Ядро hardened astra linux что это

Ядерная защита в Astra Linux SE 1.6 и как ее включить. Ядро Hardened

Как защититься от ядерных эксплоитов эксплуатирующих уязвимости ядра Linux? Рассмотрим как это реализовано в отечественной ОС Astra Linux SE 1.6.

Многие из Вас слышали, а кто-то давно уже использует ОС Astra Linux SE 1.6 — отечественную операционную систему, сертифицированную по ФСБ, Минобороны и ФСТЭК России. На платформе Astra Linux развернуты и функционируют десятки информационных систем — как в государственных, так и в коммерческих структурах. На фоне определенного ажиотажа вокруг отечественных ОС и темы импортозамещения становится особенно актуально применение Astra Linux SE. Много слов сказано о безопасности этой операционной системы и большинство пользователей считают, что достаточно просто установить ОС Astra Linux и они получат безопасную среду для работы автоматически, ничего не настраивая. Конечно это не так. И в этой статье я расскажу об одном из основных компонентов комплекса средств защиты (КСЗ) — ядре hardened и покажу как нужно его использовать.

Ядро hardened в Astra Linux SE 1.6

Ядро hardened — это несколько изменений в компиляторе и ядре, которые увеличивают общую защищенность системы от взлома. Ядро hardened умеет блокировать массу потенциально опасных операций. В ОС Astra Linux SE 1.6 поставляется две версии ядра — это hardened и generic. Ядро hardened более компактное по размеру. Из него убраны многие компоненты, которые не используются для обычной работы, но могут использоваться для отладки. Так же в этом ядре присутствуют технологии, которые обеспечивают очистку информации стека ядра после системных вызовов. Это позволяет защититься от некоторых эксплоитов, которые нацелены на считывание неочищенной информации после системных вызовов.

На практике hardened ядро на несколько (2-3%) медленнее, чем ядро generic, но оно обеспечивает эффективную защиту от эксплоитов, которые нацелены на эксплуатацию уязвимостей ядра (ядерных эксплоитов).

Ограничения по работе с памятью в ядре hardened:

запрет записи в область памяти, помеченную как исполняемая;
запрет создания исполняемых областей памяти;
запрет перемещения сегмента кода;
запрет создания исполняемого стека;
случайное распределение адресного пространства процесса;
очистка остаточной информации из стека ядра после системных вызовов.

Включаем использование ядра hardened в Astra Linux SE 1.6

Включить использование ядра hardened можно во время установки Astra Linux SE 1.6 и позже, уже непосредственно в установленной ОС.

Во время установки Astra Linux SE 1.6 эта настройка делается в разделе «Дополнительные настройки ОС».

Для того, чтобы ОС по умолчанию загружала ядро hardened необходимо отметить параметр «Использовать по умолчанию ядро Hardened».

Так же, чтобы исключить возможность выбора пользователем варианта загрузки незащищенного ядра generic, необходимо в этом же разделе установить параметр «Запретить вывод меню загрузчика».

Если Вы не установите параметры описанные выше, и продолжите установку Astra Linux SE 1.6, то после установки ОС, во время загрузки, по умолчанию будет загружаться незащищенное ядро generic, а не hardened. Так же, с такими настройками, у пользователя будет возможность выбора ядра generic для загрузки.

Скорее всего, такая ситуация с загрузкой по умолчанию незащищенного ядра generic встретится у многих администраторов. Для того, чтобы настроить загрузку защищенного ядра hardened в уже установленной ОС, необходимо администратором (высокоцелостным root) в графическом интерфейсе открыть — «Панель управления — Система — Загрузчик GRUB2» и сделать следующие настройки:

«Запись по умолчанию» — ядро hardened
«Следующая запись станет загружаемой по умолчанию» — выбрать
«Автоматически загружать запись по умолчанию после показа меню» — немедленно

После этих настроек, ОС будет сразу загружаться с защищенным ядром hardened, а возможность у пользователя выбрать для загрузки незащищенное ядро generic будет отсутствовать.

Информационная безопасность
Настройка Linux
Серверное администрирование
Системное администрирование

Kernel (Русский)

Состояние перевода: На этой странице представлен перевод статьи Kernel. Дата последней синхронизации: 10 июля 2021. Вы можете помочь синхронизировать перевод, если в английской версии произошли изменения.

Ядро Linux — ядро операционной системы, соответствующее стандартам POSIX, составляющее основу операционных систем семейства Linux.

Дистрибутив Arch Linux основан на ядре Linux. Помимо основной стабильной (stable) версии в Arch Linux можно использовать некоторые альтернативные ядра. В статье описываются доступные в официальных репозиториях версии ядер, возможные патчи, а также способы, которыми пользователи могут скомпилировать собственное ядро.

Пакет ядра устанавливается в файловую систему в каталоге /boot/ . Для загрузки нужного ядра при запуске системы необходимо соответствующим образом настроить загрузчик.

Официальные ядра

Помощь при работе с официальными ядрами можно найти на форуме и в баг-трекере.

Stable — «ванильное» ядро Linux с модулями и некоторыми патчами.

Hardened — ориентированное на безопасность ядро Linux с набором патчей, защищающих от эксплойтов ядра и пространства пользователя. Содержит больше защитных особенностей, чем linux .

Longterm — ядро и модули с долгосрочной поддержкой (Long Term Support, LTS).

Zen Kernel — результат коллективных усилий исследователей с целью создать лучшее из возможных ядер Linux для систем общего назначения. Подробности проекта можно найти на сайте liquorix.net (там же можно скачать двоичные файлы Zen-ядра для Debian).

Компиляция

Скомпилировать собственное ядро можно двумя способами:

/Arch Build System Преимущества — наличие готового PKGBUILD для пакета linux и удобство системы управления пакетами. /Традиционная компиляция Ручная загрузка архива файлов с исходными кодами ядра и их компиляция.

Нестандартное ядро чревато всевозможными проблемами в плане надёжности и стабильности работы, поэтому настоятельно рекомендуется использовать резервное копирование.
Arch Linux поддерживает только #Официальные ядра. Если вы работаете с другим ядром, то не забывайте упоминать это в запросах в поддержку.

Лучший способ повысить производительность — адаптировать ядро под свою систему, в первую очередь под архитектуру и тип процессора.
Если оставить в ядре только действительно нужные вам функции, то удастся уменьшить его размер и, следовательно, время сборки. Например, удалите из него Bluetooth, Video4Linux, 1000Mbit Ethernet и прочие вещи, которые на вашей машине точно не понадобятся.

Файлы конфигурации пакетов с ядрами Arch можно найти в исходниках (например, файл [1] из linux ). Если включена опция ядра CONFIG_IKCONFIG_PROC , то файл /proc/config.gz содержит настройки ядра, которое работает на вашей машине в данный момент.

Некоторые из перечисленных пакетов могут быть также доступны в двоичном виде в неофициальных репозиториях.

Ядра kernel.org

Git — ядро Linux, собранное из файлов с исходным кодом из git-репозитория Линуса Торвальдса.

Mainline — ядра, в которых появляются все нововведения. Выходят каждые 2-3 месяца.

Next — самые новейшие ядра, с улучшениями, которые будут добавлены в следующий mainline-выпуск.

Longterm 4.14 — LTS-ядро версии 4.14.

Longterm 4.19 — LTS-ядро версии 4.19.

Longterm 5.4 — LTS-ядро версии 5.4.

Longterm 5.10 — LTS-ядро версии 5.10.

Longterm 5.15 — LTS-ядро версии 5.15.

Неофициальные ядра

Ck — патч от Con Kolivas, повышение быстродействия для настольных систем с любым типом нагрузки.

Clear — патчи проекта Clear Linux от Intel. Содержит улучшения производительности и безопасности.

GalliumOS — ядро Linux с патчами GalliumOS для Хромбуков.

Libre — без проприетарных или обфусцированных драйверов устройств.

Liquorix — ядро, собранное из исходного кода Zen с настройками для Debian. Разработан для настольных, мультимедийных и игровых систем, часто используется в качестве замены основному ядру Debian. Создатель патча Liquorix, Damentz, также является разработчиком набора патчей Zen.

pf-kernel — набор неплохих улучшений, не вошедших в mainline. Сопровождается разработчиком ядра. Предоставляет порты улучшений для новых версий ядра, если они не были выпущены официально. Наиболее важные нововведения — UKSM.

Репозиторий, linux-pfAUR от разработчика pf-kernel, post-factum.
linux-pf-gitAUR от yurikoles

Realtime kernel — поддерживается небольшой группой разработчиков, возглавляемой Ingo Molnar. Патч позволяет применять kernel preemption практически ко всему ядру за исключением небольших участков кода («raw_spinlock critical regions»). Этого удалось добиться за счёт замены большинства спинлоков ядра на мьютексы с поддержкой наследования приоритета, а также перемещением всех прерываний (в том числе и программных) в потоки ядра.

Tkg — ядро с набором патчей для планировщиков PDS и Project C / BMQ. Стандартный планировщик CFS также доступен. Изменения нацелены на улучшение баланса интерактивность/производительность в играх. Автор и сопроводитель — Etienne Juvigny (Tk-Glitch).

VFIO — патч ядра от Alex Williamson с поддержкой PCI Passthrough для KVM на некоторых машинах.

XanMod — улучшение производительности ядер рабочих станций, игровых компьютеров, медиацентров и других систем. Включает планировщик MuQSS, планировщик ввода-вывода BFQ, алгоритм дедупликации памяти в реальном времени UKSM, алгоритм управления перегрузками TCP BBR, расширенный набор команд для архитектуры x86_64 и другие изменения.

Решение проблем

Паника ядра

Паника ядра (kernel panic) возникает, когда ядро Linux попадает в состояние невосстановимого сбоя. Это состояние обычно возникает из-за ошибок в драйверах оборудования, в результате чего система попадает в deadlock, не реагирует на запросы и требует перезагрузки. Непосредственно перед deadlock генерируется диагностическое сообщение, состоящее из: состояния компьютера, когда произошел сбой, трассировки (call trace), ведущей к функции ядра, распознавшей сбой, и списка загруженных в данный момент модулей. К счастью, паники ядра случаются нечасто при использовании основных версий ядра — таких, которые поставляются из официальных репозиториев — но когда они случаются, необходимо знать, как с ними бороться.

Примечание: Паники ядра иногда называются oops или kernel oops. Хотя и то, и другое возникает в результате сбоя, oops является более общим явлением, поскольку не обязательно приводит к deadlock — иногда ядро может восстановиться после oops, убив проблемную задачу и продолжив работу.

Совет: Передайте параметр ядра oops=panic при загрузке или запишите 1 в /proc/sys/kernel/panic_on_oops , чтобы заставить восстановимый oops выдавать панику. Это рекомендуется сделать, если вас волнует небольшая вероятность получения нестабильной системы после восстановления из oops, что может затруднить диагностику будущих ошибок.

Изучение сообщения паники

Если паника ядра происходит очень рано в процессе загрузки, вы можете увидеть в консоли сообщение «Kernel panic — not syncing:», но после запуска systemd сообщения ядра обычно перехватываются и записываются в системный журнал. Однако, когда возникает паника, диагностическое сообщение, выдаваемое ядром, почти никогда не записывается в файл журнала на диске, потому что компьютер попадает в deadlock до того, как system-journald получит шанс записать журнал. Поэтому единственный способ просмотреть сообщение о панике — это просмотреть его на консоли в момент возникновения (не прибегая к установке kdump crashkernel). Вы можете сделать это, загрузившись со следующими параметрами ядра и попытавшись воспроизвести панику на tty1:

systemd.journald.forward_to_console=1 console=tty1

Совет: Если сообщение о панике прокручивается слишком быстро, попробуйте передать параметр ядра pause_on_oops=секунды при загрузке.

Пример сценария: плохой модуль

Можно сделать предположение о том, какая подсистема или модуль вызывает панику, используя информацию в диагностическом сообщении. В этом сценарии мы имеем панику на некотором воображаемом компьютере во время загрузки. Обратите внимание на строки, выделенные жирным:

kernel: BUG: unable to handle kernel NULL pointer dereference at (null) [1] kernel: IP: fw_core_init+0x18/0x1000 [firewire_core] [2] kernel: PGD 718d00067 kernel: P4D 718d00067 kernel: PUD 7b3611067 kernel: PMD 0 kernel: kernel: Oops: 0002 [#1] PREEMPT SMP kernel: Modules linked in: firewire_core(+) crc_itu_t cfg80211 rfkill ipt_REJECT nf_reject_ipv4 nf_log_ipv4 nf_log_common xt_LOG nf_conntrack_ipv4 . [3] kernel: CPU: 6 PID: 1438 Comm: modprobe Tainted: P O 4.13.3-1-ARCH #1 kernel: Hardware name: Gigabyte Technology Co., Ltd. H97-D3H/H97-D3H-CF, BIOS F5 06/26/2014 kernel: task: ffff9c667abd9e00 task.stack: ffffb53b8db34000 kernel: RIP: 0010:fw_core_init+0x18/0x1000 [firewire_core] kernel: RSP: 0018:ffffb53b8db37c68 EFLAGS: 00010246 kernel: RAX: 0000000000000000 RBX: 0000000000000000 RCX: 0000000000000000 kernel: RDX: 0000000000000000 RSI: 0000000000000008 RDI: ffffffffc16d3af4 kernel: RBP: ffffb53b8db37c70 R08: 0000000000000000 R09: ffffffffae113e95 kernel: R10: ffffe93edfdb9680 R11: 0000000000000000 R12: ffffffffc16d9000 kernel: R13: ffff9c6729bf8f60 R14: ffffffffc16d5710 R15: ffff9c6736e55840 kernel: FS: 00007f301fc80b80(0000) GS:ffff9c675dd80000(0000) knlGS:0000000000000000 kernel: CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 kernel: CR2: 0000000000000000 CR3: 00000007c6456000 CR4: 00000000001406e0 kernel: Call Trace: kernel: do_one_initcall+0x50/0x190 [4] kernel: ? do_init_module+0x27/0x1f2 kernel: do_init_module+0x5f/0x1f2 kernel: load_module+0x23f3/0x2be0 kernel: SYSC_init_module+0x16b/0x1a0 kernel: ? SYSC_init_module+0x16b/0x1a0 kernel: SyS_init_module+0xe/0x10 kernel: entry_SYSCALL_64_fastpath+0x1a/0xa5 kernel: RIP: 0033:0x7f301f3a2a0a kernel: RSP: 002b:00007ffcabbd1998 EFLAGS: 00000246 ORIG_RAX: 00000000000000af kernel: RAX: ffffffffffffffda RBX: 0000000000c85a48 RCX: 00007f301f3a2a0a kernel: RDX: 000000000041aada RSI: 000000000001a738 RDI: 00007f301e7eb010 kernel: RBP: 0000000000c8a520 R08: 0000000000000001 R09: 0000000000000085 kernel: R10: 0000000000000000 R11: 0000000000000246 R12: 0000000000c79208 kernel: R13: 0000000000c8b4d8 R14: 00007f301e7fffff R15: 0000000000000030 kernel: Code: 04 25 00 00 00 00 01 00 00 00 bb f4 ff ff ff e8 73 43 9c ec 48 kernel: RIP: fw_core_init+0x18/0x1000 [firewire_core] RSP: ffffb53b8db37c68 kernel: CR2: 0000000000000000 kernel: ---[ end trace 71f4306ea1238f17 ]--- kernel: Kernel panic - not syncing: Fatal exception [5] kernel: Kernel Offset: 0x80000000 from 0xffffffff810000000 (relocation range: 0xffffffff800000000-0xfffffffffbffffffff kernel: ---[ end Kernel panic - not syncing: Fatal exception

[1] Указывает тип ошибки, вызвавшей панику. В данном случае это была ошибка программиста.
[2] Указывает, что паника произошла в функции под названием fw_core_init в модуле firewire_core.
[3] Указывает, что firewire_core был последним загруженным модулем.
[4] Указывает, что функция, вызвавшая функцию fw_core_init, была do_one_initcall.
[5] Указывает на то, что это сообщение oops на самом деле является паникой ядра, и система ушла в deadlock.

Мы можем предположить, что паника произошла во время инициализации модуля firewire_core при его загрузке. (Тогда можно предположить, что аппаратное обеспечение компьютера несовместимо с данной версией модуля драйвера firewire из-за ошибки программиста, и придётся ждать новой версии). Тем временем, самый простой способ заставить компьютер снова работать — это предотвратить загрузку проблемного модуля. Это можно сделать одним из двух способов:

Если модуль загружается в процессе работы initramfs, перезагрузитесь с параметром ядра rd.blacklist=firewire_core .
Иначе перезагрузитесь с параметром ядра module_blacklist=firewire_core .

Отладка регрессий

Прежде всего проверьте ядро linux-mainline AUR на предмет того, не была ли проблема уже решена. В прикреплённом комментарии указан репозиторий с уже собранными ядрами, так что собирать ядро вручную не придётся.

Если проблема проявляется не слишком часто, то имеет смысл попробовать LTS-ядро ( linux-lts ). Старые версии LTS-ядер можно найти в архиве Arch Linux.

Если избавиться от проблемы не удалось, попробуйте локализовать баг в linux-git AUR , после чего сообщите о нём в баг-трекер ядра. Важно проверять ванильное непропатченное ядро, чтобы убедиться, что причиной ошибки является не патч. Если проблемы вызывает патч, то сообщите об этом его автору.

Примечание: Локализация местонахождения бага в коде может занять много времени, поскольку придётся многократно пересобирать ядро.

Смотрите также

O’Reilly — Linux Kernel in a Nutshell — электронная книга «Ядро Linux в двух словах».
Какую из stable-версий ядра лучше использовать? от Greg Kroah-Hartman.
Документация ядра Linux

Astra Linux: зачем и для кого?

Всем привет, это моя вторая статья в цикле материалов по Astra Linux. Прошлая статья вызвала немало разногласий и теперь я собираюсь пояснить, что все-таки есть в Астре, чего нет в других дистрибутивах.

Немного истории

Не секрет, что само по себе ядро Linux было написано в 1991 году Линусом Торвальдсом. И единственной отличительной особенностью Linux от других ОС семейства Unix была отсутствие каких-либо лицензий в отношении его кода. Это обстоятельство привело к тому, что в начале нулевых “критическая масса” приложений, написанных под Linux превысила порог и Linux начал становиться общепринятым стандартом. Так что мне кажется не стоит рассуждать, кто, что и на каком ядре делал, ибо все ныне существующие Linux дистрибутивы содержат код, написанный Торвальдсом.

Вполне естественно, что в России давно пытаются создать свою защищенную ОС. Пусть не очень удобно, пусть с багами, зато проверено, безопасно и своё. Так появились Мобильная система Вооружённых Сил (МСВС), ОС «РОСА», ОС Qubes и других полноценных и не очень проектов. И тут вступает в игру АО «НПО РусБИТех» со своей операционной системой специального назначения (ОССН) Astra Linux SE.

Что значит «защищенная» ОС?

Есть 2 подхода к ответу на этот вопрос. С одной стороны, это ОС, отвечающая минимальным требованиям руководящих документов, регламентирующих требования к ПО (например, ГОСТ Р ИСО/МЭК 15408-3-2013, Профиль защиты операционных систем типа «А» второго класса Защиты от ФСТЭК и др.). О соответствии ПО этим требованиям говорит сертификация в различных ведомствах (ФСТЭК, ФСБ или МинОбр.). О сертификации ПО я планирую рассказать в одной из следующих статей. С другой стороны, в документе невозможно учесть все современные угрозы и быстро меняющуюся обстановку в сфере ИБ и поэтому в ОС должен обеспечиваться комплекс средств защиты информации (СЗИ), адекватный угрозам безопасности для конкретной системы (зачастую критически важной). Казалось бы, оба подхода говорят об одном и том же: не будут же в критических системах применяться ОС, не отвечающая хотя бы минимальным требованиям по безопасности. Однако не стоит забывать, что даже при полном выполнений всех норм и правил, система может оказаться контролируемой извне (например недобросовестным разработчиком). Так что согласно второму подходу под защищенностью системы подразумевают, что она является еще и доверенной (trusted).

Так что же такого в этой Астре?

Лично я считаю эту систему защищенной, так как:

Она сертифицирована одновременно ФСТЭК, ФСБ и МинОбром. Насколько сложно получить хотя бы один из этих сертификатов даже при малом объеме кода я знаю не понаслышке)
В ней реализован ряд модулей (о которых я расскажу ниже), которые сильно усложняют неконтролируемый доступ к объектам системы.

Среди администраторов безопасности ОС семейства Linux распространено мнение, что для её превращения в высокозащищённую ОС достаточно установить пакет Security Enhanced Linux (SELinux) специально разработанный для этой цели в АНБ США. Данный пакет широко и успешно применяется для реализации замкнутой программной среды, однако попытки его применить для реализации более сложных моделей управления доступом, как правило, заканчиваются неудачей, так как требуют существенных усилий по разработке соответствующих политик.

Поэтому наши разработчики собрались и разработали свою мандатную сущностно-ролевую ДП-модель безопасности управления доступом и информационными потоками (МРОСЛ ДП-модель). Уже само название звучит устрашающе, и модель ему полностью соответствует. Существует полное математическое описание и доказательство безопасности такого подхода, однако оно займет целую книгу и уйму времени, чтобы в нем разобраться. Поэтому доверимся разработчикам и идём дальше (кому надо, тот посмотрит).

Начнем с 2-х типов ядер в данной системе (generic и hardened).
Kernel Generic – ядро общего назначения, обеспечивающее базовую функциональность ОС.
Kernel Hardened – это ядро “на стероидах”. Помимо базовых функций оно поддерживает:

ряд функций модуля PaX (например, UDEREF и kernexec), устанавливающие правила доступа прикладных программ к адресному пространству памяти.
функции, например, такие, как PIE (Position Independent Executables) и SSP (Stack Smashing Protector), предотвращающие переполнения стека.
функции, используемые ядром при копировании данных в/из пространства памяти прикладных программ (userspace).
функции, предотвращающие внедрение вредоносного кода в процессы, путём перехвата начального потока управления.

Про каждую из этих функций вы можете прочитать отдельно, все эти идеи не новы.

В целом ядро hardened ориентировано на создание «живучих» серверных платформ. Правда при этом могут возникнуть проблемы с функционированием некоторых приложений.

Таким образом, Hardened является дополнительным уровнем защиты, наряду с мандатными управлением доступом и контролем целостности , а также с подсистемой безопасности PARSEC на основе МРОСЛ ДП-модели.

Ну вот мы и подошли в PARSECу.

Схема PARSEC

По факту этот модуль расширяет систему передачи привилегий обычным пользователям по выполнению действий админа, перехватывая и анализируя обращения к ядру системы. Реализован он на основе упомянутой выше МРОСЛ ДП-модели, применяя в том числе и мандатную и дискреционную модель доступа .

Что же касаемо сетевой безопасности, она реализована с помощью службы Astra Linux Directory (ALD), являющаяся аналогом Active Directory от Microsoft. Конечно, реализованы не все возможности AD, однако проект активно развивается и совместим с другими доменными инфраструктурами.

Теперь перейдём к вопросу для кого эта система? Прежде всего знание астры будет полезно сетевым администраторам в различных гос. организациях (рано или поздно), а также всем, кто желает поближе познакомиться с творением РусБИТеха и защищенными ОС в целом. Не стоит забывать, что безопасность требует жертв в виде определенных трудностей в использовании и администрировании системы (в чем вы сможете в последующих статьях)

Заключение

Несмотря на кажущуюся простоту, реализация каждого модуля, согласование их работы, обоснование безопасности и сертификация – это огромный труд, так что стоит отдать должное разработчикам, несмотря на некоторые трудности в работе с данной ОС. При этом поддержка основных функций современной ОС (с небольшими ограничениями) реализована в полной мере. Помимо этого, есть возможность разворачивать весьма гибкие платформы, зачастую реализованная с помощью собственных программных продуктов. О том, как развернуть некоторые из них я планирую написать в последующих статьях.

На этом все, я постарался в общих чертах объяснить суть творения российских разработчиков. Если остались вопросы, пишите в комментариях, постараюсь на них ответить.

Astra Linux Special Edition 1.6

Новый релиз подготовлен на базе Astra Linux Common Edition 2.12, используется ядро Линукс версии 4.15.

Новое в версии 1.6

Для пользователей

Рабочий стол. Существенно переработано рабочее окружение Fly. Fly — собственная разработка РусБИТеха на базе библиотеки Qt. Имеет в своем составе стандартный набор средств. Освежена стандартная тема оформления в соответствии с современными тенденциями. В новой версии пользователь может адаптировать цветовую палитру по своему желанию. Из любопытных особенностей следует отметить изменение оформления рабочего стола в зависимости от прав пользователя.

KDE Frameworks. В отличие от предыдущих версий Astra Linux, в новой версии за основу рабочей среды взято свободное ПО «KDE Framework». KDE Framewor — это программный инструментарий, лежащий в основе популярной рабочей среды KDE. Тем самым разработчики повысили качество и функциональность Fly, попутно улучшив совместимость с приложениями, разработанными для среды KDE.

Офисный пакет. Добавлен новейший комплект офисных программ LibreOffice 6.0. Данное нововведение предлагает лучшую функциональность, но обратной стороной является стабильность — версия 6.0 достаточно «сырая» и ее нельзя рекомендовать для повседневной работы.

Blender. Включен Blender — профессиональное свободное программное обеспечение для создания трёхмерной компьютерной графики, включающее в себя средства моделирования, анимации, рендеринга, постобработки и монтажа видео.

Приложения KDE. Включены в состав многие приложения KDE: запись компакт-дисков (k3b), редактор Kate, терминал Konsole и д.р.

Шрифты. Удалены многие наборы шрифтов (да, стало еще меньше).

Сканирование и распознавание. Система распознавания текста Tesseract.

Сервер

FreeIPA. В дополнение к традиционным средствам построения сетевых доменов Astra Linux Directory добавлена домен FreeIPA. FreeIPA — открытый проект для создания централизованной системы управления пользователями, компьютерами с интеграцией зон DNS, доменами Samba и системой Kerberos 5. FreeIPA дает возможность централизации многих функциональных аспектов инфраструктуры.

Управление. Для удобства администрирования добавлены графические утилиты для работы с доменами. Включен графический интерфейс к брандмауэру UFW.

HAProxy. Добавлен прокси-сервер HAProxy в дистрибутив ОС.

Настройка сети. iproute2 вместо iproute.

СУБД. PostgreSQL обновлен до версии 9.6.

Веб-приложения. Включены многие дополнительные пакеты Ruby, а сам Ruby обновлен до версии 2.3.

Виртуализация

QEMU. Дистрибутив пополнился средой виртуализации и кластеризации с возможностью построения высоконадежных отказоустойчивых систем.

Ceph. В состав вошла кластерная распределенная файловая система Ceph.

Средства защиты

Ядро Hardened. Дистрибутив пополнился ядром с усиленной самозащитой. Hardened Linux — это несколько изменений в компиляторе и ядре, которые увеличивают общую защищенность системы от взлома. Hardened-ядро умеет блокировать массу потенциально опасных операций. Hardened ядро пришло на замену защите PaX.

Мандатный контроль целостности. Расширены возможности мандатного контроля целостности (МКЦ). Вместо двух уровней целостности (версия 1.5) теперь доступно 8 уровней. Некоторые уровни распределены между системными средствами. Контроль целостности влияет на возможность изменения объектов операционной системы пользователем.

Блокировка скриптов. Расширены механизмы блокировки выполнения недоверенного кода, в том числе и на интерпретируемых языках программирования (python, perl, ruby. ).

Шифрование. Данные на дисках и компьютерной сети теперь могут быть защищены маскирующим преобразованием. Не является СКЗИ.

Обновление микрокода. В состав дистрибутива включены утилиты обновления микрокода процессоров Intel и AMD.

Многочисленные изменения. Подверглись изменениям функции подсистемы мандатной защиты данных (PARSEC). Сервер графического интерфейса теперь работает под пользовательской учетной записью. Протокол SSH переведен на использование российских алгоритмов ГОСТ. Отключение входа через консоль и многое другое.

Обновление с предыдущих версий

К сожалению, разработчики не уделяют внимания сохранению обратной совместимости между версиями.

Установленную Astra Linux Special Edition 1.5 нельзя обновить до версии 1.6, только переустановка.
Многие программы, написанные для Astra Linux Special Edition с высокой вероятностьюпотеряют совместимость и перестанутработать.

Детальное сравнение с версией 1.5

Ресурсы

Надежная версия LibreOffice с проверкой русского для SE: LibreOffice 6.2. Java для SE: ГосJava.

Приобретение и стоимость

В состав заказа на обновление должен входить минимум 1 дистрибутив формата поставки BOX. Стоимость обновления (НДС не облагается), базовая:

Лицензия на обновление Astra Linux Special Edition «Смоленск» 1.6 ФСТЭК (формат поставки BOX) — 12 900 руб/шт;
Лицензия на обновление Astra Linux Special Edition «Смоленск» 1.6 ФСТЭК (формат поставки OEM) — 7 900 руб/шт;
Лицензия на обновление Astra Linux Special Edition «Смоленск» 1.6 ФСТЭК (дополнительная лицензия, без формуляра и дистрибутива) — 6 950 руб/шт.

формат поставки BOX — 24 900 руб/шт;
формат поставки OEM — 14 900 руб/шт;
дополнительная лицензия, без формуляра и дистрибутива — 13 900 руб/шт.

Продолжение

В дальнейшем мы планируем сделать обзор новой версии Astra Linux Special Edition 1.6:

для разработчиков;
новаций в системе защиты информации.

0 комментариев

Для отправки комментария вам необходимо авторизоваться.