Министерство обороны РФ начало переводить служебные компьютеры на Astra Linux SE

естессна. а так как на открытом ПО откаты фиговые, то они в очередной раз скажут, что система им не подошла и останутся на маздае. это же уже не в первый раз такая фигня происходит.

Как например в Германии, да?

Ни либра, ни OpenOffice не готовы для десктопа. Что один что второй могут молча сохранить совсем не то, что пользователь видит на экране. Приходится постоянно проверять как оно там сохранилось: не разъехались ли страницы, не сдвинулись ли таблицы и рисунки, не сломалась ли нумерация разделов.

Не молча, а с громкими воплями: “сохраняй в ODF!!1”. ССЗБ жмут галочку “не напоминать больше” и радуются.. до первого фейла.

а МСВС что?

Внушает

Менее безопасно

С безопасностью в астре всё грустно как минимум потому что у них патчи попадают только в следующем релизе. То есть вот сейчас они что-то мигрируют, а мелтдаун/спектр будут жить до следующего релиза. Второе это их дизайн — рут является царём и богом и никак не ограничен. Это приводит к тому, что любые успешные атаки с целью повышения привиллегий автоматически приводят к получению доступа к защищаемой информации. Ну и третье, есть дофига способов перемещения информации между уровнями и категориями.

а почему выбор за Debian-based, а не дистрибутив из src RHEL?

Где можно оценить этот объем?

Там у них свой WM и свой недо-selinux (и либы для их работы).

Успешного внедрения!

Я читал о том что там напилено куча собственных велосипедов с вооооо-таким портфелем сертификатов и допусков

Так и надо писать. Что взяли иностранное ядро, готовое, взяли иностранный дистрибутив, готовый, взяли окружение - и только после всего этого начали подшлифовывать под свои нужды.

Уже столько громких историй было - и всёравно находятся тупые пиаристы использующие фразы «Это полностью отечественная операционная система». Уже традиция какая-то своровать и назвать своим

апдейты выходят, дистрибутив спокойно патчится с сохранением сертификата, рут уже ограничен средствами mandatory integrity control, а насчет дофига способов перемещаться между уровнями - пример в студию, из тех, которых дофига.

Кстати, под Debian 1С работает без особых проблем, так что предположу, что и на Astra заведётся.

Я знаю, но их патчи на ядро не публикуются, а недо-WM и в самом деле можно сделать отдельным пакетом.

Разве для окраски снега и травы нужен линукс?

Вы хотите что бы Минобороны России использовало операционку на базе RedHat, которая полностью выполняет все требования Госдепа США (как коммерческая компания, зарегистрированная на территории США) и прямо заявляющей о сотрудничестве с АНБ и ЦРУ?

Вы серьёзно?

Я знаю, но их патчи на ядро не публикуются

linux_4.2.0-23.28astra39.diff.gz

linux_4.2.0-23.28astra39.dsc

linux_4.2.0.orig.tar.gz

http://wiki.astralinux.ru/pages/viewpage.action?pageId=1998854

Зачем что-то доказывать утятам?

Вы хотите что бы Минобороны России использовало операционку на базе RedHat, которая полностью выполняет все требования Госдепа США (как коммерческая компания, зарегистрированная на территории США) и прямо заявляющей о сотрудничестве с АНБ и ЦРУ?

Вы серьёзно?

Ну Windows же не смущал - в чём проблема?

У меня только один вопрос: если завтра в Linux найдут очередной shellshock, соответственно найдут его и в «сертифицированных» РусОС - кто из «сертификаторов» выдавших сертификат на решето - сядет ?

Ох уж эти знаменитые дела, где Рашка сожает мелкомягких разрабов или отсуживает миллионы, учитывая что у них в лицензии написано «если используешь наш говнопродукт, то сам дурак». Людям так охающим от багов, нужно понять, что они есть везде и будут везде и чаще всего если это не внутренние дела компании никто за это отвечать не будет.

Ну Windows же не смущал - в чём проблема?

До Крыма вообще многое никого не смущало

Вы хотите что бы Минобороны России использовало операционку на базе RedHat

Это понятно. Но в куче коммунти дебиана и не такое поди еще есть. ( хотя и и стороник Шапки ) Но для базовой оси на линух для россии я бы взял ... слаку.

А что изменилось?

Это понятно. Но в куче коммунти дебиана и не такое поди еще есть. ( хотя и и стороник Шапки ) Но для базовой оси на линух для россии я бы взял ... слаку

вы размеры экосистемы Debian и Slackware сравнивали?

А что изменилось?

да я так, иронизирую.

вы размеры экосистемы Debian и Slackware сравнивали?

Ну понятно. Никто работать не хочет все хотят сразу готовое брать. С другой стороны зачем военным много лишнего ? Тем меньше и проще тем лучше.

Ну понятно. Никто работать не хочет все хотят сразу готовое брать.

зачем делать велосипед, когда куча ещё нерешенных проблем? может лучше заняться решением проблем, которые никто толком не решает?

например, как реализация mandatory integrity control в Linux?

Ты на каком языке говоришь? Пиши понятнее.

а почему выбор за Debian-based, а не дистрибутив из src RHEL?

Debian развивается сообществом, в отличие от той же центоси. Поэтому, если условные террористы за всё плохое против всего хорошего расстреляют все офисы рэдхата, загнутся и все деривативные дистрибутивы, поскольку их сообщество занимается исключительно вымарыванием копирайтов и копирайтных материалов вместо развития. Аналогично, что если рэдхат начнёт играться в игры с запаздыванием патчей для публикуемых исходников, включая патчи по безопасности, сообществам центоси нечего будет этому противопоставить.

Можно было бы взять федору, которая как раз развивается сообществом но там слишком всё нестабильно для такого случая.

Пакетов поверх будет достаточно.

свой недо-selinux

знаю, но их патчи на ядро не публикуются

linux_4.2.0-23.28astra39.diff.gz

Под «их патчами» я имел в виду, естественно, parsec. А то, что по ссылке - по-моему, большей частью взято из Ubuntu.

зачем делать велосипед,

Велосипед не нужно но чем больше зависишь от эко-системы тем хуже. Вон Патрик вроде один пилит свой дистр, что думаете у него Либре Офисс не пашет ?

А кто мешает брать src, проводить аудит безопасности и собирать пакеты? Вас же не просят брать бинарные пакеты.

Вот, грустно от такого:

Debian 8 & Meltdown/Spectre

Debian развивается сообществом, в отличие от той же центоси.

это очень условно. дебиан уже давно залочен на редхат, примерно также как и центось, только в дебиане это всё менее официально и всё ещё поддерживается маркетинговый миф о том, что он «разрабатывается сообществом».

на самом деле, если мо само не залочится на что-то очень проприетарное в астра-линуксе, то они смогут сертифицировать и сменить дистрибутив. как в прочем и сама астра сможет спрыгнуть с дебиана на что-то другое.

Ну разумеется, гигантские объемы. Нужно больше золота.

Под «их патчами» я имел в виду, естественно, parsec.

парсек это все же не патч, а LSM - linux security module

А кто мешает брать src, проводить аудит безопасности и собирать пакеты? Вас же не просят брать бинарные пакеты.

А что будет, если в какой-то момент Red Hat изменит политику раскрытия сорцов?

это не все их патчи.

у них вот пока что нет патчей на meltdown например. И хз, когда будут.

И что здесь такого ужасного, если это будет применяться на аттестованных объектах как минимум для обработки информации, содержащей сведения, составляющие служебную тайну?

Под «их патчами» я имел в виду, естественно, parsec.

парсек это все же не патч, а LSM - linux security module

AppArmor тоже является LSM, но он в патче есть.

Почему бы честно не признать, что вы не распространяете модификации ядра, которые делаете сами?

И что здесь такого ужасного, если это будет применяться на аттестованных объектах как минимум для обработки информации, содержащей сведения, составляющие служебную тайну?

То, что у вражеских шпионов, которые пробрались на «аттестованные объекты» (wtf?), будет возможность украсть сведения, составляющие служебную тайну.

это не все их патчи.

А остальное не патчи, а своя разработка с нуля

Почему бы честно не признать, что вы не распространяете модификации ядра, которые делаете сами?

Не выкладывается исходный код своих lsm модулей

А какие еще изменения делаете именно вы? Остальное, насколько я могу судить, из Убунты.

Изменения в чем?

В ядре.

Других патчей на ядро нет, по ссылке выложены исходники ядра для сертифицированной версии Астры

Так и надо писать. Что взяли иностранное ядро, готовое, взяли иностранный дистрибутив, готовый, взяли окружение - и только после всего этого начали подшлифовывать под свои нужды.

Вы считаете, что реализовать в готовом ядре и X-ах «мондатку» собственной конструкции плюс разработать WM, поддерживающий эту «мондатку», плюс разработать софт, управляющий этой «мондаткой», плюс доработать некоторое количество системного софта, чтобы он с этой «мандаткой» дружил, плюс по мелочи еще куча всякой ерунды типа идентификаций, аудита, контроль целостности, хэш по отечественным алгоритмам и пр. - это называется подшлифовывать под свои нужды?

Уже столько громких историй было - и всёравно находятся тупые пиаристы использующие фразы «Это полностью отечественная операционная система». Уже традиция какая-то своровать и назвать своим

А где это вы взяли? Если это в Астре заявляют, то, конечно, такое заявление говорит не в пользу компании. Если всякие «журнализды», то выбирайте нормальные источники.

тащемта сертифицированность вполне себе компенсирует открытость по критерию откатоемкости. будь оно хоть трижды открытым - неправильная фирма, не имеющая правильной бумажки, не сможет просунуть свой хоботок к корыту.

за зарплату дворника

Я тебя боюсь разочаровать, но банальный контрактник зарабатывает сейчас очень даже неплохо. Даже без командировок или спортивного разряда.
А уж офицеры и подавно.
Гражданские специалисты правда меньше. Другое дело, что не каждый потянет армейские порядки.

А как же ОС МСВС ???

Людям так охающим от багов, нужно понять, что они есть везде и будут везде и чаще всего если это не внутренние дела компании никто за это отвечать не будет.

Перечитай вопрос.