Победить загрузку рабочего стола на Астра Линукс SE 1.7.4

Вам сюда: https://astralinux.ru/support/

У них сплошное «переустановите».

так переустанови их астру на цент

Не могу, штука служебная -)

Зайди в вирттерминал и орудуй оттуда. Логи должны быть в /var/log.

Техподдержка сказала, что так неправильно, но уже поздно.

А в чем неправильность то ? Если это установочный iso то ничего не будет. Те пакеты что на iso и так уже стоят.

Недавно абгредился с debian 11.7 до 12, проблем никаких. Вот мне интересно что тут за проблемы то …

Я знаю где логи хранятся.

Это удобная отмазка. Но факт - проблемы я заработал.

// молчит и никого в гугл не посылает

Ты по сути убил систему, если я правильно понял. Переустанавливай и не бузи, так быстрее. Поддержка — это не про восстановление от криворукости, это про штатные инструменты.

Так и прочитай в них, в чём конкретно проблема, на каком этапе затык.

значит меняй службу. эта астра древрусская поделка, так они и не смогли, сколько не пытались. асейчас у них тем более ресурсов не хватит. Сколько ты уже времени потратил на решение этой проблемы? а в убунте все работает из коробки. Техподдрежка эта, сколько времени потратили? результат 0. ну зачем это нужно?

А в чем неправильность то ?

В астре используется своя система управления правами доступа и для нормального обновления системы в неё надо правильно заходить.

Если это установочный iso то ничего не будет.

Он обновил 1.7.3 до 1.7.4. Скорее всего, с каким-нибудь не тем уровнем доверия у него теперь все метки слетели.

Переустановка действительно решит проблемы.

почему нельзя востановить метки без переустановки?

Попробуешь объяснить, как это сделать, человеку, который не читал документацию перед обновлением боевого сервера? Я не хочу )

почему нельзя востановить

можно, но:

1. они расставляются под каждый частный случай администратором безопасности
2. во всех случаях, что мне известны, система мандатного контроля доступа отключается с причитаниями, аналогичными тем, что изрекают «администраторы» при первой встрече с selinux, только тут еще мудрёнее
3. это надо уметь (и чинить и отключать)

мандатные метки - не единственный нюанс при обновлении этого дистрибутива и авторы даже родили отдельную утилиту, которая делает это автоматически (и apt-get dist-upgrade - лишь маленький винтик во всём этом процессе. тулза, как водится, закрытая. и что там происходит - неведомо. можно только догадываться)

Прикольно. Нужно будет почитать про это, я дурак думал что они юзают банальный app-armour.

Нет, там своя реализация и модель, которая даже проходила формальную верификацию в каком-то институте. Можно поискать в их пиар материалах.. )

Режим замкнутой программной среды - это они подобрали какой-то не принятый в апстрим древний патч, который а момент исполнения проверяет ключ, записанный в конец бинарных файлов.

А вот мандатный режим я не нашел на просторах - не исключаю, что сами написали. И это как раз и есть главный изюм астры.

Гражданин, откуда вы скачали образ Astra Linux SE?

так они раздают всем желающим, приходишь и плачешь, «хотим импортозаметится», «все нас кинули» и они тебе отсыпают.

Вы государственная организация?

Ужлучше редос тогда - там хоть почти неполоманый центос

Не сервера, а рабочей станции. И пока ещё не боевой. И мандатные метки не используются (pdp-ls не показывает их наличие). А отправлять к чтению документации - мощно, когда сам не понимаешь, как это работает. Или я не прав? -)

Я - первопроходец. Испытываю на себе то, что, в перспективе, будет установлено во всей организации.

там хоть почти неполоманый центос

Там он как раз таки хорошо изуродован. Версии всех системных компонентов обновлены, причём без особого знания дела. Совместимость с epel нарушена.

Как пример, на x86, или на aarch64, или на обоих, компилятор был обновлён на довольно свежий. И компилирует он под dwarf-5. А библиотеки для работы с пятым dwarf’ом не обновлены. По итогу компиляторы со штатными опциями генерируют заведомо не работающий в ОС код. Проблема решаема, нужно просто добавить компилятору флаг dwarf-4. Только вот в rpmmacros этого не сделано.

Тогда испытывай на себе Common Edition. Его можно.

А SE нельзя?

Совместимость с epel нарушена.

А он нужен? Там вроде дофига софта собирают.

ALT Linux не рассматриваете? Тоже российский, тоже сертифицированный.

Только если официально предоставлен производителем.

Астра уже куплена, к тому же не просто так: нужно было мандатное разграничение доступа + Docker.

нужно было мандатное разграничение доступа

Не в тему но рядом.

1. Мандатное ограничение должно быть хорошо задокументировано и выложено в опен-сурце. Только так можно будет добиться его качества и реально полезности. Строить защиту на закрытие исходников это как минимум глупо.

2. Ограничение доступа к файлам это всего лишь бонус. При нормальной расстановки прав (можно даже ACL приплести) все более менее и так работает. Главное в мандатном доступе, даже не ограничение доступа к портам к сокету а ограничение к памяти ! Так как основная масса эксплоитов как раз и получается из за ошибок работы с памятью.

Только так можно будет добиться его качества и реально полезности. Строить защиту на закрытие исходников это как минимум глупо.

Простите, что вмешиваюсь, но как по мне, — это пропагандистская/религиозная мантра и не более того. Из разряда про «миллионы глаз в Сети, отслеживающих наличие ошибок в ПО».

Заработал пометку

Не понимаю про какую мантру вы говорите.

Вот к примеру есть соревнование (хз как сейчас, давно не следил), по вскрытию сейфов/замков, по условиям соревнований чертежи этих замков выдаются участникам, так изготовители не дураки и понимают что только глупый человек будет стоить защиту на секретности чертежей, которые в конечном счете просто упрут.

... на секретности чертежей, которые в конечном счете просто упрут.

С чего это вдруг?