большинство необходимых изменений в конфигурацию системы исключительно в оконном режиме (в рамках, ограниченных их функционалом).

Средства разработки

Создание fly-приложений регламентируется Руководящими указаниями по конструированию прикладного программного обеспечения для операционной системы общего назначения «Astra Linux Common Edition» (pdf) . В данном документе перечисляются все инструментальные средства разработки, имеющиеся в системе.

Основным фреймворком для разработки под Astra Linux является Qt 4.8.6 для версии 1.9 и 4.8.6/5.3.0 для версии 1.10. Выбрав при установке астры 1.10 пункт «Средства разработки» будет установлен только набор для Qt 5.3.0, для 4.8.6 необходимо установить пакет libqt4-dev.

Ниже представлено содержимое вкладки «Разработка» стартовой панели-меню.

Заключение

Рекомендовал бы я ставить Astra Linux Common Edition в качестве дексктоп-системы простого пользователя? Скорее нет, чем да, если только у вас нет на то необходимости/заинтересованности.

Вся особенность и собственно причина создания Astra Linux (на мой взгляд) заключена в его специализированной версии. Изначально этот дистрибутив не создавался для домашних пользователей. Можно посмотреть страницу с перечнем совместимого оборудования и понять, что у большинства пользователей «со стороны» установивших систему на свое оборудования будут проблемы с совместимостью (на ПК пришлось устанавливать проприетарный драйвер Nvidia для дискретной карты (так как c nouveau были проблемы с отображением), на ноутбуке — драйвер для Wi-Fi).

Но меня радует, что система активно развивается, устраняются недочеты, которые были в предыдущих версиях. Надеюсь, что в следующем релизе система станет еще лучше.