LINUX.ORG.RU

Новая версия Astra Linux Common Edition 2.12.29

 ,


1

1

ГК Astra Linux выпустила обновление для операционной системы Astra Linux Common Edition 2.12.29.

Ключевыми изменениями стали сервис Fly-CSP для подписания документов и проверки электронной подписи с применением «КриптоПро CSP», а также новые приложения и утилиты, повысившие удобство использования ОС:

  • Fly-admin-ltsp — организация терминальной инфраструктуры для работы с «тонкими клиентами» на базе LTSP-сервера;
  • Fly-admin-repo — создание собственных репозиториев из deb-пакетов разных разработчиков;
  • Fly-admin-sssd-client — ввод в домен с обращением к удаленным механизмам авторизации;
  • Astra OEM Installer — облегчение OEM-установки ОС: возможность при первом старте задать учетные данные администратора, инсталлировать необходимые компоненты и т.д.;
  • Fly-admin-touchpad — настройка сенсорной панели в ноутбуках.

Изменения также коснулись работы с мобильными устройствами: ОС адаптировали для планшетов MIG Т10 на процессорной архитектуре x86_64, диалог выбора файлов доработали под мобильную сессию, улучшили работу с контактами.

Обновлено более 300 пакетов, из них более 90 — из состава графической оболочки Fly, в том числе Fly-wm (до версии 2.30.4) и Fly-fm (до версии 1.7.39).

Исправлены выявленные ранее ошибки и устранены последние уязвимости.

>>> Подробности

★★★

Проверено: alpha ()

Ответ на: комментарий от Cogniter

В той версии Астры, на которой Андрею надо было развернуть кластер виртуализации, в принципе не было виртуализации. Не сертифицирована она еще была. Он поэтому и собирал руками недостающие пакеты, впиливая виртуализацию в старую Астру (из которой она была убрана по требованию регулятора).

Ему техподдержка ничем не поможет. Это выходит за пределы использования продукта той версии.

А можно было не строить здесь из себя идиота и сразу же дать такой ответ, разъяснив ситуацию? И не здесь, а прям сразу тогда, официальным ответом, чем сняли бы не только этот срач но и те, что были тогда.

Ребят, вы правда не видите себя со стороны?

Oberstserj ()
Ответ на: комментарий от te111011010

IntelME это, конечно же, плохо, но какое отношение он имеет к systemd? Как будто система без systemd безопаснее с тем же intel me?

А как будто IntelME не проще дергать за унифицированные штуковины systemD при необходимости, а не за хер знает какие ABI Devuan или OpenBSD?

На днях ЦРУ и АНБ выиграли конкурс для получения полного контроля над инфосистемами МВД РФ, ЗОГ им еще и право расстреливать неугодных недавно выдали.

Заинтересованны все стороны этого цирка (в теории которые якобы геополитические противники)

Астралинуксисты по понятным причинам.

АНБ по причине наличия их трояна systemD, замаскированного под национально безопасную ось.

Если сертификация $чумаданом и не добавляет безопасности, то наличие системГ безопасность точно уменьшает.

anonymous ()
Ответ на: комментарий от Cogniter

Возможно. Но я не единственный кто в этом треде, на секундочку. ЛЮБОЙ тред по астре собирает с одной стороны людей, которые задают вопросы и с другой стороны вас, которые вечно ничего не понимают и вместо прямых ответов строят из себя склизких слизняков. И я, кстати, не первый и не единственный, кто вам на это указывает.

Oberstserj ()
Ответ на: комментарий от Oberstserj

На вопросы по существу вполне конкретные ответы даются.

А диалог в плане:

  • почему вы нам судом угрожаете?
  • каким судом?
  • не увиливайте, на каком основании нам угрожают?
  • где угрожают?
  • это парад безумия!

смысла не имеет.

Cogniter ★★★ ()
Ответ на: комментарий от anonymous

Самое смешное, что эту ось продавливают в силовые структуры.

С одной стороны если бы кроме АНБ никто не мог туда пролезти через IntelME->systemD, то еще бы куда ни шло, но ведь и в IntelME и в целом в современных процах куча уязвимостей, пока только некоторые супер профи могут ими воспользоваться, но время идет, инфа расползается, не далек тот день, когда на складчине можно будет увидеть набор мамкиного хакера кнопка «system - Говно!»

anonymous ()
Ответ на: комментарий от anonymous

Из-за красивой ширмы с мандатным доступом, сертифицированным крипто и многим другим очень хорошим, выглядывает мерзкая физиономия системD.

Осталось только заюзать серты ЭЦП с извлекаемыми ключами на этой супер системе.

anonymous ()
Ответ на: комментарий от anonymous

И объяснения представителей компании, что добросить 300 пакетов в сертифицированный дистрибутив не получится, так как клиент все равно такое не примет без сертификации.

Cogniter ★★★ ()
Ответ на: комментарий от Cogniter

Ссылки, по которым ничего нет?

Ну по одной из ссылок действительно Вы, ребята, потерли все. Но по второй ссылке вам дали все ответы. Будем отмазываться?

Итак подведем простой итог:

Реальный пользователь Астра Линукс написал пост с описанием возникших проблем. Возможно часть проблем была вызвана неправильным выбором версии софта.

В ответ на это представители разработчика вместо того, чтобы указать автору на ошибку и предложить помощь в ее устранении (или предложить другие пути решения проблемы) развернули срач, в ходе которого начали высказывать в сраном снобском тоне намеки на возможное судебное разбирательство.

И давай ты не будешь сейчас крутиться ужом на сковородке и говорить что это не так. Все кто прочел цитату поняли ее именно так. Ссылку на цитату дали выше.

Вопрос. Снобизм идет от понимания отсутствия конкуренции или есть другие причины? Этот вопрос, кстати, тоже уже задавали выше

Oberstserj ()
Ответ на: комментарий от Cogniter

Ну то есть, пруфы про суд мы не можем показать?

Ну то есть вы продолжаете строить из себя идиота и не видеть ссылки и не отвечать на вопросы? Ну, ок. Для меня тема закрыта, с вами все ясно.

Oberstserj ()
Ответ на: комментарий от anonymous

А чем плох OpenBSD для безопасных серверов кроме отсутствия в нем нормальной несетевой FS?

Там нет поддержки мандатного контроля доступа. Чисто теоретически её можно реализовать через tame, но этого никто не делал.

siraenuhlaalu ()
Ответ на: комментарий от anonymous

В смысле вырезать их до запуска? Тогда executable не пройдет контроль целостности, если его запустить? Но ведь аналогично можно вырезать и MAC правило?

anonymous ()
Ответ на: комментарий от anonymous

в психушках особенно востребована, среди контингента

Особенно с учетом того, что некоторые крупные гос. предприятия как раз на нее и походят по крайне мере в области НЕкоробочного кастом ПО, которое приходит по госконтрактам. Даже коробочная Астра на фоне такого некоробочного ПО была бы образцовопоказетельной с точки зрения качества ПО.

А еще каждый такой региональный филиал - это как маленькая страна, автономно обслуживающая большую инфраструктуру такого предприятия в каждом регионе, хотя автоматизацию было бы логичнее убрать в облако, а в народном хозяйстве наверно сделать специализированные артели для обслуживания сразу всех региональных гос контор, хотя по последнуму пункту спорно, потому что может быть неудовлетворенный своевременно спрос на услугу ремонта.

anonymous ()
Ответ на: комментарий от Cogniter

в случае критических уязвимостей - оперативно, в течение нескольких дней.

А вот тут вопрос возникает: как вы эти срочные обновления проверяете? Проходят ли они сертификацию?

hateyoufeel ★★★★★ ()
Ответ на: комментарий от anonymous

А как будто IntelME не проще дергать

Зачем Intel ME будет вообще что-то дёргать, если у него и так полный доступ к памяти?

АНБ по причине наличия их трояна systemD, замаскированного под национально безопасную ось.

Ты бы ширяться перестал, у тебя уже паранойя во всю.

hateyoufeel ★★★★★ ()
Ответ на: комментарий от hateyoufeel

Зачем Intel ME будет вообще что-то дёргать, если у него и так полный доступ к памяти?

А что толку от этого доступа, если памяти до дури, ABI разные, различные рандомизации процессов, вызовов и т.п.

А у сустимГ единообразный интерфейс да еще и с сетевыми сокетами, не исключаю, что во всем этом месиве есть даже специализированные сервисы для троянов типа ME и других буткитов, которые зарождались уже в продакшине еще 10 лет назад, а сейчас они уже отлажены и работают как часы.

anonymous ()
Ответ на: комментарий от anonymous

А раньше чей контроль был? )

Раньше был хотя бы шанс внедрять байкалы порциями в месяц по чайной ложке (регион за регионом), а щас как бы все …

Вставят милиции зонд в самое сердце с возможностью что-то подтереть, а не только подсмотреть.

anonymous ()
Ответ на: комментарий от anonymous

А у сустимГ единообразный интерфейс да еще и с сетевыми сокетами, не исключаю, что во всем этом месиве есть даже специализированные сервисы для троянов типа ME и других буткитов, которые зарождались уже в продакшине еще 10 лет назад, а сейчас они уже отлажены и работают как часы.

Да нет, фигня, на самом деле руткит вшит в wireguard, который недавно взяли в ядро. Не зря его в OpenBSD начали проталкивать.

kirk_johnson ★☆ ()
Ответ на: комментарий от anonymous

А чем хуже pledge, unveil и т.п.?

Тем, что задача, которую ставят перед разработчиками «защищённых линуксов» несколько выходит за рамки «я не хочу, чтобы флешплагин фуррифокса мог писать в $HOME/bin/». Собственно, гебня требует реализации модели «no read up, no write down», для реализации чего юзерам назначаются помимо uid и gid ещё и метки уровня доступа, допустим «открыто, секретно, вообще жесть как секретно». Если юзер создаёт объект, то помимо обычных прав доступа, этому объекту назначается метка юзера, его создавшего. Дальше, если другой юзер пытается получить доступ, проверяется именно эта метка, если у пользователя метка доступа более высокого уровня, он может открыть файл максимум только для чтения, если такая же, то может открыть его на запись, если меньше, то получит запрет сразу же. Помимо этого, могут быть ещё метки категорий доступа, которые работают по принципу «пользователь имеет доступ только к тем объектам, у которых есть те категории, которые есть у него»

Вся эта шляпа работает параллельно с обычными правами доступа и служит в первую очередь для защиты от несанкционированной передачи данных между пользователями.

siraenuhlaalu ()
Ответ на: комментарий от hateyoufeel

Ключевые слова для поиска: русбитех отзывы о работодателе.

Также по русбитеху приятно почитать треды на хабре. Треды здешние рекламировать не буду, ты сам кидал на какие-то из них ссылки. На опеннете не особоо много жира, но и там нелестное встречалось.

Вообще, импортозамещение ПО – это паршивая тема. Там обычно патриотично настроенные идейные бизнесмены крутятся. С ними диалога продуктивного не выходит, парадигма не та. С астрой я сам не контактировал, мне другая аналогичная контора попадалась. Запах тот же.

future_anonymous ()
Ответ на: комментарий от siraenuhlaalu

Wat? Ты хочешь сказать их установщик умеет установку и настройку шифрованных разделов? А то бери диски/грузись нормальным линуксом да читай себе данные.

bhfq ★★★★★ ()
Ответ на: комментарий от future_anonymous

гуглятся отзывы о конторке на ура, там в комментариях точно такая же дискуссия, налетает руководство защищаться как мед на пчелы, вместо того что исправляться и признавать ошибки. Вобщем в этой стране везде так.

anonymous ()