Русская Википедия:Astra Linux
Шаблон:Карточка ОС Astra Linux («А́стра Ли́нукс», от Шаблон:Lang-lat — «звезда») — операционная система на базе ядра Linux, которая внедряется в России в качестве альтернативы Microsoft Windows[1][2][3][4][5]. Обеспечивает степень защиты обрабатываемой информации до уровня государственной тайны «особой важности» включительно. Сертифицирована в системах сертификации средств защиты информации Минобороны РФ, ФСТЭК и ФСБ[6] России. Включена в Единый реестр российских программ Минкомсвязи России[7].
В ходе разработки системы во второй половине 2010-х годов и развития процессов импортозамещения Astra Linux начала широко применяться как универсальная операционная система для персональных компьютеров. По состоянию на 2022 год внедряется в образовательных, медицинских и других государственных учреждениях, а также в компаниях РЖД, «Газпром», «Росатом» и других.
Разработка
Система работает с пакетами на базе .deb, используется пакетный менеджер apt. Astra Linux считается «официально признанным» деривативом Debian после прохождения необходимых проверок на соответствие требованиям Debian[8], АО «НПО РусБИТех» находится в партнёрских отношениях с The Linux Foundation[9] и The Document Foundation[10]. Разработчик заявляет, что «лицензионные соглашения на операционные системы Astra Linux разработаны в строгом соответствии с положениями действующих правовых документов Российской Федерации, а также международных правовых актов», при этом они «не противоречат духу и требованиям лицензии GPL».
Собственный репозиторий Astra Linux состоит из более чем 20 000 пакетов. На пакетной базе этого репозитория развиваются и другие программные продукты компании[11]. В состав дистрибутива входят такие пакеты с открытым исходным кодом, как графическое окружение пользователя Fly, офисный пакет LibreOffice, доработанный в части управления доступом, серверные компоненты (web-сервер, СУБД и так далее), браузер Firefox, почтовый клиент Thunderbird, редактор растровой графики GIMP, проигрыватель мультимедиа VLC и другие[12].
В феврале 2018 г. объявлено, что Astra Linux была адаптирована для российских микропроцессоров «Эльбрус»[13].
С 17 декабря 2019 года правообладателем, разработчиком и производителем является ООО «РусБИТех-Астра»[14], созданная в 2016 году как дочерняя компания АО «НПО РусБИТех», занимающаяся разработкой и сопровождением ОС. В 2019 году компания стала юридически самостоятельной, а в 2020 году на базе «Русбитех-Астра» была сформирована ГК «Астра».
Графический интерфейс
Fly — собственная разработка создателей ОС, гибридное графическое окружение пользователя, которое включает в себя рабочий стол, написанный с использованием библиотеки xlib, а также набор графических утилит на Qt, разработанных в основном с использованием фреймворка KF5 и PyQt. Особенностью также является полная интеграция графической оболочки со всеми механизмами защиты информации, встроенными в операционную систему Astra Linux.
Применение
Система применяется в ряде государственных учреждений в сферах обороны, здравоохранения, науки и образования, финансов, промышленности и торговли, ЖКХ[15]. В частности, на ней построена информационная система Национального центра управления обороной РФ[16]. В июле 2015 г. состоялись переговоры о переводе на Astra Linux госучреждений Республики Крым, в которой официальное использование популярных ОС затруднительно из-за антироссийских санкций[17]. В ноябре 2015 года подписано соглашение о сотрудничестве[18] с производителем серверов Huawei, который начал тестировать свои серверы на совместимость с Astra Linux[19]. В феврале 2019 года объявлено о внедрении Astra Linux на Тяньваньской АЭС (Китай, провинция Цзянсу)[20].
С января 2019 года происходит тестирование Astra Linux в системах группы компаний «Газпром».
С 2019 года производятся «защищённые»[21] планшетные компьютеры марки MIG с предустановленной Astra Linux, планируются продажи смартфонов[22].
В 2021 году началось внедрение системы в ОАО РЖД[23]. До конца 2024 года на Astra Linux планирует полностью перейти «Росатом» — всего на ОС будут работать около 130 тысяч пользователей.
В 2022 году ГК «Астра» сообщает об успешном переводе в Yandex Cloud собственных ключевых сервисов: «Центра загрузок» (репозитория с пакетами из состава операционной системы), «Справочного центра» и сервиса технической поддержки.[24]
В 2022 году ГК «Астра» на военно-техническом форуме «Армия-2022» продемонстрировала адаптированную для мобильных устройств версию операционной системы Astra Linux Special Edition.[25]
Основные версии
Производителем разрабатывается версия Astra Linux Special Edition (специального назначения) и несертифицированная версия Common Edition (общего назначения):
- Common Edition — единственная российская ОС, репозиторий которой размещен в открытом доступе международной некоммерческой организации The Linux Foundation;
- Special Edition — сертифицированная ОС со встроенными средствами защиты информации (СЗИ) для стабильных и безопасных ИТ-инфраструктур любого масштаба и бесперебойной работы с данными любой степени конфиденциальности, лицензируется по трем уровням защиты.
Система доступна в четырех версиях: десктопная, мобильная, серверная[26] и встраиваемая (Embedded)[27]. Ранее выпускаемые релизы были отдельными дистрибутивами и носили названия городов-героев РСФСР и города воинской славы России:
| Архитектура | Common Edition | Special Edition | Сфера применения |
|---|---|---|---|
| x86-64 | Орёл | Смоленск | рабочие станции и серверы |
| ARM | − | Новороссийск | мобильные устройства и встраиваемые компьютеры |
| MIPS | − | Севастополь | настольные и мобильные устройства, сетевое оборудование |
| POWER | − | Керчь | высокопроизводительные серверы |
| IBM System z | − | Мурманск | отказоустойчивые серверы (мейнфреймы) |
| Эльбрус 2000 | − | Ленинград[28] | вычислительные комплексы «Эльбрус» |
Начиная с версии 1.7 релиз представлен несколькими версиями в одном установщике. В процессе установки предлагается выбрать версию: несертифицированную «Орел», либо одну из сертифицированных — усиленный уровень защиты «Воронеж» и максимальный уровень защиты «Смоленск».
История версий
Для краткого обозначения варианта исполнения ОС Astra Linux Special Editon (кроме варианта РУСБ.10230-02) используются два числа:
Код_дистрибутива. Номер_очередного_обновления_ОС
Для ОС Astra Linux Special Edition РУСБ.10230-02 используются три числа:
Код_дистрибутива. Код_версии_архитектуры. Номер_очередного_обновления_ОС
Если код дистрибутива 2, то это не Astra Linux Special Edition, а Astra Linux Common Edition. При этом может указываться три числа, третье число обозначает номер обновления ОС:
Код_дистрибутива. Номер_версии_ОС.Номер_обновления_ОС
Для Astra Linux Common Edition номер варианта исполнения представлен двумя или тремя числами:
Код_дистрибутива. Номер_версии_ОС[.Номер_обновления_ОС]
| Версия | Название | Дата выпуска | Версия ядра Linux[29] | ||
|---|---|---|---|---|---|
| X86-64 | 1.2 | Astra Linux Special Edition (Смоленск) | 28 октября 2011 | 2.6.34 | |
| 1.3 | Astra Linux Special Edition (Смоленск) | 26 апреля 2013 | 3.2.0 | ||
| 1.4 | Astra Linux Special Edition (Смоленск) | 19 декабря 2014 | 3.16.0 | ||
| 1.5 | Astra Linux Special Edition (Смоленск) | 8 апреля 2016[30] | 4.2.0 | ||
| 1.5.9 | Astra Linux Special Edition (Смоленск) | декарь 2020 | Нет данных | EOL 06.21 | |
| 1.6 | Astra Linux Special Edition | 26 сентября 2018 | 4.15.3-1 | ||
| 1.6.1 | Astra Linux Special Edition | Нет данных | Нет данных | ||
| 1.6.2 | Astra Linux Special Edition | Нет данных | Нет данных | ||
| 1.6.3 | Astra Linux Special Edition | Нет данных | Нет данных | ||
| 1.6.4 | Astra Linux Special Edition | Нет данных | Нет данных | ||
| 1.6.5 | Astra Linux Special Edition | Нет данных | Нет данных | ||
| 1.6.6 | Astra Linux Special Edition | Нет данных | Нет данных | ||
| 1.6.7 | Astra Linux Special Edition | 28 июня 2021 | Нет данных | ||
| 1.6.8 | Astra Linux Special Edition | 6 августа 2021 | Нет данных | ||
| 1.6.9 | Astra Linux Special Edition | 19 октября 2021 | Нет данных | ||
| 1.6.10 | Astra Linux Special Edition | 3 декаря 2021 | Нет данных | ||
| 1.6.11 | Astra Linux Special Edition | 5 сентября 2022 | 5.15 | ||
| 1.6.12 | Astra Linux Special Edition | 20 декабрь 2022 | Нет данных | ||
| 1.6.13 | Astra Linux Special Edition | В разработке (июль-август 2023г) | Нет данных | EOL 09.23 | |
| 1.7 | Astra Linux Special Edition | 27 июля 2021[31] | 5.4 LTS | ||
| 1.7.1 | Astra Linux Special Edition | 29 декабря 2021 | 5.10 | ||
| 1.7.2 | Astra Linux Special Edition | 24 августа 2022[32] | 5.15 | ||
| 1.7.3 | Astra Linux Special Edition | 15 ноября 2022 | 5.15.0-33 | ||
| 1.7.4 | Astra Linux Special Edition | 26 апреля 2023 | 5.15.0-70 | ||
| 1.7.5 | Astra Linux Special Edition | В разработке (октябрь-ноябрь 2023г) | Нет данных | ||
| 1.8 | Astra Linux Special Edition | В разработке (сентябрь-октябрь 2023г) | Нет данных | ||
| 1.8.1 | Astra Linux Special Edition | Нет данных | Нет данных | ||
| ARM | 4.7 | Astra Linux Special Edition | 27 июля 2021 | Нет данных | |
| 4.7.1 | Astra Linux Special Edition | 26 января 2022 | Нет данных | ||
| 4.7.2 | Astra Linux Special Edition | 12 октября 2022 | Нет данных | ||
| 4.7.3 | Astra Linux Special Edition | 2 декабря 2022 | Нет данных | ||
| 4.7.4 | Astra Linux Special Edition | В разработке (май-июнь 2023г) | Нет данных | ||
| 4.7.5 | Astra Linux Special Edition | В разработке (ноябрь-декабрь 2023г) | Нет данных | ||
| 4.7.6 | Astra Linux Special Edition | В разработке (октябрь-ноябрь 2023г) | Нет данных | ||
| 4.8 | Astra Linux Special Edition | В разработке (октябрь-ноябрь 2023г) | Нет данных | ||
| 4.8.1 | Astra Linux Special Edition | Нет данных | Нет данных | ||
| Эльбрус e2k-8c | 8.1 | Astra Linux Special Edition | Нет данных | Нет данных | |
| 8.1.1 | Astra Linux Special Edition | Нет данных | Нет данных | ||
| 8.1.2 | Astra Linux Special Edition | Нет данных | Нет данных | ||
| 8.1.3 | Astra Linux Special Edition | 8 ноября 2021 | Нет данных | ||
| 8.1.4 | Astra Linux Special Edition | В разработке (2023г) | Нет данных | ||
| Эльбрус e2k-16c | 8.8 | Astra Linux Special Edition | В разработке (нет данных) | Нет данных | |
| 8.8.1 | Astra Linux Special Edition | Нет данных | Нет данных | ||
| IBM System Z | 3.1 | Astra Linux Special Edition | Нет данных | Нет данных | EOL |
| MIPS (Байкал-Т1) | 6.1.1 | Astra Linux Special Edition | Нет данных | Нет данных | EOL |
| MIPS (КОМДИВ64) | 6.2.1 | Astra Linux Special Edition | Нет данных | Нет данных | EOL |
| Версия | Название | Дата выпуска | Версия ядра Linux |
|---|---|---|---|
| 1.5 | Astra Linux Common Edition | конец 2009 | 2.6.31 |
| 1.6 | Astra Linux Common Edition | 23 ноября 2010 | Неизвестно |
| 1.7 | Astra Linux Common Edition | 3 февраля 2011 | 2.6.34 |
| 1.9 | Astra Linux Common Edition | 12 февраля 2013 | 3.2.0 |
| 1.10 | Astra Linux Common Edition | 14 ноября 2014 | 3.16.0 |
| 1.11 | Astra Linux Common Edition | 17 марта 2016[33] | 4.2.0 |
| 2.11.3 | Astra Linux Common Edition | 29 марта 2018 | 4.15.3 |
| 2.12 | Astra Linux Common Edition | 7 августа 2018 | 4.15.3-1 |
| 2.12.29 | Astra Linux Common Edition | 14 мая 2020 | 4.15.3-2[34] |
| 2.12.40 | Astra Linux Common Edition | 29 декабря 2020 | 5.4[35] |
| 2.12.43 | Astra Linux Common Edition | 7 сентября 2021 | 5.10[36] |
| 2.12.44 | Astra Linux Common Edition | 1 февраля 2022 | 5.10 |
| 2.12.45 | Astra Linux Common Edition | 8 августа 2022 | 5.15 |
| 2.12.46 | Astra Linux Common Edition | В разработке (март 2023) | Неизвестно |
| EOL 09.23 | |||
Особенности версии Special Edition
Режимы защищенности
С релиза 2021 года (1.7/4.7) в Astra Linux Special Edition доступны режимы защищенности «Базовый» («Орел», несертифицированная версия), «Усиленный» («Воронеж») и «Максимальный» («Смоленск»). Режим «Усиленный» имеет все возможности режима «Базовый» и дополняет их, режим «Максимальный» имеет все возможности режима «Усиленный» и также дополняет их.
В режиме «Усиленный» доступны механизмы мандатного контроля целостности и замкнутой программной среды, существенно повышающие защиту ОС от взлома, вирусов, захвата полномочий и т. д. Входящая в режим «Усиленный» подсистема безопасности PARSEC разработана на основе верифицированной формальной модели безопасности управления доступом и информационными потоками (МРОСЛ ДП-модели).
В режиме «Максимальный» доступен полный комплект средств защиты информации, включая мандатное управление доступом для локальной и серверной инфраструктуры.
Начиная с режима «Усиленный», интерфейсы средств защиты информации Astra Linux Special Edition существенно сужают поверхность атаки, и формируют основной рубеж обороны от вредоносного внешнего воздействия.
Мандатный контроль целостности и замкнутая программная среда
Под мандатным контролем целостности (ГОСТ Р 59453.1-2021) понимается распределение информации или компонент в системе по некоторым заданным уровням целостности, исходя из которых назначаются права доступа на изменение объекта. Такой подход позволяет внести больше ясности в администрирование и настройку защиты системы. Удобство мандатного контроля целостности достигается путем четкого распределения компонент ОС по уровням целостности, а подсистема безопасности PARSEC обеспечивает защиту высокоцелостных компонент от несанкционированной записи из низкоцелостных компонент. При этом пользователь root в Astra Linux Special Edition работает на минимальном уровне целостности 0, что позволяет сохранить контроль над системой в случае попытки захвата полномочий с использованием типовых атак на ОС семейства Linux.
Замкнутая программная среда позволяет ограничить запуск исполняемых файлов и загрузку исполняемых библиотек только теми, которые подписаны ЭЦП на доверительном ключе, что обеспечивает защиту от загрузки файла или библиотеки без корректной ЭЦП.
Мандатное управление доступом
Под мандатным управлением доступом понимается именно принцип управления доступом, суть которого заключается в распределении информации по заданным уровням (конфиденциальности) и выполнении трех основных условий.
Первое условие — чтение данных доступно пользователю или процессу, который обладает уровнем конфиденциальности таким же, как у этих данных, или выше.
Второе условие — запись данных доступна процессу, обладающему таким же или меньшим уровнем конфиденциальности по сравнению с данными.
Третье условие — действия процессов не приводят к утечке данных с высокого уровня конфиденциальности на низкий.
Таким образом, сочетание мандатного контроля целостности, мандатного управления доступом и замкнутой программной среды обеспечивают комплексную защиту системы[37].
Контроль за соблюдением правил мандатного контроля целостности и мандатного управления доступом реализуется посредством монитора обращений PARSEC.
Защита от эксплуатации уязвимостей
С 2018 года в состав дистрибутива включается ядро Linux с усиленной самозащитой (hardened) с интеграцией наработок проекта KSPP (Kernel Self Protection Project).
Технологии разработки безопасного ПО и формальная модель управления доступом
Для повышения качества верификации научной основы подсистемы безопасности PARSEC — МРОСЛ ДП-модели, описанной на языке формального метода Event-B — она осуществляется дедуктивно с использованием инструментального средства Rodin и по методу проверки моделей (model checking) с применением инструментального средства ProB.
Для демонстрации корректности реализации МРОСЛ ДП-модели в программном коде ОС на языке ACSL разработаны спецификации функций подсистемы безопасности PARSEC, которые дедуктивно верифицируются инструментальным средством Frama-C.
Программный код ОС Astra Linux анализируется с использованием лучших практик разработки безопасного ПО, таких как Secure Software Development Lifecycle (SSDL), для этого применяется статический и динамический анализ с учётом передовых результатов теорий системного программирования, методов верификации, символьных вычислений и искусственного интеллекта. При этом осуществляется приоритизация компонент ОС на основании их роли в выполнении требований безопасности и обеспечении поверхности атаки с целью адаптировать проводимый анализ в зависимости от этих приоритетов.
Кроме того, разработчики ОС Astra Linux совместно с Институтом системного программирования им. В. П. Иванникова Российской академии наук (ИСП РАН) принимали участие в создании национальных стандартов ГОСТ Р 59453.1-2021 «Защита информации. Формальная модель управления доступом. Часть 1. Общие положения[38]» и ГОСТ Р 59453.2-2021 «Защита информации. Формальная модель управления доступом. Часть 2. Рекомендации по верификация формальной модели управления доступом[39]», утвержденные Росстандартом.
Другие функции
- Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.
- Маркировка документов: разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
- Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.
- Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного управления доступом в графических приложениях, запущенных в собственном изолированном окружении.
- Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2012 и внедряемых в исполняемые файлы в процессе сборки.
- Контроль целостности: для решения задач контроля целостности применяется функция хеширования в соответствии с ГОСТ Р 34.11-94.1.
Репозитории
Начиная с очередного обновления x.7, операционная система Astra Linux Special Edition использует вложенную структуру репозиториев пакетов. В структуру входит основной репозиторий (репозиторий установочного диска, main), базовый репозиторий (base) и расширенный репозиторий (extended).
Основной репозиторий x.7 в целом не отличается от версии 1.6.
Базовый репозиторий содержит все пакеты основного, а также пакеты, относящиеся к средствам разработки.
Расширенный репозиторий содержит версии пакетов ПО, которых нет в основном и базовом репозиториях. Такое программное обеспечение функционирует в среде Astra Linux, не подвергается доработке для интеграции функций безопасности с КСЗ, может быть несовместимо с пакетами из базового и основного репозитория и не проходит сертификационные испытания.
Расширенный репозиторий предоставляет большую функциональность по сравнению с базовым и основным, при этом пакеты расширенного репозитория могут изменять пакеты базового, но не могут изменять пакеты основного.
Также расширенный репозиторий содержит компонент backports, предоставляющий новейшие версии пакетов, которые могут быть несовместимы с пакетами из базового и расширенного репозиториев и компонент astra-ce, предоставляющий пакеты для обеспечения максимальной совместимости со сторонним ПО.
Использование расширенного репозитория позволяет устанавливать и эксплуатировать ПО, изначально созданное для других систем на Linux, разрабатывать свое ПО и переносить Astra Linux на различные аппаратные платформы.
Основные группы пакетов ПО расширенного репозитория представляют собой пакеты, не входящие в состав базового репозитория, пакеты, обновляющие состав базового репозитория, то есть более новые версии пакетов базового репозитория (в случае несовместимости они включаются в состав компонента backports), и пакеты, заменяющие пакеты из состава основного репозитория. Последние объединены в компоненте astra-ce, в состав которого входят: СУБД PostgreSQL, электронная почтовая служба Exim4, пакеты СУБД Mariadb, средства Java openjdk и пакеты комплекта офисных программ LibreOffice.
Системные требования
| Параметр | Минимальные | Рекомендованные |
|---|---|---|
| Аппаратная платформа | Процессор с архитектурой x86-64 (AMD, Intel), ARM, MIPS, POWER, IBM System z, IBM System p, Эльбрус 2000 | |
| Оперативная память | Не менее 1 ГБ | Не менее 4 ГБ |
| Объём свободного дискового пространства | Не менее 4 ГБ | Не менее 16 ГБ |
| Монитор | Стандартный монитор SVGA 19" | |
| Совместимость с оборудованием | Штатное, предусмотренное документацией, функционирование ОС обеспечивается только на рекомендованном изготовителем ОС совместимом оборудовании | |
См. также
Примечания
Литература
Ссылки
- Шаблон:Official
- Шаблон:Official
- http://mirror.yandex.ru/astra
- http://wiki.astralinux.ru/
- http://rusbitech.ru/products/os/
- astraver.linuxtesting.org
Шаблон:ВС Шаблон:Дистрибутивы Линукс
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Стоечный сервер Huawei RH2288H V3 Шаблон:Wayback, маркированный как совместимый с Astra Linux
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ ОАО «РЖД» внедрит отечественную операционную систему для рабочих мест сотрудников | Пресс-релизы | КомпанияШаблон:Недоступная ссылка
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- Русская Википедия
- Страницы с неработающими файловыми ссылками
- Debian
- Российские дистрибутивы Linux
- Операционные системы повышенной защищённости
- 64-битные дистрибутивы Linux
- Единый реестр российского ПО
- Появились в 2009 году в России
- Страницы, где используется шаблон "Навигационная таблица/Телепорт"
- Страницы с телепортом
- Википедия
- Статья из Википедии
- Статья из Русской Википедии
