Операционная система астра линукс описание

Обновлено: 05.10.2024

Курс, установленный правительством на уменьшение зависимости от зарубежных поставщиков оборудования, запчастей, микроэлектроники и программного обеспечения, среди прочего влияния на экономику, привел к развитию национальных операционных систем. Их основой стали открытые по исходному коду разработки, в настоящее время использующиеся не только в России, но и во всем мире.

Речь идет об ОС на основе ядра и экосистемы Linux . Программный фонд последней, вместе с поддержкой стороннего оборудования, покрывает любые запросы пользователей. В итоге, Linux дает возможность применять аналогичные системы, взамен их коммерческих вариантов, наподобие Microsoft Windows.

Виды поставки

В рамках каждой специальной редакции Astra Linux присваивается имя по городам воинской славы:

Смоленск : X86_64

Новороссийск : ARM

Керчь : Power

Севастополь : MIPS

Ленинград : Эльбрус

Главное отличие от Debian

В защиту сборок Astra Linux можно сказать о том, что авторы делают в своем репозитории бакпорты современных версий клиентского и серверного ПО, позволяющие ему оставаться относительно актуальным. Плюсом служит и фактор обеспечения системной безопасности дистрибутива. В нем применяется организация мандатной модели доступа программ, хорошо описанная в статье на Хабре .

Еще одно отличие Astra Linux от прочих сборок, важное при системном администрировании, – его состав. Часть пакетов безальтернативна и проприетарна. Их исходные коды разработчиками не публикуются. Сюда относятся все программы, названия которых начинающиеся с fly-*, включая оконный менеджер fly-wm, дисплейный fly-dm, диспетчер файлов fly-fm и многие элементы консоли управления – fly-admin. Все перечисленное установлено по умолчанию и служит основным отличием сборок Astra Linux во всех её редакциях от прочих дистрибутивов.

Оконный менеджер и сопутствующее ПО

Отдельного упоминания заслуживает оконный менеджер, полностью разработанный авторами Astra Linux. Речь идет о Fly-wm. Изначально он близок и понятен пользователям ОС Windows 7, 8 и 10 по причине схожести интерфейса и нахождении утилит настройки именно в тех местах, где они и должны, в теории, быть. Последнее, к примеру, не наблюдается в еще одном российском дистрибутиве – Rosa Linux. Средства контроля системы, включая требующие административных привилегий, раскиданы по его меню без какой-либо сопутствующей классификации.

Распространенные мультимедийные кодеки идут изначально в составе ОС, отдельных усилий по их интеграции не требуется. Из архиваторов установлены по умолчанию gzip, bzip2, tar, 7z, unrar. Создание и открытие архивов Rar, Zip и Arj выполняется через уже идущий в поставке 7zip-full.

Кроме оконного менеджера, для Astra Linux доступен режим киоска с запуском только избранных администратором программ и оболочек.

Минусы Fly-wm и дистрибутива в общем

Относительная отсталость версий пакетов не играет роли, если применяется ПО только из стандартного набора, но она станет камнем преткновения при интеграции сторонних программ. Особенно их проприетарных версий, которые невозможно самостоятельно собрать с уже присутствующими библиотеками системы. Приходится использовать последние от иных дистрибутивов или же компилировать требуемые версии из исходного кода, что, в конечном итоге, увеличивает нагрзуку на администраторов, обслуживающих парк персональных компьютеров с Астра Линукс.

Еще одним минусом сборки можно назвать отсутствие альтернативы оконному менеджеру Fly-wm. В дистрибутивах Astra Linux не предусмотрена замена его на GNOME, KDE, XFCE или любой другой. Плюсы Astra Linux

Прикладное ПО

Программное обеспечение в составе дистрибутивов Astra Linux, или присутствующее в его репозиториях, полностью удовлетворяет все потребности среднестатистического пользователя. Офисные работники найдут комплексы электронных таблиц, текстовых документов или ПО для создания презентаций. Дизайнерам будут интересны графические редакторы, от самых простых до профессиональных, уровня Adobe Photoshop. Разработчикам ПО представлено многообразие языков написания программ. Технологам и инженерам – соответствующие утилиты расчета и визуализации электронных, гидравлических или иных схем, в том числе полноформатные CAD`ы. Есть программные комплексы для Web-дизайнеров. Не обижены и системные администраторы: им в помощь подготовлены утилиты архивации и восстановления данных, различные сетевые серверы, тестовые, наладочные и информационные программы по аппаратной составляющей ПК. Не забыта и ниша развлечений, включающая в себя медиаплееры вместе с играми.

С некоторыми ограничениями доступен через прослойку WINE запуск программ, изначально предназначенных для Windows, аналогов которых в Linux нет. В реальности список совместимого софта у подобной связки очень велик. Примером служит тот факт, что WINE используют и для старта несовместимых приложений в самой Windows 10. Естественно, в последнем случае прослойка устанавливается и конфигурируется отдельно, силами самих пользователей. В Astra Linux стабильная версия WINE изначально присутствует в репозитории.

Что такое Astra Linux?

Таким вопросом задаются почти все, кто слышит про новый релиз на основе ОС Linux.

Учитывая все вышеперечисленные проблемы, многие крупные корпорации и даже целые государства занимаются разработками собственных дистрибутивов ОС.

Механизмы безопасности

Все механизмы безопасности были спроектированы и реализованы с нуля. В основу легли многолетние научные разработки в области контроля информационных потоков в защищенных информационных системах с мандатным и ролевым управлением доступа. (Для желающих проникнуться, можно ознакомиться с патентом № RU 2 525 481 C2 или учебным пособием с обилием технических деталей и практики).

Благодаря собственным разработкам в области средств защиты, дистрибутивы ALSE ежегодно проходят самые жесткие исследования исходных кодов на недекларируемую функциональность. На данный момент ALSE сертифицирована во всех системах сертификации информационной безопасности РФ.

В дополнение к этому, разработчик ALSE обратился в Центр верификации операционной системы Linux при Институте системного программирования РАН РФ для математической верификации формальной модели безопасности, используемой в ОС. Это было сделано, чтобы подтвердить соответствие математической модели безопасности и ее реализации в ОС и, тем самым, дополнительно исключить всякого рода недокументированные возможности в исходных кодах ALSE. К слову сказать, аналогичных центров и методик исследований вообще нет в странах СНГ.

Учитывая все вышеперечисленное, можно сказать, что были предприняты беспрецедентные меры по тестированию ALSE на безопасность. Планка была поднята настолько высоко, что ни один мировой разработчик операционных систем пока не смог достичь такого уровня проверок безопасности на просторах стран СНГ.

Какие есть особенности в ОС Astra Linux SE?

Более подробно об особенностях ОС ALSE можно почитать здесь.

Остановимся на тех, которые бросаются в глаза:

Такой подход позволяет максимально закрыть все потребности в жизненно необходимых сервисах без приобретения дополнительного ПО. По нашей статистике, на этом можно существенно сэкономить на лицензионных отчислениях от 300% до 400%. При этом основное прикладное ПО уже сертифицировано на безопасность.

2) Всей информации, попадающей в систему, присваивается уровень конфиденциальности. Кроме этого, все носители информации, включая переносимые, также категорируются по уровням конфиденциальности. Поэтому, если носителя информации нет в базе соответствующего уровня доступа, то вы просто не сможете туда записать информацию. Если вы захотите вывести документ на печать, то ваш документ попадет в защищенный комплекс печати и маркировки документов. Здесь по настроенному шаблону будет сформирован штамп, отражающий степень секретности, ФИО, дату и другие данные о печатающем лице. Это позволяет значительно упростить работу с бумажным делопроизводством в соответствии с утвержденными регламентами и политиками безопасности (ПБ) по ИБ.

Данный функционал прекрасно вписывается в современную парадигму управления ИБ по ISO/IEC серии 27000 и других нормативных актов, специфических для юрисдикций стран СНГ.

3) Ещё одним интересным компонентом является механизм внедрения мандатных меток в пакеты протокола IP по RFC 1108. Это позволяет применять мандатный контроль доступа к сетевым соединениям (сокетам). При этом метка сокета наследуется от субъекта (процесса).

4) Все приложения, которые входят в дистрибутив ОС ALSE, поддерживают механизмы мандатного контроля доступа. Это позволяет создать единую среду безопасности, включающую ОС и основное ПО. Поэтому вы получаете не только защищенную ОС, но еще и защищенные приложения.

5) Все понимают, что когда дело доходит до средних и крупных сетей, на первый план выходит задача централизованного управления. Для этих целей в ОС ALSE был разработан домен Astra Linux Directory (ALD).

ALD позволяет для всех связанных сетевых ресурсов и пользователей создать единую систему идентификации и аутентификации с централизованным управлением ПБ в соответствии с правилами мандатного разграничения доступа. Это существенно упрощает управляемость ИТ-инфраструктурой без потери контроля над безопасностью.

ОС ALSE прошла 10-летний путь разработки драйверов под разнотипную технику: от планшетов до мэйнфрэймов. Были найдены взаимопонимание и прямой контакт даже с такими вендорами, как HP, Dell, IBM, Huawei, Samsung и другими. Хотя нужно признать, работы в этой области еще очень и очень много, т.к. 60% работ над каждым новым релизом ОС занимает поддержка новых драйверов.

7) Разнотипное оборудование создает еще одну проблему – это поддержка ОС разнотипных аппаратных платформ. На данный момент ОС ALSE работает на 6 различных аппаратных платформах: x86-64, ARM, System Z, Power PC, MIPS, Эльбрус (в режиме совместимости).

8) Защищенная графическая система FLY предотвращает реализацию угроз нарушения конфиденциальности и целостности, запуская графический сеанс в соответствии с мандатным контекстом сесии. Еще одна интересная особенность FLY – это цветовая подкраска окна запущенного приложения в соответствии с мандатным уровнем и циферное отображение в трее мандатного контекста сессии. Это позволяет быстро увидеть, под какими полномочиями работает пользователь.

9) Контроль целостности ОС, прикладного ПО и СЗИ. ОС ALSE поддерживает контроль целостности на базе хэш-функции, как в ручном, так и в автоматическом режиме в соответствии с настроенным расписанием.

Кроме этого, реализован механизм проверки неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе ЭЦП, внедряемой в исполняемые ELF-файлы. Для разработчиков прикладного ПО под ALSE предусмотрен механизм внедрения ЭЦП в исполняемые файлы запускаемого ПО.

10) Изоляция модулей. Ядро ОС ALSE обеспечивает собственное изолированное адресное пространство для каждого процесса в системе. Такой механизм изоляции основан на страничном механизме защиты памяти, а также на механизме трансляции виртуального адреса в физический, поддерживаемый модулем управления памятью. Более подробно про данные механизмы можно почитать здесь, либо в документации на ALSE.

11) Очистка оперативной и внешней памяти с гарантированным удалением файлов. Ядро ОС ALSE гарантирует, что обычный непривилегированный прогресс не получит данные чужого процесса, если это явно не разрешено правилами разграничения доступа.

13) Средство управления политикой безопасности. Обеспечивает учет подключаемых устройств и съемных носителей в системе, установку дискреционных и мандатных атрибутов доступа пользователей к устройствам и создание дополнительных правил доступа к устройству (например, ограничение на подключение устройства только в определенный USB-порт).

14) Средства ограничения прав доступа к страницам памяти. Средства ограничения прав доступа к страницам памяти реализованы на основе набора изменений PaX для ядра операционной системы, который обеспечивает предоставление наименьших привилегий для процессов при доступе к сегментам памяти в собственном адресном пространстве.

Главной функциональной возможностью набора изменений PaX для ядра операционной системы является защита исполняемого кода в адресном пространстве. Эта защита использует технологии бита запрета исполнения в процессоре (NX-бит) для предотвращения выполнения произвольного кода.

• интеграция с ядром ОС ALSE и базовыми библиотеками для обеспечения разграничения доступа
• запрет создания исполняемых областей памяти
• запрет перемещения сегмента кода
• запрет создания исполняемого стека
• рандомизация адресного пространства процесса

15) Средства централизованного протоколирования. В ОС ALSE реализована собственная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы. В библиотеках безопасности реализован прикладной программный интерфейс для использования подсистемы протоколирования. Средства централизованного аудита обеспечивают сбор и представление администратору безопасности сети информации о событиях безопасности в автоматизированной системе.

16) Виртуализация и терминальные режимы доступа. ОС ALSE позволяет запускать тонкие клиенты, которые работают в терминальном режиме. Поддерживаются следующие протоколы: VNC, RDP, SPICE. Схема работы приведена ниже.

В качестве гостевой ОС может выступать любая операционная система, даже Windows. Таким образом можно создать замкнутую защищенную среду и запускать в ней не очень доверенное ПО. Еще одним плюсом является повышение безопасности, т.к. вся информация хранится централизованно в системе виртуализации, а требования к клиентским терминалам снижаются. Более подробно можно посмотреть здесь.

Заключение

Разработаны и включены в состав операционной системы программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.

Мандатное разграничение доступа

В операционной системе реализован механизм мандатного разграничения доступа. При этом, принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение / запись / исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.

Изоляция модулей

Ядро операционной системы обеспечивает для каждого процесса в системе собственное изолированное адресное пространство.

Очистка оперативной и внешней памяти, гарантированное удаление файлов

Операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении.

Работа этой подсистемы снижает скорость выполнения операций удаления и усечения размера файла, однако возможна различная настройка данной подсистемы для обеспечения работы файловых систем с различными показателями производительности.

Маркировка документов

Разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учетные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения.

Реализована оригинальная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса.

Механизмы защиты информации в графической подсистеме

Графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях.

Разработанный рабочий стол пользователя Fly тесным образом интегрирован с механизмами защиты информации. В нем реализованы следующие возможности:
графическое отображение мандатной метки каждого окна;
возможность запускать приложенияс разными мандатными метками.

Режим "КИОСК".
ограничение действий пользователя

Степень этих ограничений задается маской киоска, которая накладывается на права доступа к файлу при любой попытке пользователя получить доступ.

Для установки прав доступа существует система профилей — файлы с готовыми наборами прав доступа для запуска каких-либо программ. Также есть средства создания таких профилей под любые пользовательские задачи.

Защита адресного
пространства процессов

В операционной системе для исполняемых файлов используется формат, позволяющий установить режим доступа к сегментам в адресном пространстве процесса.

Централизованная система сборки программного обеспечения гарантирует установку минимального режима, необходимого для функционирования программного обеспечения. Также существует возможность использования технологии NOT EXECUTE BIT, поддерживаемой современными процессорами.

Механизм контроля замкнутости программной среды

Реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF cialis online. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.

Предусмотрена возможность предоставления сторонним разработчикам программного средства для внедрения векторов аутентичности в разрабатываемое ими программное обеспечение.

Контроль целостности

Для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94. Базовой утилитой контроля целостности является программное средство на основе открытого проекта "Another File Integrity Checker".

Средства организации домена

Для организации доменной структуры разработана подсистема Astra Linux Directory (ALD) на базе открытых стандартов LDAP. Эта подсистема предоставляет средства для организации домена и единого пространства пользователей, которые обеспечивают:

сквозную аутентификацию в сети;

централизацию хранения информации об окружении пользователей;

централизацию хранения настроек системы защиты информации на сервере;

централизацию управления серверами DNS и DHCP;

интеграцию в домен защищенных серверов СУБД, серверов печати, электронной почты, web-сервисов и др.;

централизованный аудит событий безопасности в рамках домена.

Защищенная реляционная СУБД

В состав операционной системы входит объектно-реляционная СУБД PostgreSQL, в которой реализованы дискреционный и мандатный механизмы контроля доступа к защищаемым ресурсам БД.

В основе мандатного механизма разграничения доступа лежит управление доступом к защищаемым ресурсам БД на основе иерархических и неиерархических меток доступа. Это позволяет реализовать многоуровневую защиту с обеспечением разграничения доступа пользователей к защищаемым ресурсам БД и управление потоками информации.

Защищенный комплекс программ гипертекстовой обработки данных

В состав защищенного комплекса программ гипертекстовой обработки данных входят браузер Mozilla Firefox и web-сервер Apache, интегрированный со встроенными средствами защиты информации для обеспечения мандатного разграничения доступа при организации удаленного доступа к информационным ресурсам.

Защищенный комплекс программ электронной почты

В состав комплекса входят сервер электронной почты, состоящий из агента передачи электронной почты Exim и агента доставки электронной почты Dovecot, а также клиент электронной почты Mozilla Thunderbird, обеспечивающие следующие функциональные возможности:

Агент передачи электронной почты использует протокол SMTP и обеспечивает решение следующих задач:

Астра Линукс – российская операционная система на базе Debian GNU/Linux, ориентированная на защиту конфиденциальной информации и предназначенная для защищённых рабочих станций и серверов. Система разработана для спецслужб, государственных предприятий и бизнес клиентов, для которых важна безопасность и защита информации. Редакция Common Edition подходит для домашнего использования.

Собственное графическое окружение Fly включает интуитивно понятный интерфейс и рабочий стол, а также файловый менеджер оконного типа и различные средства настройки для пользователей и системных администраторов. Привычный интерфейс удобен и понятен начинающим пользователям, что делает операционную систему Astra Linux хорошим вариантом для импортозамещения ПО.

Операционная система включает авторские разработки и свободное программное обеспечение, и готова для использования как на рабочих местах и ноутбуках, так и на серверах, встраиваемой специальной технике и мобильных устройствах. Система поддерживает работу на отечественных процессорах Эльбрус, Байкал и Комдив и имеет совместимость с большинством отечественного программного обеспечения, например 1С:Предприятие 8, Мой офис и КриптоПро CSP.

Читайте также:

  
• Саратовская 6 озимая рожь
  
• Можно ли хранить фасоль в морозилке
  
• Уборка снега с газонов в зимний период
  
• Машины для посева по стерне
  
• Какие растения помогают при ушибах