Astra Linux
Яндекс | Картинки | Видео | Карты | Карты ОСМ | Спутник | Гугл | Вольфрам-Альфа | РуВики | EnWiki
Astra Linux | |
---|---|
{{#invoke:Wikidata|formatStatements|property=p154[1]|value=300px}} | |
{{#invoke:Wikidata|formatStatements|property=p18[1]|value=Astra Linux Common Edition 1.10.5.png}} Astra Linux, релиз «Орёл» | |
{{#invoke:Wikidata|formatStatements|property=p373|value={{safesubst:#invoke:String|replace|source={{safesubst:#invoke:String|replace|source=|Category:||1}}|category:||1}}}}Ошибка выражения: неопознанный символ пунктуации «{» |
Astra Linux («А́стра Ли́нукс», от лат. astra — звезда) — операционная система специального назначения на базе ядра Linux, созданная для нужд российских силовых ведомств и спецслужб. Обеспечивает степень защиты обрабатываемой информации до уровня государственной тайны «совершенно секретно» включительно. Сертифицирована в системах сертификации средств защиты информации Минобороны, ФСТЭК и ФСБ[1] России.
Содержание
Разработка
Разрабатывается ОАО «НПО РусБИТех» во исполнение распоряжения Правительства РФ № 2299-р от 17 декабря 2010 г., утверждающего План перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на использование свободного программного обеспечения[2].
Производитель заявляет, что «лицензионные соглашения на операционные системы Astra Linux разработаны в строгом соответствии с положениями действующих правовых документов Российской Федерации, а также международных правовых актов», при этом они «не противоречат духу и требованиям лицензии GPL»[3]. Система работает с пакетами на базе .deb[4]. Исходные тексты ядра доступны на сайте разработчика[5].
Выпускаемые релизы носят названия городов-героев России и стран СНГ.
Применение
Система применяется во многих государственных учреждениях. В частности, на ней построена информационная система Национального центра управления обороной РФ[6]. В июле 2015 г. состоялись переговоры о переводе на Astra Linux госучреждений Республики Крым, в которой официальное использование популярных ОС затруднительно из-за антироссийских санкций[7]. В ноябре 2015 года подписано соглашение о сотрудничестве[8] с производителем серверов Huawei, который начал тестировать свои серверы на совместимость с Astra Linux[9].
Основные версии
Производителем разрабатывается базовая версии Astra Linux — Common Edition (общего назначения) и её модификация Special Edition (специального назначения):
- версия «общего назначения» — «Орёл» (Common Edition) предназначена для «решения задач среднего и малого бизнеса»[10].
- версия «специального назначения» — «Смоленск» (Special Edition) предназначена для создания на её основе автоматизированных систем в защищённом исполнении, обрабатывающих информацию со степенью секретности «совершенно секретно» включительно[11]. Новые версии выходят с периодичностью 1 год.
Операционная система Astra Linux Special Edition основана на дистрибутиве Astra Linux Common Edition и включает в себя ряд принципиальных доработок для обеспечения соответствия требованиям руководящих документов по защите информации. Кроме того, в целях оптимизации из дистрибутива Astra Linux Special Edition исключен ряд дублирующих друг друга компонент, решающих сходные целевые задачи. Например, из двух СУБД MySQL и PostgreSQL, входящих в состав Astra Linux Common Edition, в дистрибутив операционной системы Astra Linux Special Edition включена СУБД PostgreSQL, доработанная по требованиям безопасности информации[3].
Также ведутся разработки версий «Тула» для коммутационного оборудования, «Новороссийск» для мобильных устройств на архитектуре ARM и «Мурманск» для мэйнфреймов IBM System z[12].
История версий
Версия | Название | Дата выпуска | Версия ядра Linux |
---|---|---|---|
1.2 | Astra Linux Special Edition (Смоленск) | 28 октября 2011 | 2.6.34 |
1.3 | Astra Linux Special Edition (Смоленск) | 26 апреля 2013 | 3.2.0[13] |
1.4 | Astra Linux Special Edition (Смоленск) | 19 декабря 2014[14] | 3.16.0 |
Версия | Название | Дата выпуска | Версия ядра Linux |
---|---|---|---|
1.5 | Astra Linux Сommon Edition (Орёл) | конец 2009 | 2.6.31 |
1.6 | Astra Linux Сommon Edition (Орёл) | 23 ноября 2010 | |
1.7 | Astra Linux Сommon Edition (Орёл) | 3 февраля 2011 | 2.6.34 |
1.9 | Astra Linux Common Edition (Орёл) | 12 февраля 2013 | 3.2.0 |
1.10 | Astra Linux Common Edition (Орёл) | 14 ноября 2014[15] | 3.16.0[13] |
Особенности версии Special Edition
Идентификация и аутентификация
Функция идентификации и аутентификации пользователей в Astra Linux основывается на использовании механизма PAM. Кроме того, в состав операционной системы включены средства поддержки двухфакторной аутентификации.
Дискреционное разграничение доступа
В Astra Linux реализован механизм дискреционных правил разграничения доступа, который заключается в том, что на защищаемые именованные объекты устанавливаются (автоматически при их создании) базовые правила разграничения доступа в виде идентификаторов номинальных субъектов (UID и GID), которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x).
Кроме общей схемы разграничения доступа, Astra Linux поддерживает также список контроля доступа - ACL, с помощью которого можно для каждого объекта задавать права всех субъектов на доступ к нему.
Мандатное разграничение доступа
В операционной системе реализован механизм мандатного разграничения доступа. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.
Механизм мандатного разграничения доступа затрагивает следующие подсистемы:
- механизмы IPC;
- стек TCP/IP (IPv4);
- файловые системы Ext2/Ext3/Ext4;
- сетевую файловую систему CIFS;
- файловые системы proc, tmpfs.
В Astra Linux Special Edition существует 256 мандатных уровней доступа (от 0 до 255) и 64 мандатных категории доступа
При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создает для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.
Модель контроля и управления доступом
Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная[16] мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель)[17], которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде ) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы[18].
В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[19].
Указанная математическая модель реализована в программном коде специалистами ОАО «НПО „РусБИТех“» и Академии ФСБ Росиии и верифицирована Институтом Системного программирования Российской Академии Наук. В результате дедуктивной верификации[20] модель была полностью формализована и верифицирована.[21]
В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.
Защита от эксплуатации уязвимостей
В состав ядра операционной системы Astra Linux включен набор изменений PaX, обеспечивающий работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении:
- запрет записи в область памяти, помеченную как исполняемая;
- запрет создания исполняемых областей памяти;
- запрет перемещения сегмента кода;
- запрет создания исполняемого стека;
- случайное распределение адресного пространства процесса.
Другие функции
- Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.
- Маркировка документов: разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
- Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.
- Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях, запущенных в собственном изолированном окружении.
- Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
- Контроль целостности: для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94.1[22]
Системные требования
- VGA-совместимый видеоинтерфейс;
- не менее 512 МБ оперативной памяти;
- не менее 4 ГБ свободного места на жестком диске[23].
Аппаратные компоненты
Производителем ОС предлагается также «аппаратно-программный модуль доверенной загрузки „МАКСИМ-М1“» («изделие М643М1») на шине PCI, обеспечивающий защиту оборудования от несанкционированного доступа и ряд других связанных с информационной безопасностью функций. Кроме Astra Linux устройством поддерживаются другие ОС с ядром Linux (2.6.x или 3.x.x) и ряд ОС семейства Microsoft Windows[24]. Контроль доступа может быть реализован с применением магнитного ключа.
См. также
- Мобильная система Вооружённых Сил
- Заря (операционная система)
- Мандатное управление доступом
- ЛИНТЕР
- Список дистрибутивов Linux
- госЛинукс
Ссылки
[[{{#invoke:Wikidata/Interproject|getWikiquoteLink}}|Astra Linux]] в Викицитатнике? | |
[[{{#invoke:Wikidata/Interproject|getWikisourceLink}}|Astra Linux]] в Викитеке? | |
formatStatements|property=p373|value=Astra Linux}}}}?uselang=ru Astra Linux] на Викискладе? | |
[[n:{{#invoke:Wikibase|iwikiall|ruwikinews}}|Astra Linux]] в Викиновостях? | |
[[voy:{{#invoke:Wikibase|iwikiall|ruwikivoyage}}|Astra Linux]] в Викигиде? |
Примечания
Ошибка цитирования Ошибочный тег <references>
;
можно использовать только параметр group
.
<references />
или <references group="…" />
| unknown = | preview = Страница использует Шаблон:Примечания с неизвестным параметром «_VALUE_» | ignoreblank = y | 1 | colwidth | group | liststyle | refs }}
{{#invoke:Navbox|navbox}}
- ↑ Получен сертификат ФСБ на Astra Linux
- ↑ Звезда по имени Linux: почему «военные» ОС прочнее — Компьютерра-Онлайн
- ↑ 3,0 3,1 Часто задаваемые вопросы
- ↑ Настройка apt
- ↑ Исходники ядра — AstraLinux Wiki
- ↑ Крым импортозамещается. «РусБИТех» и «Крымтехнологии» приступили к сотрудничеству
- ↑ Крым может стать примером для всей России по стратегически важному вопросу | иNтерМонитор.ру
- ↑ РусБИТех и Huawei подписали соглашение о сотрудничестве
- ↑ Стоечный сервер Huawei RH2288H V3, маркированный как совместимый с Astra Linux
- ↑ Продукция — Astra Linux Common Edition | ОАО «НПО РусБИТех»
- ↑ Назначение
- ↑ Astra Linux — сделай систему правильно!
- ↑ 13,0 13,1 Основные компоненты (рус.)
- ↑ Версия 1.4 (рус.)
- ↑ Версия 1.10 (рус.)
- ↑ Патент на изобретение №2525481 . www1.fips.ru. Дата обращения 29 сентября 2015.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
- ↑ П. Н. Девянин, “Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели”, ПДМ. Приложение, 2014, № 7, 82–85 . www.mathnet.ru. Дата обращения 29 сентября 2015.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
- ↑ «Хакер» - Русский бронированный Debian. Как устроена новая модель управления доступом в Astra Linux SE
- ↑ ОБЗОРНЫЕ ЛЕКЦИИ ПО МОДЕЛЯМ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ - тема научной статьи по общим и комплексным проблемам технических и прикладных наук и отраслей народного хозяйства...
- ↑ {{#invoke:String|replace|source=Центр верификации ОС Linux|pattern=^(%[*)(.-[^%.%]])(%]*)$|replace=%1%2%3.|plain=false}} Дедуктивная верификация модулей ядра . Linux Deductive Verification.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
- ↑ И. Щепетков Rodin — платформа для разработки и верификации моделей на Event-B (русский).
- ↑ Ключевые особенности
- ↑ ftp://astra-linux.com/docs/AstraLinuxSE_install.pdf
- ↑ АПМДЗ «Максим-М1»
- Страницы с ошибками в примечаниях
- Страницы с неработающими файловыми ссылками
- Статьи с шаблонами-карточками без имени
- Программное обеспечение по алфавиту
- Статьи со ссылками на Викиновости
- Статьи со ссылками на Викигид
- Википедия:Ссылка на Викисклад непосредственно в статье
- Википедия:Страницы с некорректным использованием шаблонов:Примечания
- Debian
- Российские дистрибутивы Linux
- Википедия:Статьи с некорректным использованием шаблонов:Cite web (не указан язык)
- Википедия:Статьи с некорректным использованием шаблонов:Cite web (указан неверный параметр)