LINUX.ORG.RU

Новая версия Astra Linux Common Edition 2.12.29

 ,


1

1

ГК Astra Linux выпустила обновление для операционной системы Astra Linux Common Edition 2.12.29.

Ключевыми изменениями стали сервис Fly-CSP для подписания документов и проверки электронной подписи с применением «КриптоПро CSP», а также новые приложения и утилиты, повысившие удобство использования ОС:

  • Fly-admin-ltsp — организация терминальной инфраструктуры для работы с «тонкими клиентами» на базе LTSP-сервера;
  • Fly-admin-repo — создание собственных репозиториев из deb-пакетов разных разработчиков;
  • Fly-admin-sssd-client — ввод в домен с обращением к удаленным механизмам авторизации;
  • Astra OEM Installer — облегчение OEM-установки ОС: возможность при первом старте задать учетные данные администратора, инсталлировать необходимые компоненты и т.д.;
  • Fly-admin-touchpad — настройка сенсорной панели в ноутбуках.

Изменения также коснулись работы с мобильными устройствами: ОС адаптировали для планшетов MIG Т10 на процессорной архитектуре x86_64, диалог выбора файлов доработали под мобильную сессию, улучшили работу с контактами.

Обновлено более 300 пакетов, из них более 90 — из состава графической оболочки Fly, в том числе Fly-wm (до версии 2.30.4) и Fly-fm (до версии 1.7.39).

Исправлены выявленные ранее ошибки и устранены последние уязвимости.

>>> Подробности

★★★

Проверено: alpha ()

Ответ на: комментарий от anonymous

Не следил за вашим спором, в чем его суть?

Всё началось с того, что я написал, что на дистрибутив, как на составное произведение, может быть лицензия, отличная от GPL. anonymous (18.05.20 16:47:44) почему-то оспаривает.

AS ★★★★★ ()
Ответ на: комментарий от anonymous

то Перенс утверждает, что линковкой не является сетевой вызов из проприетарного софта, а функциональный вызов из проприетарного софта является линковкой.

Ну допустим, я делаю некий враппер для замены линковки на сетевой вызов, кидаю всё на iso, обзываю это всё «составным произведением» и угрожаю анальными карами за распространение. По сути ничего не изменилось, кроме лицензии. Вот и хотелось бы пруф на то, что GPL можно так легко обойти.

anonymous ()
Ответ на: комментарий от anonymous

Вот и хотелось бы пруф на то, что GPL можно так легко обойти.

Всё же написано. Да. Врапер у тебя будет обязан быть под соответствующей GPL, а основной код - как хочешь. По запросу обязан будешь дать код врапера и gpl-по. Если будут патчи, то с патчами. Пруф ты давал сам раньше.

AS ★★★★★ ()
Ответ на: комментарий от AS

Всё началось с того, что я написал, что на дистрибутив, как на составное произведение, может быть лицензия, отличная от GPL. anonymous (18.05.20 16:47:44) почему-то оспаривает.

На бинарную сборку? Скорее да, чем нет, пример - RHEL.

На сорцы - маловероятно, по крайне мере выдирать их из составного произведения точно разрешено, если они залинкованы с GPL кодом.

anonymous ()
Ответ на: комментарий от anonymous

Российский рынок поИБэ это вещь «сама в себе»: основным принципом работы его является «получил сертификат - стриги бабло, а дальше хоть трава не расти». Причиной этого является его закрытость и существование «в параллельной реальности», когда хорошие, годные технические решения не проникают на него или проникают с очень большой задержкой. Помимо этого, существуют совершенно дремучие заблуждения, когда убогие в техническом плане решения тиражируются в следующих поколениях и у разных компаний, ссылаясь на некие требования, которых скорее всего и не существует. Всё это приводит к расцвету техноереси с одной стороны и практически полной стагнации с другой.

Например, в 2011 году компания фактор тс всё ещё продавала vpn-концентратор, сделанный в виде приложения, запускающегося под DOS. Ясен пень, что там не было ни поддержки многоядерных процов, ни поддержки новых сетевух, ни нормальной производительности.

Или «центры управлению сетью» у «випнет» и «АБВГД континент», которые были костылём для раскладывания пре-шаренных ключей из-за отсутствия нормальной инфраструктуры открытых ключей. При этом вторые тупо скопировали концепцию у первых, всячески вещая, что гебня требует именно PSK.

Или модули доверенной загрузки в виде загрузчика по типу пароля в grub. Или МДЗ в виде option ROM на pci плате (типа как option ROM у RAID-контроллера), которые как раз с этими самыми RAID-контроллерами и конфликтуют.

Если же отвечать непосредственно на твой ответ - где-то может потребоваться всего одна машина и строить для этого сеть+тонкий клиент - накладно. Где-то может быть запрет именно на работу по сети.

siraenuhlaalu ()
Ответ на: комментарий от AS

Врапер у тебя будет обязан быть под соответствующей GPL, а основной код - как хочешь.

Это ваши фантазии, залинкованный через вызовы функций врапер не является изолятором от распространения условий GPL сквозь него. Изолятором является сетевой стэк - и даже RPC, возможно сокеты, но никак не inprocess вызовы функций, это по словам Брюса Перенса, желаете оспорить в суде?

anonymous ()
Ответ на: комментарий от AS

Врапер у тебя будет обязан быть под соответствующей GPL, а основной код - как хочешь.

А по сути только что изменилось? Я так же вызываю GPL-функции, пусть и через прослойки. В общем напоминает какие-то грязные трюки.

anonymous ()
Ответ на: комментарий от anonymous

А по сути только что изменилось? Я так же вызываю GPL-функции, пусть и через прослойки. В общем напоминает какие-то грязные трюки.

Напоминает игру воображения человека, далекого от юридических аспектов интеллектуальной собственности. Мамкин хацкер с богатым воображением.

anonymous ()
Ответ на: комментарий от anonymous

Изолятором является сетевой стэк

Вот это уже интересно. Я лично за то, чтобы это как-то определить в лицензии, или в пояснениях. А то вон fly в сабже дёргает systemd посредством DBUS (читай IPC). И хоть бы одна собака дала пруф на то, что так можно.

anonymous ()
Ответ на: комментарий от anonymous

В те времена регуляторы не позволяли обновлять ОС, из-за этого было много проблем. Сейчас ФСТЭК обязывает выпускать и ставить обновления на сертифицированные средства.

Сертифицированные обновления на наши устройства (межсетевые экраны) выходили каждые пару месяцев ещё в 2010 году.

Другое дело, что росбитох на болту вертел безопасность, напрочь игнорируя все возникающие угрозы. Та же уязвимость shellshock была пофикшена у них чуть ли не через год после её появления, потому что «сертификаты крутятся, лавешка мутится»

siraenuhlaalu ()
Последнее исправление: siraenuhlaalu (всего исправлений: 1)
Ответ на: комментарий от siraenuhlaalu

Российский рынок поИБэ это вещь «сама в себе»: основным принципом работы его является «получил сертификат - стриги бабло, а дальше хоть трава не расти». Причиной этого является его закрытость и существование «в параллельной реальности», когда хорошие, годные технические решения не проникают на него или проникают с очень большой задержкой. Помимо этого, существуют совершенно дремучие заблуждения, когда убогие в техническом плане решения тиражируются в следующих поколениях и у разных компаний, ссылаясь на некие требования, которых скорее всего и не существует. Всё это приводит к расцвету техноереси с одной стороны и практически полной стагнации с другой.

Отсюда вывод, что использовать российские решения без сорцов для независимой экспертизы для реальной безопасности - это все равно, что быть камикадзе. Для галочки - можно, да. В РФ вообще очень многое делается для галочки, особенно в гос. секторе.

anonymous ()
Ответ на: комментарий от anonymous

А по сути только что изменилось? Я так же вызываю GPL-функции, пусть и через прослойки. В общем напоминает какие-то грязные трюки.

Может и напоминает. Но иначе GPL ПО вообще бы использовать нельзя было. Особенно прикольно было бы с web-сервером под GPL. :-)

AS ★★★★★ ()
Ответ на: комментарий от anonymous

Давай без истерик и школьников, ладно? Взрослый человек же.

Хм. Это просто предложение учиться читать. Или не торопиться писать раньше времени.

AS ★★★★★ ()
Ответ на: комментарий от AS

Хм. Это просто предложение учиться читать. Или не торопиться писать раньше времени.

Тут реально запутаться можно, кто за что топит, было бы удобнее в две колонки опонентов.

А что дает составное произведение в рамках законов РФ применительно к нашему обсуждению? Лень рыться в нормативке, она такая многословная и нудная, что аж прям жуть.

anonymous ()
Ответ на: комментарий от anonymous

Лучше пруф на составное произведение сюда, а то кроме базальта и астры гуголь ничего не выдаёт.

Давай с тебя пруф на выигранный суд сначала.

AS ★★★★★ ()
Ответ на: комментарий от anonymous

Тут реально запутаться можно, кто за что топит, было бы удобнее в две колонки опонентов.

Согласен. В общем врапер там был описан как нечто, работающее с GPL-библиотекой, но предоставляющее некий её функционал через, как раз, сетевое взаимодействие.

А что дает составное произведение в рамках законов РФ применительно к нашему обсуждению?

Ответ на вопрос, как астровцы запрещают Astra Linux Common Edition использовать в ряде случаев.

AS ★★★★★ ()
Ответ на: комментарий от AS

Вот взял ты кусок GPL кода, куда бы ты его не вставил в составное или несоставное произведение с другими проприетарыми кусками кода, какая разница?

Для проприетарного кода, чтобы оставаться проприетарным, главное - как ты его вставил по отношению к GPL кускам напрямую или через сетевой стэк, разве не так?

anonymous ()
Ответ на: комментарий от anonymous

Принципиально нет никакой разницы, есть сорцы или нет, потому что в том же последнем ядре 26М+ строк кода, это означает, что даже бегло просмотреть на предмет бэкдоров/уязвимостей нереально. Если взять любой открытый линукс, там во всём дистрибутиве в сжатом виде исходников гигабайт на 20, и это, мягко говоря, дофига.

Поэтому единственное, что остаётся делать - выбирать решения с наименее костыльным дизайном: SELinux лучше, чем собственное решение, OpenVPN или StrongSWAN лучше, чем собственный протокол, управление устройством через ssh лучше, чем центр управления сетью.

siraenuhlaalu ()
Ответ на: комментарий от anonymous

Вот взял ты кусок GPL кода, куда бы ты его не вставил в составное или несоставное произведение с другими проприетарыми кусками кода, какая разница?

Если он вставлен куда-то, как кусок кода, это одно. Но если этот кусок кода сам по себе отдельное приложение - это другое. Причём есть вовсе интересные варианты. Вот, допустим, bash под GPL. Какую лицензию может иметь скрипт на sh? А на bash?

AS ★★★★★ ()
Ответ на: комментарий от AS

Ответ на вопрос, как астровцы запрещают Astra Linux Common Edition использовать в ряде случаев.

Это скорее вопрос, чем ответ. Сделал я значит apt remove fly-* и там остался один 100% GPL. Вот этот остаток я могу раздавать по GPL? Если могу, то кто мешает вставить туда скрипт, который при установке всё доустановит. Т.е. распространения как бы и нет, каждый пользователь ставит себе сам.

anonymous ()
Ответ на: комментарий от anonymous

Вот этот остаток я могу раздавать по GPL?

Я вовсе про ISO-образ речь вёл. Образ без fly-* - это совсем другой образ. И называть его Astra Linux Common Edition его уже нельзя (скорее всего), так что это не будет распространение именно этого.

AS ★★★★★ ()
Ответ на: комментарий от siraenuhlaalu

Поэтому единственное, что остаётся делать - выбирать решения с наименее костыльным дизайном:

А еще для Linux можно оставить только те сферы ответственности, которые нельзя или трудно реализовать на более безопасных системах, например, WINE для вендовых приложений, работа с редкими дровами и т.п.

OpenBSD - небольшая универсальная система с огромным для ее специфики доступных количеством непроверенных софтовых портов и аппаратных архитектур (но с разным уровнем поддержки, например не работает графика на OrangePI), из нее регулярно выкидывают все лишнее.

Чем проводить аудит линуксовой солянки, не проще ли дописать MAC для OpenBSD? У OpenBSD community - с намного большим процентом специалистов в области безопасности, чем в аналогичном другой подобной системы. Это специализированная ниша, где обитают редкие квалифицированные кадры, по уровню маргинальности по сравнению с другими осями разжиревшими до безобразия и потерявшими свою безопасность (типа обычного современного Linux) и независимости от корпораций OpenBSD напоминает Linux 20 летней давности.

В первую очередь OpenBSD интересна для серверов, особенно коммуникационных.

anonymous ()
Ответ на: комментарий от AS

И называть его Astra Linux Common Edition его уже нельзя

Да не вопрос, назову его Astra Linux Anonymous Edition, но при запуске у юзера докачается и будет уже CE. Формально юзер его сам поставил, а я комп продал.

anonymous ()
Ответ на: комментарий от anonymous

Какое отношение к лицензии на скрипт может иметь редактор, в котором разрабатывается скрипт? По крайне мере при большом обилии других редакторов.

Скрипт можно выпускать под любой лицензией в т.ч. запрещающей какое-либо его использование, даже просмотр, - дочитал текст лицензии до строчки с запретом - изволь закрыть просмотрщик и продолжай заниматься своими другими делами.

anonymous ()
Ответ на: комментарий от AS

Т.е. если я возьму «унесенных ветром», приляпую в конце пять минут своих размышлений на тему почему Ретт Батлер никогда бы не использовал астру, и залью это на ютуб - это станет «составным произведением» и не будет сразу забанено правообладателями исходника? Занятно, а в ютубе то и не знают (с)

rukez ()
Ответ на: комментарий от anonymous

Нет не можешь Там те-же байты что и в дебиане, но со скрепами и сертификатом

Кстати самое забавное - а вот к дебиану подцепить репу с флаем, и apt install’нуть его … в теории можешь - лицензию на флай отдельно я не нашёл (особо правда и не искал), а дебиан с флаем же получается «составное произведение»

rukez ()
Ответ на: комментарий от rukez

и залью это на ютуб - это станет «составным произведением»

Да.

и не будет сразу забанено правообладателями исходника?

Это зависит от лицензии на «Унесённых ветром». :-) И на свою приписку ты можешь иметь свою, отдельную лицензию. И целиком на издание. Попробуй перепечатать что-нибудь современное, кстати.

Занятно, а в ютубе то и не знают (с)

Ну как не знают, знают наверное. А как, кстати, книгу на ютуб залить? Аудио что ли?

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от anonymous

Чем проводить аудит линуксовой солянки, не проще ли дописать MAC для OpenBSD? У OpenBSD community - с намного большим процентом специалистов в области безопасности, чем в аналогичном другой подобной системы.

Скажем так, подход OpenBSD не соответствует подходу, который требуется регуляторам рынка (и нашего и американского): они преимущественно заняты харденингом отдельных компонентов, но не системы как части системы безопасности более высокого порядка. Итого, сейчас в опёнке нет даже Posix ACL (как сказал Тео, это потому что меры безопасности не должны быть опциональными), нет MAC по той же причине.

Второе это как раз то, что OpenBSD это примерно как Linux 20 лет назад, то есть если одна система за это время эволюционировала, избавившись от коллекции костылей под названием SysVinit, приобретя менеджер пакетов и целую кучу других плюшек, в то время, как вторая практически стояла на месте. Итого, пришлось бы героически навёрстывать упущенное.

Третье это поддержка железа, которая зависит как раз от корпораций и которой там нет.

Четвёртое это отсутствие коммьюнити, кроме апстрима, которое ставит крест на проекте «ОС общего назначения из опёнка», а апстриму все эти изменения не нужны, потому что они за 20 лет ничего нового не сделали.

Итого, без какого-то конкретного вливания бобла в такой проект, сделать это усилиями одной частной лавки будет невозможно

siraenuhlaalu ()
Последнее исправление: siraenuhlaalu (всего исправлений: 1)
Ответ на: комментарий от rukez

Нет не можешь Там те-же байты что и в дебиане, но со скрепами и сертификатом

Это если речь идет о бинарной сборке, но скрепные сертифицированные сорцы, прилинкованные к GPL зажимать противозаконно.

anonymous ()
Ответ на: комментарий от AS

Да.

так вот нет тут вот довольно подробно описано в «Четыре критерия добросовестного использования» https://www.youtube.com/intl/ru/about/copyright/fair-use/#yt-copyright-four-factors

в частности:

*Обычно суды проверяют, носит ли работа производный характер, то есть изменен ли исходный замысел и содержание, или же контент был просто скопирован. Скорее всего, использование в коммерческих целях не будет считаться добросовестным, хотя есть способы получать прибыль от такого видео, не нарушая ничьих прав.

Если заимствован лишь небольшой фрагмент, такое использование скорее будет признано добросовестным, чем если вы скопировали значительную часть исходного произведения. Однако если в отрывке заключена основная идея исходной работы, то суд может встать на сторону правообладателя.*

т.е. я могу использовать одну сцену из фильма, обыграв её по своему (в рекламе бесперебойного источника, маленький конденсатор взмывая вверх трясущимися выводами, цитирует «моя семья никогда больше не будет голодать») но не могу просто скопировать фильм, сказав что это прелюдия к моим опусам

Это зависит от лицензии на «Унесённых ветром». :-)

т.е. не от типа линковки с ними? ;-)

Ну как не знают, знают наверное. А как, кстати, книгу на ютуб залить?

речь за кино https://ru.wikipedia.org/wiki/%D0%A3%D0%BD%D0%B5%D1%81%D1%91%D0%BD%D0%BD%D1%8B%D0%B5_%D0%B2%D0%B5%D1%82%D1%80%D0%BE%D0%BC_(%D1%84%D0%B8%D0%BB%D1%8C%D0%BC)

кино и ютуб тут чем прикольны - у них наиболее активная правоприменительная практика по лицензиям и правам

Дебиан и без флая оно самое.

дык вот в случае с кино, правильная линковка это отправить «а посмотрите ка вы унесенных ветром, а когда посмотрите, я вам такоооого расскажу» с астрой правильная линковка - дебиан отдельно, флай отдельно

и тут мы снова возвращаемся к вопросу, как использовать из «составного произведения» СЕ на юрлице бесплатно, только часть дебиана, без флая и ТП … а вот никак, потому что «линковка не правильная» с точки зрения лицензии. бида чесснослово

rukez ()
Ответ на: комментарий от siraenuhlaalu

Четвёртое это отсутствие коммьюнити, кроме апстрима, которое ставит крест на проекте «ОС общего назначения из опёнка»

Рассматриваю Опенка только для межLANовых туннелей, SSH гейт для других Linux серваков в локалке, и ось для AppServer - mono приложений. Т.е. исключительно для безопасности endpoints.

Даже для файловой системы планирую использовать NFS->Devuan+ZFS, СУБД ессно на линуксе, про десктопы даже не упоминаю, кто на чем хочет, потому что рассматриваю только Windows совместимые (можно Linux WINE) WinForms, WPF и WebForms/Blazor.

anonymous ()
Ответ на: комментарий от anonymous

Да не вопрос, назову его Astra Linux Anonymous Edition, но при запуске у юзера докачается и будет уже CE. Формально юзер его сам поставил, а я комп продал.

Только зачем всё это? CE и так бесплатна для физ.лиц

anonymous ()
Ответ на: комментарий от siraenuhlaalu

Второе это как раз то, что OpenBSD это примерно как Linux 20 лет назад, то есть если одна система за это время эволюционировала, избавившись от коллекции костылей под названием SysVinit,

Если про системD, то с моей точки зрения в области безопасности и удобства - это полнейшая деградация Linux. Но системD и не является системой инициализации в чистом виде, это маркетинговый трюк когда под системой инициализации впендюрили зонд - второе ядро уровня user space, перетянувшее на себя массу других неспецифичных иниту задач, т.е. лезет не в свое дело как говорится.

приобретя менеджер пакетов и целую кучу других плюшек

В опенке есть менеджер пакетов и порты, что ни так?

то время, как вторая практически стояла на месте. Итого, пришлось бы героически навёрстывать упущенное.

Звиздешь, Опенок очень бурно развивался и развивается но в ортогональном от линукса направлении, т.е. в направлении повышения безопасности, а линукс как придется.

anonymous ()
Ответ на: комментарий от rukez

Это зависит от лицензии на «Унесённых ветром». :-)

т.е. не от типа линковки с ними? ;-)

Так лицензия же допустимые типы определяет. :-)

речь за кино

За книгу было бы интереснее. Ну и не за «Унесённых ветром», а за какой-нибудь рассказ, когда из многих рассказов, и даже разных авторов, делается сборник. До кучи со своими иллюстрациями (ага, нескучными обоями ;-) ).

и тут мы снова возвращаемся к вопросу, как использовать из «составного произведения» СЕ на юрлице бесплатно

Если в лицензии явно не разрешено, то никак. Но составное оно на то и составное, что легко разбирается на компоненты и пересобирается из тех, из которых можно, в другое составное произведение. Уже на твоих условиях.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 2)
Ответ на: комментарий от AS

Вопрос спорный - systemd решает многие проблемы, которые создавали SysVinit и cron.

  1. убираются костыли для отслеживания PID процесса сервиса, что было невозможно при sysvinit

  2. убираются простыни текста вида «case $1 in start» в инитскриптах

  3. убираются костыли из flock и аналогичные при запуске периодических процессов.

  4. убираются костыли в виде monit и ему подобных супервайзеров процессов

siraenuhlaalu ()
Ответ на: комментарий от siraenuhlaalu

Вопрос спорный - systemd решает многие проблемы, которые создавали SysVinit и cron.

Только порождает кучу новых. И самое главное - в Linux притащили второй комбайн. Как будто ядра было мало.

По пунктам если, то 0-2 мне видятся так себе плюсами, а 3 - жирный минус, ибо системный костыль для говнокода. Такой костыль говнокод должен таскать с собой, чтобы было стыдно.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от siraenuhlaalu

Зачем под видом инит было втюхивать зондо комбайн? Все вокруг - дураки, один АНБ - умный.

Если бы не пихали системD практически насильственным способом, то никто бы даже не раструбил на всю сеть о существовании виртуализирующих буткитов, как одной из причин внедрения этого «якобы инит» поделья.

anonymous ()