Меню Рубрики

Системные требования astra linux

Российская защищенная ОС «Astra Linux»

Разработку на базе ядра Linux начало в 2008 году АО «НПО РусБИТех». Система принята на снабжение Минобороны РФ приказом министра в 2013 году, министерство также приняло участие в доработке продукта[6]. Система внедряется во исполнение распоряжения Правительства РФ № 2299-р от 17 декабря 2010 г., утверждающего План перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на использование свободного программного обеспечения (! — из серии: война — это мир, ложь — это истина, свободное ПО — это свободно недоступная ОС АстраЛинух).

Производитель заявляет, что «лицензионные соглашения на операционные системы Astra Linux разработаны в строгом соответствии с положениями действующих правовых документов Российской Федерации, а также международных правовых актов», при этом они «не противоречат духу и требованиям лицензии GPL». Система работает с пакетами на базе .deb. Исходные тексты ядра доступны на сайте разработчика.

В состав дистрибутива входят такие пакеты с открытым исходным кодом, как офисный пакет LibreOffice, браузер Firefox, почтовый клиент Thunderbird, редактор растровой графики GIMP, проигрыватель мультимедиа VLC и другие, что делает эту ОС уязвимой от закладок в этом ПО.

В августе 2017 г. разработчики Astra Linux и пакета офисных приложений «МойОфис» сообщили о запуске совместного продукта — программной платформы, в состав которой входят Astra Linux и «МойОфис».

В феврале 2018 г. объявлено, что Astra Linux была адаптирована для российских микропроцессоров «Эльбрус».

Применение ОС АстраЛинух

Система применяется во многих государственных учреждениях. В частности, на ней построена информационная система Национального центра управления обороной РФ (по чему можно оценить реальный уроень его защищенности). В июле 2015 г. состоялись переговоры о переводе на Astra Linux госучреждений Республики Крым, в которой официальное использование популярных ОС затруднительно из-за антироссийских санкций. В ноябре 2015 года подписано соглашение о сотрудничестве[16] с производителем серверов Huawei, который начал тестировать свои серверы на совместимость с Astra Linux.

В январе 2018 года Минобороны РФ объявило, что полностью переводит все военные ПК на Astra Linux и отказывается от Microsoft Windows. После этого планируется перевод на Astra Linux военных смартфонов и планшетов.

Основные версии ОС АстраЛинух

Производителем разрабатывается базовая версии Astra Linux — Common Edition (общего назначения) и её модификация Special Edition (специального назначения):

  • — издание общего назначения — Common Edition — предназначено для среднего и малого бизнеса, образовательных учреждений;
  • — издание специального назначения — Special Edition — предназначено для автоматизированных систем в защищённом исполнении, обрабатывающих информацию со степенью секретности «совершенно секретно» включительно; новые версии выходят с периодичностью в 2 года.

Операционная система Astra Linux Special Edition основана на дистрибутиве Astra Linux Common Edition и включает в себя ряд принципиальных доработок для обеспечения соответствия требованиям руководящих российских документов по защите информации. Кроме того, в целях оптимизации из дистрибутива Astra Linux Special Edition исключён ряд дублирующих друг друга компонент, решающих сходные целевые задачи. Например, из двух СУБД MySQL и PostgreSQL, входящих в состав Astra Linux Common Edition, в дистрибутив операционной системы Astra Linux Special Edition включена СУБД PostgreSQL, доработанная по требованиям безопасности информации.

Выпускаемые релизы носят названия городов-героев России:

Релизы Astra Linux

  • Архитектура Common Edition Special Edition Сфера применения
  • x86-64 Орёл Смоленск рабочие станции и серверы
  • ARM — Новороссийск мобильные устройства и встраиваемые компьютеры
  • MIPS — Севастополь настольные и мобильные устройства, сетевое оборудование
  • POWER — Керчь высокопроизводительные серверы
  • IBM System z — Мурманск отказоустойчивые серверы (мейнфреймы)
  • Эльбрус 2000 — Ленинград[22] вычислительные комплексы «Эльбрус»

История версий ОС «Astra Linux»

  • Версии Astra Linux Special Edition (Смоленск)
  • Версия Название Дата выпуска Версия ядра Linux
  • 1.2 Astra Linux Special Edition (Смоленск) 28 октября 2011 2.6.34
  • 1.3 Astra Linux Special Edition (Смоленск) 26 апреля 2013 3.2.0[23]
  • 1.4 Astra Linux Special Edition (Смоленск) 19 декабря 2014[24] 3.16.0
  • 1.5 Astra Linux Special Edition (Смоленск) 08 апреля 2016[25] 4.2.0
  • Версии Astra Linux Сommon Edition (Орёл)
  • Версия Название Дата выпуска Версия ядра Linux
  • 1.5 Astra Linux Сommon Edition (Орёл) конец 2009 2.6.31
  • 1.6 Astra Linux Сommon Edition (Орёл) 23 ноября 2010
  • 1.7 Astra Linux Сommon Edition (Орёл) 3 февраля 2011 2.6.34
  • 1.9 Astra Linux Common Edition (Орёл) 12 февраля 2013 3.2.0
  • 1.10 Astra Linux Common Edition (Орёл) 14 ноября 2014[26] 3.16.0[23]
  • 1.11 Astra Linux Common Edition (Орёл) 17 марта 2016[27] 4.2.0[28]
  • 2.11.3 Astra Linux Common Edition (Орёл) 29 марта 2018 4.15.3

Особенности версии ОС «Astra Linux» Special Edition

Идентификация и аутентификация в ОС «Astra Linux»

Функция идентификации и аутентификации пользователей в Astra Linux основывается на использовании механизма PAM. Кроме того, в состав операционной системы включены средства поддержки двухфакторной аутентификации.

Дискреционное разграничение доступа в ОС «Astra Linux»

В Astra Linux реализован механизм избирательного управления доступом, который заключается в том, что на защищаемые именованные объекты устанавливаются (автоматически при их создании) базовые правила разграничения доступа в виде идентификаторов номинальных субъектов (UID и GID), которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x).

Кроме общей схемы разграничения доступа, Astra Linux поддерживает также список контроля доступа — ACL, с помощью которого можно для каждого объекта задавать права всех субъектов на доступ к нему.

Мандатное разграничение доступа в ОС «Astra Linux»

В операционной системе реализован примитивный иерархический механизм мандатного разграничения доступа (то есть какому-то юзеру достаточно получить высокий иерархический уровень, чтобы иметь доступ к любой не относящейся к его компетенции информации «нижних» уровней). Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.

Механизм мандатного разграничения доступа затрагивает следующие подсистемы:

  • механизмы IPC;
  • стек TCP/IP (IPv4);
  • файловые системы Ext2/Ext3/Ext4;
  • сетевую файловую систему CIFS;
  • файловые системы proc, tmpfs.

В Astra Linux Special Edition существует 256 мандатных уровней доступа (от 0 до 255) и 64 мандатных категории доступа

При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создаёт для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.

Модель контроля и управления доступом в ОС «Astra Linux»

Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель), которая как бы лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределённой среде) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы.

В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени.

Указанная математическая модель реализована в программном коде специалистами АО «НПО „РусБИТех“» и Академии ФСБ России и верифицирована Институтом Системного программирования Российской Академии Наук. В результате дедуктивной верификации модель была полностью формализована и верифицирована (что означает возможность ее вскрытия методом обхода дедуктивных схем).

В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.

Защита от эксплуатации уязвимостей ОС «Astra Linux»

В состав ядра операционной системы Astra Linux включён набор изменений PaX, обеспечивающий работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении:

  • запрет записи в область памяти, помеченную как исполняемая;
  • запрет создания исполняемых областей памяти;
  • запрет перемещения сегмента кода;
  • запрет создания исполняемого стека;
  • случайное распределение адресного пространства процесса.

Другие функции ОС «Astra Linux»

Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.

Маркировка документов: разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен (приходится делать снимок экрана ).

Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.

Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях, запущенных в собственном изолированном окружении.

Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2012 и внедряемых в исполняемые файлы в процессе сборки.

Контроль целостности: для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94.1

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Системное программирование под linux
  • Системное администрирование в linux адельштайн т любанович б
  • Системное администрирование linux практикум
  • Система управления конфигурациями linux
  • Синхронизация файлов между серверами linux