LINUX.ORG.RU

Новая версия Astra Linux Common Edition 2.12.29

 ,


1

1

ГК Astra Linux выпустила обновление для операционной системы Astra Linux Common Edition 2.12.29.

Ключевыми изменениями стали сервис Fly-CSP для подписания документов и проверки электронной подписи с применением «КриптоПро CSP», а также новые приложения и утилиты, повысившие удобство использования ОС:

  • Fly-admin-ltsp — организация терминальной инфраструктуры для работы с «тонкими клиентами» на базе LTSP-сервера;
  • Fly-admin-repo — создание собственных репозиториев из deb-пакетов разных разработчиков;
  • Fly-admin-sssd-client — ввод в домен с обращением к удаленным механизмам авторизации;
  • Astra OEM Installer — облегчение OEM-установки ОС: возможность при первом старте задать учетные данные администратора, инсталлировать необходимые компоненты и т.д.;
  • Fly-admin-touchpad — настройка сенсорной панели в ноутбуках.

Изменения также коснулись работы с мобильными устройствами: ОС адаптировали для планшетов MIG Т10 на процессорной архитектуре x86_64, диалог выбора файлов доработали под мобильную сессию, улучшили работу с контактами.

Обновлено более 300 пакетов, из них более 90 — из состава графической оболочки Fly, в том числе Fly-wm (до версии 2.30.4) и Fly-fm (до версии 1.7.39).

Исправлены выявленные ранее ошибки и устранены последние уязвимости.

>>> Подробности

★★★

Проверено: alpha ()

Ответ на: комментарий от anonymous

Так таблица для кого тогда?

Для тех, кто _код_ использует в своём _коде_, либо использует библиотеки.

Все бы так и делали.

Во многих случаях это не выходит по, например, техническим причинам (скорость, удобство использования и т.п.). А в каких-то случаях так и делают.

AS ★★★★★ ()
Ответ на: комментарий от anonymous

Основные отличия в SE, там своя система безопасности

А разве бывают безопасные системы безопасности по настоящему надежные и при этом НЕ open source?

anonymous ()
Ответ на: комментарий от anonymous

Т.е. способ использования библиотек в составе продукта как-то влияет на его конечную лицензию?

Программная библиотека у тебя так или иначе включается в код, а в твоём коде используются функции из неё. И да, в таком виде она влияет.

Хочу пруф.

Хоти.

AS ★★★★★ ()
Ответ на: комментарий от anonymous

Что мешает распространять сорцы под NDA за $10-$100к на каждое заинтересованное юрлицо?

Без сорцов как-то верится с трудом в безопасность.

anonymous ()
Ответ на: комментарий от anonymous

Речь аб том, чтобы защищаемое лицо могло получить сорцы для самостоятельного их исследования и заключения об их проф пригодности. Тут писали про чумадан денег за $ертификацию, я не в курсе так ли это, но все же кому-то, может быть, захочется подстраховаться.

anonymous ()
Ответ на: комментарий от anonymous

Основные отличия в SE

Так мы про СЕ говорим, где (раз нет крипты) по сути, только флай (или как там оболочка называется) и реестр рф-софта из плюшек относительно обычного дебиана Тогда мне не понятно замечание в посте 15712063 :-)

Тут нужно понимать что вам требуется от ОСи.

Запуск двух явамашин, иксов для отрисовки свинг-гуя одной из них, и сетка. За сим были надежды что астра могла бы быть «таким же бесплатным дебианом только в реестре рф» но увы.

п.с. И да, я реально просто не понимаю за что я тут должен платить и на что заключать сублицензионные договора. За то что русифицировали русифицированный дебиан? или за то что кто-то написал (ненужную) альтернативу xfce?

За что собственно бабки за СЕ то?

rukez ()
Ответ на: комментарий от anonymous

Сертификация вещь затратная, идёт оплата на каждый мб исходного кода.

Для начала сложно найти человека с достаточной квалификацией для этого

anonymous ()
Ответ на: комментарий от anonymous

Сертификация вещь затратная, идёт оплата на каждый мб исходного кода.

Для начала сложно найти человека с достаточной квалификацией для этого

НЕЗАВИСИМОГО эксперта находят наемного тоже за деньги, кто может себе это позволить.

https://www.ghs.com/products/rtos/integrity.html

[quote]Since its release over 18 years ago, INTEGRITY RTOS technology has received a number of certifications and accreditations that testify to its leadership pedigree and also enable developers to achieve the highest levels of safety, security, and reliability in their designs:

FAA: DO-178B, Level A (INTEGRITY-178 RTOS)
NSA: EAL 6+ High Robustness Common Criteria
SKPP—the highest security level ever achieved for an operating system (INTEGRITY-178 RTOS)
FDA: Class II and Class III medical device approval
EN: 50128 SWISL 4 railway control
IEC: 61508 SIL 3-certified industrial control systems
ISO: 26262: automotive

[/quote]

За $7K там уже есть все эти серты и сорцы предоставляются.

Не без недостатков конечно, ведь systemD с картинкой зеленого игрового жойстика там отсутствует.

anonymous ()
Ответ на: комментарий от anonymous

Они позиционируют что плата за CE это оплата ТП на год

Нет, лицензионный договор её позиционирует именно как платную без права использования (даже при покупке) без заключения сублицензии, собственно еще раз процитирую лицензионный договор:

3.1. Настоящее СОГЛАШЕНИЕ НЕ дает ПОЛЬЗОВАТЕЛЮ права на: 3.1.1. Использование ПРОГРАММНОГО ПРОДУКТА при осуществлении предпринимательской деятельности*, а также установку ПРОГРАММНОГО ПРОДУКТА на компьютеры юридических лиц (любой организационно-правовой формы), органов государственной власти и/или индивидуальных предпринимателей без заключения соответствующего лицензионного (сублицензионного) договора.*

полный текст тут: https://astralinux.ru/products/astra-linux-common-edition/documents-astra-ce/liczenzionnoe-soglashenie-po-ispolzovaniyu-operaczionnoj-sistemyi-obshhego-naznacheniya-%C2%ABastra-linux-common-edition%C2%BB.pdf

на странице «купить» нет ни одного упоминания о ТП

п.с. для сравнения посмотрите лицензии на oracle linux, где как-раз полная свобода использования для предпринимательской деятельности, а оплата реально только за ТП.

rukez ()
Ответ на: комментарий от anonymous

Сверхзащищённый linux, без systemd с открытыми исходниками, раздавай всем бесплатно и ТП тоже всем бесплатно.

Про техподдержу я ничего не говорил, вообще сторонник качественной и дорогой поддержки.

Очевидно же, что мне одному не сделать такой, да и вообще я не специализируюсь на безопасности и разработке в этой области, это не мой профиль. Но я - потенциальный пользователь таких решений.

Кроме того я писал:

  1. Не про бесплатно раздавать исходники на SE, а за много $$$ под NDA.

  2. Бесплатно разрешить кому угодно использовать и распространять CE (даже собранный дистрибутив) без всяких доплат - это общепринято в сообществе Linux, RedHat по крайне мере не накладывает ограничений на свои патчи к сорцам.

anonymous ()
Ответ на: комментарий от anonymous

man dlopen.

Ты хоть уделай dlopen, но ты не вызовешь функцию из библиотеки, если не используешь её в коде.

Значит нету. Я так и знал (

Просто мне не интересно чересчур напрягаться, оспаривая явную чушь.

AS ★★★★★ ()
Ответ на: комментарий от anonymous

Не про бесплатно раздавать исходники на SE, а за много $$$ под NDA.

Бесплатно разрешить кому угодно использовать и распространять CE (даже собранный дистрибутив) без всяких доплат - это общепринято в сообществе Linux, RedHat по крайне мере не накладывает ограничений на свои патчи к сорцам. У каждой компании свои принципы, возможно со временем будут изменения.

Получить исходники вроде и так можно, при покупке ОС и отправки соответствующего запроса.

anonymous ()
Ответ на: комментарий от anonymous

Получить исходники вроде и так можно, при покупке ОС и отправки соответствующего запроса.

Исходники чего?

Исходники CE можно патчить и распространять без доп. оплат?

anonymous ()
Ответ на: комментарий от anonymous

Где-то был пример дыры в мандатном доступе Астры одной из версий, возможно старой.

Да, это я в своё время и нашёл эту дыру. https://siraenuhlaalu.livejournal.com/145800.html

Root тоже ограничен мандатным доступом?

В той астре, которую я колупал, нет, так что это ещё одно направление атак.

Что толку от признаков файлов на локальном диске, если можно перезагрузиться с LiveCD и прочитать любой файл?

Обычно в таких системах применяется комплексное решение, например платы сквозного шифрования диска, шифрованные фс и модули доверенной загрузки. Даже в случае МДЗ, что проще всего, тебе банально никто не даст выбрать загрузочное устройство, не вскрывая корпус.

siraenuhlaalu ()
Ответ на: комментарий от anonymous

Вы как-то путаете «получить для анализа» и «патчить и распространять»

Это вы путаете, вам вполне ясно написали:

  1. Сорцы SE сделать доступными для анализа.
  2. Уже доступные для анализа сорцы CE сделать доступными для беспрепятственного распространения.
anonymous ()
Ответ на: комментарий от bhfq

Чаще всего в таких системах используется несколько средств защиты, в зависимости от угроз: модули доверенной загрузки как раз на случай попытки грузиться нормальным линуксом на этой машине, пломбы на корпусе и платы сквозного шифрования на случай попытки утащить винч домой и так далее. И да, я не защищаю астру, они в своё время подавали пример неадекватности своими понтами «мы сертифицированы, поэтому не будем выпускать патчи» и их поведением, когда их ткнули носом в проблемы.

siraenuhlaalu ()
Ответ на: комментарий от siraenuhlaalu

Чаще всего в таких системах используется несколько средств защиты, в зависимости от угроз: модули доверенной загрузки как раз на случай попытки грузиться нормальным линуксом на этой машине, пломбы на корпусе и платы сквозного шифрования на случай попытки утащить винч домой и так далее. И да, я не защищаю астру, они в своё время подавали пример неадекватности своими понтами «мы сертифицированы, поэтому не будем выпускать патчи» и их поведением, когда их ткнули носом в проблемы.

А не проще давать только терминальный доступ с доверенного тонкого ARM клиента? Чем вешать на системники амбарные замки?

anonymous ()
Ответ на: комментарий от anonymous

А хотя это же ведь рыночек для лицензий Астры и амбарных замков, ох простите.

С другой стороны кто мешает выпустить серверные варианты с соответствующей ценой?

anonymous ()
Ответ на: комментарий от anonymous

А не проще давать только терминальный доступ с доверенного тонкого ARM клиента? Чем вешать на системники амбарные замки?

Нет, не проще. Там обычно сети нет.

anonymous ()
Ответ на: комментарий от siraenuhlaalu

они в своё время подавали пример неадекватности своими понтами «мы сертифицированы, поэтому не будем выпускать патчи» и их поведением, когда их ткнули носом в проблемы.

В те времена регуляторы не позволяли обновлять ОС, из-за этого было много проблем. Сейчас ФСТЭК обязывает выпускать и ставить обновления на сертифицированные средства.

Сейчас много что поменялось, и по руководству, по обновлениям, по реакции и по приёму багов

anonymous ()
Ответ на: комментарий от anonymous

Бесплатно разрешить кому угодно использовать и распространять CE (даже собранный дистрибутив) без всяких доплат - это общепринято в сообществе Linux, RedHat по крайне мере не накладывает ограничений на свои патчи к сорцам.

RH бесплатно раздаёт RHEL? А зачем тогда CentOS? Патчи к сорцам (тем, что GPL), если ты продукт как-то официально получил - это обязаловка.

AS ★★★★★ ()
Ответ на: комментарий от anonymous

Нет, не проще. Там обычно сети нет.

Ну может на единичных компах для обработки действительно секретных данных и нет компа.

А там, где я видел, что собираются внедрять Астру на рабочие станции - сеть более, чем есть и одмины ежедневно лазают под стол как в детском саду.

anonymous ()
Ответ на: комментарий от AS

Ты хоть уделай dlopen, но ты не вызовешь функцию из библиотеки, если не используешь её в коде.

Определение слова «используешь», пожалуйста в студию. Враппер навернуть не проблема вообще.

Просто мне не интересно чересчур напрягаться, оспаривая явную чушь.

И так ясно, что у тебя с этим проблемы. 5 звёзд нафлудил, а вот ответить за свои же слова тут уже не интересно.

anonymous ()
Ответ на: комментарий от AS

RH бесплатно раздаёт RHEL?

Про Красношапку я сделал оговорку, что у них только сорцы.

А у вас, похоже, и того нет (возможность невозбранно распространять сорцы и самосборки), - я про CE.

anonymous ()
Ответ на: комментарий от anonymous

Определение слова «используешь», пожалуйста в студию.

#include «bla-bla.h»
...
bla-bla();

Когда ты пишешь что-то подобное, ты точно представляешь, что это за bla-bla и какая там лицензия. А что кто-то там потом пытается одноимённое подсунуть через dlopen - это никого не волнует.

а вот ответить за свои же слова тут уже не интересно.

Я тут столько неадекватов видел... Одним больше, одним меньше. :-)

AS ★★★★★ ()
Ответ на: комментарий от anonymous

А у вас, похоже, и того нет (возможность невозбранно распространять сорцы и самосборки), - я про CE.

Если меня к «кому-то» и можно прислонить вообще, то у этого «кого-то», как раз, всё доступно (кроме того, что относится к Эльбрусу, но тут от МЦСТ ограничение): можно и сорцы, и самосборку, и даже самосборку из готового репозитория по доступным шаблонам (не надо возни а-ля CentOS). Но это всё нюансы.

А факт таков, что на распространение СЕ астровцы вправе наложить ограничения. Исходники с патчами они обязаны дать по запросу только от GPL-компонент (и если ещё аналогичные лицензии есть, и от них).

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 2)
Ответ на: комментарий от AS

А что кто-то там потом пытается одноимённое подсунуть через dlopen - это никого не волнует.

Через pipe тоже не волнует?

Я тут столько неадекватов видел… Одним больше, одним меньше. :-)

Самокритично.

anonymous ()
Ответ на: комментарий от anonymous

В чём отличие от dlopen тогда?

Про dlopen не я написал вообще-то. Я написал про явное использование в своём коде чужой библиотечной функции.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от anonymous

Не следил за вашим спором, в чем его суть?

Если про GPL binding terms, то Перенс утверждает, что линковкой не является сетевой вызов из проприетарного софта, а функциональный вызов из проприетарного софта является линковкой.

С ядром там что-то про прерывания и смену контекста, мол user space -> kernel разрешено вызывать фунционально без попадания на линковку, а остальное нельзя - будет линковка с GPL софтом со всеми вытекающими юридическими.

anonymous ()
Ответ на: комментарий от AS

Я написал про явное использование в своём коде чужой библиотечной функции.

Отличие явно от неявного ты не потрудился объяснить. Как впрочем, составного от несоставного.

anonymous ()