LINUX.ORG.RU

Объявлен релиз Astra Linux Special Edition 1.5

 , , ,


0

2

Включённая в реестр отечественного программного обеспечения операционная система «Astra Linux Special Edition» релиз «Смоленск» получила версию 1.5 и прошла инспекционный контроль в системе сертификации средств защиты информации ФСТЭК России.

В ходе работ обновлены основные компоненты операционной системы специального назначения, при этом в первую очередь усилия разработчиков были направлены на повышение защищенности, качества и удобства использования программного обеспечения, а также обеспечение поддержки современного оборудования.


Из наиболее важных изменений стоит отметить:

  1. Переход на ядро Linux 4.2, в том числе вариант с патчем PaX, обеспечивающим работу в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей.
  2. В механизме создания замкнутой программной среды, реализованном в ядре, обеспечена поддержка ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012 с длиной хэш-кода 256 бит, а также возможность сохранения в расширенных атрибутах файловой системы цифровой подписи файла и ее автоматической динамической проверки ядром операционной системы.
  3. В программных средствах, предназначенных для автоматизированного контроля целостности, реализована поддержка ГОСТ Р 34.11-2012 с длиной хэш-кода 256 бит (по умолчанию) и ГОСТ Р 34.11-2012 с длиной хэш-кода 512 бит.
  4. В средствах аутентификации с использованием локальной базы данных пользователей реализована поддержка ГОСТ Р 34.11-2012 и возможность сквозной аутентификации пользователя с применением плагинов от производителей различных типов аппаратно-програмнных модулей аутентификации и загрузки.
  5. В программных средствах организации единого пространства пользователей (сетевого домена) Astra Linux Directory (ALD) реализованы:
    • поддержка ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 при аутентификации посредством Kerberos;
    • модернизированы средства управления доверительными отношениями между доменами ALD и средства авторизации пользователей ALD при взаимодействии между доменами;
  6. Обновлена версия защищенной СУБД на основе PostgreSQL версии 9.4, в которой реализованы механизмы контроля доступа на основе ДП-модели управления доступом и информационными потоками.
  7. В состав защищенной СУБД добавлены средства создания кластеров высокой доступности.
  8. Дополнительно к ранее существующим режимам работы (стандартный рабочий стол, планшетный режим) графического менеджера окон FLY добавлен мобильный режим работы на современном оборудовании, оснащенном сенсорными экранами.
  9. В графической подсистеме на основе X.org разработан защищенный буфер обмена данными для копирования информации между графическими приложениями, исполняемыми с разными мандатными контекстами в изолированном окружении.
  10. Разработан графический интерфейс администратора для настройки сетевых служб и защищенных серверов печати, электронной почты, гипертекстовой обработки документов и СУБД.
  11. Средства централизованного аудита доработаны по результатам эксплуатации операционной системы в целях обеспечения соответствия требованиям к системам защиты информации автоматизированных систем органов военного управления.

>>> Подробности

★★★

Проверено: Shaman007 ()

хм.

У меня одного на этой версии не конфигурится LVM при установке от слова совсем?

keedley1 ()
Ответ на: хм. от keedley1

У меня одного на этой версии не конфигурится LVM при установке от слова совсем?

вы уже успели пощупать версию 1.5?

Cogniter ★★★ ()

Мне кажется, или данный дистрибутив нарушает лицензии на входящее в состав ПО? У них на страничке с лицензионным соглашением написан феерический бред.

nighthawk ()
Ответ на: комментарий от stns

Умеет в собственную мандатку.

Не нужно. Пусть сами своей мухой пользуются.

robus ★★★★ ()

... в том числе вариант с патчем PaX...

Вот это, реально, хорошо!

Как с paxtest она справляется? Интересен вывод, если не секрет конечно.

multihead ()
Ответ на: комментарий от Cogniter

Значит они кроме PAX в ядре, ещё все бинари собирают с поддержкой PIE/SSP.

100% Killed просто быть не может, только у меня. :) paxtest по умолчанию без ssp собирается. Если его собрать с SSP, то переполнения на кучи будет убито, но выдаст ошибку на этих тестах.

Спроси у них разрешения и опубликуй здесь вывод:

$ hardening-check /bin/bash
$ scanelf -a /bin/bash
$ file /bin/bash

multihead ()
Ответ на: комментарий от kcehna

Я могу ошибаться, но обновление у них стоит 5000 в год, где-то у них на сайте про это было написано.

sunich816 ()
Ответ на: комментарий от mul4

Семерка без изменений, насколько я знаю, имеет сертификат на конфиденциалку, ни 8, ни 8.1, ни 10 такого сертификата не имеют. Чтобы можно было сертифицировать машину с виндой для работы с чем-то выше конфиденциалки, то надо ставить спец. софт на нее типа SecretNet и использовать софт с сертификатами ФСТЭК на НДВ и/или СЗИ.

sunich816 ()
Ответ на: комментарий от sunich816

использовать софт с сертификатами ФСТЭК на НДВ и/или СЗИ.

Хм а какой же браузер и офис получают такой гриф? что-то муторно все это

mul4 ★★★★★ ()
Ответ на: комментарий от mul4

Офис можно и обычный использовать, нужно просто гарантировать, что этот файл никто ни прочтет, для этого можно использовать сертифицированную систему разграничения доступа. А браузер? Атестованная машина или доступа к сети не имеет, или находится в атестованной сети с атестованными маршрутизаторами и прочим.

sunich816 ()
Ответ на: комментарий от Cogniter

не думаю, что разрешат :))))

спроси узнаешь точно

но... pax там годно встроен ;)

Надо вывод:

zgrep -E '(GRKERNSEC|PAX)' /proc/config.gz
чтобы посмотреть что там включить решили.

Правильно собраны бинарники:

$ hardening-check /bin/bash
/bin/bash:
 Position Independent Executable: yes
 Stack protected: yes
 Fortify Source functions: yes
 Read-only relocations: yes
 Immediate binding: yes

Хорошие флаги сборки примерно:

CFLAGS="-fPIE -fstack-protector-all -D_FORTIFY_SOURCE=2"
LDFLAGS="-Wl,-z,now -Wl,-z,relro"

multihead ()
Ответ на: комментарий от sunich816

Чтобы можно было сертифицировать машину с виндой для работы с чем-то выше конфиденциалки, то надо ставить спец. софт на нее типа SecretNet и использовать софт с сертификатами ФСТЭК на НДВ и/или СЗИ.

Винда же НДВ не может иметь по определению. О какой высокой конфиденциалки может идти речь?

multihead ()
Ответ на: комментарий от multihead

Машину с виндой можно сертифицировать максимум под конфиденциалку. Если нужно что-то выше, нужно ставить на неё спец. ПО с сертификатами, которое гарантирует сохранность информации. Таким макаром, насколько я знаю, можно сертифицировать до уровня «Секретно» включительно.

sunich816 ()
Ответ на: комментарий от multihead

Сертификат НДВ у неё есть до уровня «Конфиденциально» включительно. Вообще можно посмотреть реестр на сайте ФСТЭК, там есть все сертифицированное ПО ими и железки с уровнями конфиденциальности и сроками действия сертификатов.

sunich816 ()
Ответ на: комментарий от sunich816

Когда последний раз смотрел винда НДВ не имела. Если не прав дай ссылку на сертификат.

У венды есть только НСД и то низкий.

multihead ()
Ответ на: комментарий от sunich816

Машину с виндой можно ...

Это затыкание дырявого корыта с троянами и бекдорами тряпками, «чтобы протечек не было»!!!

multihead ()
Ответ на: комментарий от multihead

Так я ж и не утверждаю, что так нужно делать, но так можно сертифицировать систему.

sunich816 ()
Ответ на: комментарий от multihead

Что-то не могу найти, в последней версии реестра венда с 7 по 8.1 по 5 классу СВТ по РД от 30.03.1992

sunich816 ()
Ответ на: комментарий от multihead

Может сертификат закончился и его выкинули из реестра. Однако, по поводу НДВ у 7 не буду на 100% утверждать.

sunich816 ()
Ответ на: комментарий от sunich816

Винда была сертифицирована только по НСД!

По НДВ винда сертифицирована никогда не была!!! Или M$ не дали исходников, или их бинарные сборки винды не прошли верификацию (подтверждение путём перекомпиляции исходников). В таком случае проверять исходники не имеет смысла.

multihead ()
Ответ на: комментарий от multihead

Да, Вы правы, я скорее всего ошибаюсь, у некоторых версий винды есть только ОВД по уровню 1 и все. Однако, это не отменяет того, что машину с виндой можно сертифицировать до уровня «Секретно» путем установки на неё доп. ПО.

sunich816 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.