LINUX.ORG.RU

Новая версия Astra Linux Common Edition 2.12.29

 ,


1

1

ГК Astra Linux выпустила обновление для операционной системы Astra Linux Common Edition 2.12.29.

Ключевыми изменениями стали сервис Fly-CSP для подписания документов и проверки электронной подписи с применением «КриптоПро CSP», а также новые приложения и утилиты, повысившие удобство использования ОС:

  • Fly-admin-ltsp — организация терминальной инфраструктуры для работы с «тонкими клиентами» на базе LTSP-сервера;
  • Fly-admin-repo — создание собственных репозиториев из deb-пакетов разных разработчиков;
  • Fly-admin-sssd-client — ввод в домен с обращением к удаленным механизмам авторизации;
  • Astra OEM Installer — облегчение OEM-установки ОС: возможность при первом старте задать учетные данные администратора, инсталлировать необходимые компоненты и т.д.;
  • Fly-admin-touchpad — настройка сенсорной панели в ноутбуках.

Изменения также коснулись работы с мобильными устройствами: ОС адаптировали для планшетов MIG Т10 на процессорной архитектуре x86_64, диалог выбора файлов доработали под мобильную сессию, улучшили работу с контактами.

Обновлено более 300 пакетов, из них более 90 — из состава графической оболочки Fly, в том числе Fly-wm (до версии 2.30.4) и Fly-fm (до версии 1.7.39).

Исправлены выявленные ранее ошибки и устранены последние уязвимости.

>>> Подробности

★★★

Проверено: alpha ()

Ответ на: комментарий от AS

того барахла, что натащили в systemd.

Это какого?

сервисы - нужны таймеры - нужны фреймворк для контейнеризации - нужен фреймворк для уравления сетью - нужен фреймворк для управления пользовательскими сессиями - нужен

siraenuhlaalu ()
Последнее исправление: siraenuhlaalu (всего исправлений: 1)
Ответ на: комментарий от siraenuhlaalu

А управление этими фреймворками через сокеты ненужно. Еще нужна возможность отключить все лишние фреймворки и оставить самый минимум.

anonymous ()
Ответ на: комментарий от anonymous

Если кто еще не понял, то действительно безопасное сетевое рабочее место или сервер можно сделать только на отечественной железке и только БЕЗ systemD. - это необходимые условия, но далеко не достаточные

Подразумевается, что на матплате должны быть установлены как минимум чипы российского производства без иностранных закладок, в том числе отечественный процессор и чипсет, желательно память тоже.

Персоналка с Intel или AMD, даже собранная отверточно на территории РФ, никакой отечественной железкой не является с точки зрения безопасности и отсутствия иностранных закладок.

anonymous ()
Ответ на: комментарий от anonymous

На всякий случай напомним какие закладки бывают на западных компьютерных чипах:

  1. IntelME - второй компьютер, который управляет основным

  2. Закладки в микрокоде, кода некоторые редкие последовательности команд отрабатывают нестандартно, например, повышают права пользователя в т.ч. сетевого.

  3. Виртуализирующий невидимый троян в отрицательных рингах, контролирующий все остальные программы, в более положительных рингах его присутствие обнаружить весьма затруднительно. Активироваться он может из бут секторов (с невидимой подменой) дисковых устройств, SSD, прошивок контроллеров, плагинов UEFI и т.п., заражать можно прямо на заводе, или через проприетарные программы типа толстых браузеров, чат клиентов и т.п., используя предыдущие типы закладок.

  4. Каналы управления:

4.1) обычная сеть типа Ethernet и т.п.

Очень вероятно наличие еще нескольких каналов типа:

4.2) беспроводных чипов (радиоканал) и

4.3) виртуальной коммуникационной сети внутри сети питания 110В/220В (гармоники и т.п., такие наборчики даже раньше продавались, на них походу и отладили технологию на хомяках).

В т.ч. дополнительно на жестких дисках такие каналы вероятно тоже есть, потому что даже старые матплаты 2008-2010 года проявляют признаки удаленного управления при подключении к ним современных жестких дисков - вероятно в ядре/дистрибутиве сидит троян для связи с дисками по каналу SATA.

Это только из относительно известных способов, а сколько еще неизвестных, одному Богу известно (может быть).

anonymous ()
Ответ на: комментарий от anonymous

это не сильно отличается от того, как управляется kubernetes или docker containerd.

siraenuhlaalu ()
Ответ на: комментарий от anonymous

Очень вероятно наличие еще нескольких каналов типа:

4.2) беспроводных чипов (радиоканал) и

Речь о полноценном двунаправленном канале связи для полного управления, а не просто сливе по побочке ПЭМИ как раньше лет 10-20 назад.

4.3) виртуальной коммуникационной сети внутри сети питания 110В/220В (гармоники и т.п., такие наборчики даже раньше продавались, на них походу и отладили технологию на хомяках).

Добавьте сюда скорую установку электросчетчиков с модемами связи с энергокомпаниями, возможно в них уже интегрированна или будет интегрированна в будущем параллельная Интернету сеть для управления вашими Intel/AMD закладками, тогда уже ненужно будет развертывать локальные точки подключения к электросети в подъездах, где развертывается слежка за отдельными абонентами, все автоматически будут на глобальном крючке, еще и электричество могут отключить особо буйным.

anonymous ()
Ответ на: комментарий от anonymous

Самое отвратительное, что эти закладки используются не только для предотвращения преступлений в области ИТ, но и для рекрутинга заинтересовавших корпорации специалистов, а также таргетированного против них ганстолкинга для перекрытия им кислорада на текущем месте, т.е. по сути эти закладки помогают покрывать коррупцию транснациональных корпораций в банановых республиках.

anonymous ()
Ответ на: комментарий от anonymous

Собственно только это и стало причиной моей агрессивной борьбы с иностранными закладками.

anonymous ()
Ответ на: комментарий от siraenuhlaalu

нужны таймеры - нужны фреймворк для контейнеризации - нужен фреймворк для уравления сетью - нужен фреймворк для управления пользовательскими сессиями - нужен

Не в init.

AS ★★★★★ ()
Ответ на: комментарий от anonymous

Самое отвратительное, что эти закладки используются … для рекрутинга заинтересовавших корпорации специалистов, а также таргетированного против них ганстолкинга для перекрытия им кислорада на текущем месте, т.е. по сути эти закладки помогают покрывать коррупцию транснациональных корпораций в банановых республиках.

Так ведь «перекрытие кислорода» вне какого-либо предварительного обоюдного договора-согласия о возможности такого перекрытия при определенных условиях как раз и является компьютерным преступлением по УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ:

http://www.consultant.ru/document/cons_doc_LAW_10699/a4d58c1af8677d94b4fc8987c71b131f10476a76/

А транснациональные корпорации вместо избавления МВД от закладок хотят оборудовать борцов с преступлениями самыми современными иностранными закладками, что бы продолжать совершать свои преступления против заинтересовавших их жертв совершенно безнаказанно, да еще и позволить своим спецслужбам лазить в сеть и компы МВД без каких-либо явных санкций и разрешений на это.

anonymous ()
Ответ на: комментарий от anonymous

Это по поводу тендера оборудования для МВД:

https://nangs.org/news/it/mvd-otkrylo-elybrusam-i-baykalam-puty-k-svoemu-milliardnomu-kontraktu-no-ne-ostavilo-im-shansov-na-pobedu

МВД открыло «Эльбрусам» и «Байкалам» путь к своему миллиардному контракту, но не оставило им шансов на победу

anonymous ()
Ответ на: комментарий от AS

Почему же? Например, таймеры: не спорю, похожую задачу решает cron, но есть проблема: cron устарел (вернее из-за необходимости сохранять совместимость с его реализациями 40летней давности, у него нет путей для дальнейшего развития). Итого, разработчикам приходится при использовании cron рожать костыльные решения, например: как запустить cron-джобу через 10 минут после запуска системы и потом гонять каждую минуту?

  • Написать ручками в начале скрипта проверку на аптайм и выходить, если он меньше 10 минут, а потом полдня дебажить, потому что там значение в этом поле может меняться в зависимости от числа дней аптайма.

Как запускать только один экземпляр cron-джобы?

  • Родить костыль по типу flock или какой-то другой pid-файл, попутно попытавшись отдебажить все возможные проблемные состояния.

Или же можно взять и сделать таймер, который является, в свою очередь, сервисом systemd и может управляться совершенно так же, как и обычные сервисы. При этом, там можно задать параметры запуска по типу «в случайное время раз в день» или «через 10 минут после запуска системы» или «каждые 5 минут, но только в одном экземпляре» и т.д.

Контейнеры, запускаемые как сервисы, являются сервисами. То есть одна из классических мер по повышению безопасности сервисов теперь работает «из коробки».

siraenuhlaalu ()
Ответ на: комментарий от siraenuhlaalu

cron устарел (вернее из-за необходимости сохранять совместимость с его реализациями 40летней давности, у него нет путей для дальнейшего развития).

Интересно, как же разработчикам OpenBSD удается и дальше развивать cron, да еще и без systemD - это какой-то парадокс получается.

anonymous ()
Ответ на: комментарий от siraenuhlaalu

Как запускать только один экземпляр cron-джобы?

А готовых библиотек со скриптовыми функциями для этого нет?

anonymous ()

Вроде слухи ходили, что fly-dm когда-то был с открытым исходным кодом. У кого-нибудь есть ссылка? Одну анимацию подглядеть хочу, из приложения для мобильного варианта использования. Надеюсь, они на Qt Widgets все пишут, без QML.

intruder ()
Ответ на: комментарий от Im_not_a_robot

Ну, насколько я знаю, многие больницы сейчас переводят на астру.

надеюсь психиатрические :D

anonymous ()
Ответ на: комментарий от siraenuhlaalu

например: как запустить cron-джобу через 10 минут после запуска системы и потом гонять каждую минуту?

а потом полдня дебажить, потому что там значение в этом поле может меняться в зависимости от числа дней аптайма.

Чего?? cat /proc/uptime | awk '{print $1}'

Как запускать только один экземпляр cron-джобы?

list=$(pidof -xo %PPID ${0##*/})
if [ "$list" != "" ]; then
    logger --id=$$ "${0##*/}: another process(es) running: $list"
    echo "${0##*/}: another process(es) running: $list"
    exit 1
fi
AS ★★★★★ ()
Ответ на: комментарий от siraenuhlaalu

А если кто-то запустит процесс с таким же именем?

А если метеорит на десяток тонн грохнется? У тебя в системе проходной двор? Впрочем с systemd - да. :-)

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от anonymous

Поддержки cades в cptools нет (только в cryptcp), тип контейнера роли не играет: это задача самого КриптоПро CSP, а не приложения.

anonymous ()
Ответ на: комментарий от mister_VA

Странно, но StarOffice 1.1.5 работал у меня на целом зоопарке дистрибутивов

А ты, родненькай, не просто запустить, а документы этим старофисом открывать пробовал? И не простенький документик с текстом [Фак Ю], а реальные доки - с графиками, таблицами, форматированием и рецензиями страничек так на 50-80? Спойлер - даже современный LibreOffice возьмет далеко не любой документ. Я уже молчу про вывод на печать.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.