Статья - гогно

В качестве DE в Astra Linux используется Fly — «брат по коду» KDE 4. В отличие от KDE, Fly — защищенная рабочая среда

По виду там вообще третьи кеды, или ребята успешно задрочили плазму до вида киккера

Чем все это лучше selinux и прочих готовых поделок - не сказанно, судя по всему ничем.

PARSEC - это российская реализация selinux от АНБ США, но с развитием в сторону ролей.

Т.е. любить мы ее должны только за то что она российская.

Да нет, вы вообще можете выбрать все разработки ЦРУ, описанные Сноуденом и пользовать только их.

А кто то возьмет математически доказанную российскую модель разграничения доступа и будет пользовать её.

На вкус и цвет, как говорится...

PARSEC - это российская реализация selinux от АНБ США

Ты хочешь сказать, что это PARSEC - реализация FLASK, как и SE Linux?

А кто то возьмет математически доказанную российскую модель разграничения доступа и будет пользовать её.

Исходники доступны?

математически доказанную российскую модель

Опять, что MAC только российский можно доказать? или ты просто набрасываешь?

нет, это собственная разработка.

математика полностью российская.

тогда уточню - parsec - он вместо selinux

чем отличается, от селинукса, тем что все переменные транслитом?

математика полностью российская.

Ты так говоришь, будто там rocket science.

И самый интересный вопрос - кто может «взять и использовать» именно модель (не сам Astra Linux, а модель)?

Берем патент и смотрим ))) Конечно, не rocket science

http://www1.fips.ru/fips_servl/fips_servlet?DB=RUPAT&rn=528&DocNumber...

Спасибо за ответ на вопрос о «взять и использовать» :)

Ну так блин, понятно что раз патент - все вопросы к правообладателю, который возьмет за это денег. В смысле, за использование.

Исходники доступны?

Да, как только купишь, вышлют по цене носителя.

А у меня вопрос

Раз у нас тут разработчик Астры, ему и карты в руки. В SE точно так же не обновляются репы, как и в орле? 37 файрфокс весьма доставил. Ну не хотите вы самое свежее тянуть (что я понимаю и разделяю - используйте ESR).

Или это просто репа на яндексе мертвая? А где тогда живая? Потому что после установки из образа реп нет никаких, от слова «совсем».

Математика тоже российская, сертифицированная по фстэк?

Математика тоже российская, сертифицированная по фстэк?

Сертификацию проходит средство защиты информации. Astra Linux SE сертифицирована ФСТЭК.

Раз у нас тут разработчик Астры

я не разработчик, я просто немного в теме :)

В SE точно так же не обновляются репы, как и в орле?

Что бы правильно понимать, что такое AL SE, нужно понять, что она в целом, со всем набором компонентов, включая либра офис, постгрес, апач - сертифицирована как средство защиты информации.

Вот пример - у нас есть windows и есть к нему - наложенное СЗИ - СекретНет, это привычная многим схема.

В случае с Астрой наложенного средства защиты информации нет, поскольку им является вся операционка

Соответственно, SE не имеет удаленного репозитория и не будет его иметь до появления руководящих документов, например, ФСТЭК, позволяющих СЗИ обновляться из онлайн-репозитория.

Работы в этом направлении (со ФСТЭК) уже ведутся. Возможно, в будущем мы увидим roll-up дистрибутив с сертификатом, посмотрим.

Ну не хотите вы самое свежее тянуть

Грубо говоря, в SE пока нет законного пути обновлять его удалённо, не нарушая целостность контрольных сумм и не теряя сертификата при этом.

Версия 1.5 возьмет в себя самый актуальный из стабильного софта на момент заморозки и затем пойдет на сертификацию.Ею мы и будем пользоваться до версии 1.6.

вопрос такого плана, если система, как написано,

Linux Security Modules

Вместо жесткой интеграции MAC-модели в состав ядра было принято соломоново решение: использовать расширение модели безопасности GNU/Linux. Она продолжит базироваться на модели DAC, но с использованием особых модулей ядра. В них можно реализовать какой угодно вариант модели управления доступом. Это решение было претворено в жизнь в виде фреймворка LSM (Linux Security Modules), который официально включили в ядро Linux 2.6.

Насколько сильно она вмешивается в работу ядра?
Т.е. если заставить драйвер обрабатывать сигнал какой-либо, то вмешивается ли она в работу системных прерываний ил нет?Может не напрямую.
Это постоянно работающий сервис или он включается в работу в определённые моменты, которые характиризуюся определенными вызовами?
И, допустим , если их не касаться, то и система безопасности не будет вызываться?

Про SE понятно, что-то подобное и подозревал

Но как быть с CE, и безопасностью софта в целом? На старые версии тех же браузеров, джавы и флэша полно эксплоитов, а CE тоже не обновляется.

Скрепы, вот это всё...

Но как быть с CE, и безопасностью софта в целом? На старые версии тех же браузеров, джавы и флэша полно эксплоитов, а CE тоже не обновляется.

Безопасность де-юре не совместима с безопасностью де-факто 8).

Как там в 2015, модель управления доступом всё ещё ломается любым бинарником с SUID или capabilities?

Почему-то у альта и со скрепами, и с безопасностью, и с периодически обновляемыми сертификатами, и с общедоступной версией со свежими репами всё в порядке :)

Русбитеху бы поучиться у альта. Хотя подозреваю, все дело в том, что астру пилят полтора анонимуса, а альт - зрелый дистр с культурой поддержки реп.

Какиры какаиры !!!!11

Ну так блин, понятно что раз патент - все вопросы к правообладателю, который возьмет за это денег

Почему «понятно»? Например, в JVM куча патентов, в ядре тоже патенты (как минимум RCU), но и JVM, и ядро можно просто «взять и использовать». Не спрашивая правообладателя.

Исходники доступны?

Да, как только купишь, вышлют по цене носителя.

Если ядро с PARSEC сделано доступным для свободной загрузки, исходники тоже должны быть доступны, иначе - нарушение GPL. Я понимаю, у Ъ-бсдунов от этого пригорает, но такова жизнь.

parsec сделан в виде lsm модуля, без использования каких-либо GPL продуктов.

Поэтому ни у кого из Linux Foundation ничего не пригорает.

parsec сделан в виде lsm модуля, без использования каких-либо GPL продуктов.

И не использует ни одного символа с EXPORT_GPL? Верится с трудом.

Поэтому ни у кого из Linux Foundation ничего не пригорает.

Это аргумент. Если код был предоставлен на аудит.

Почему-то у альта и со скрепами, и с безопасностью, и с периодически обновляемыми сертификатами, и с общедоступной версией со свежими репами всё в порядке :)

Зато у Астры под капотом Debian.

А как же ИМПОРТОЗАМЕЩЕНИЕ КОКОКОК!!!!

selinux от АНБ США

Можно таким макаром смело утверждать что и линукс с инглишом, электричеством, фордами вместе взятыми то-же от АНБ и вообще кругом одни агенты и враги, а все что «оттуда» - поделки АНБ

Не говоря уж о Билли, который точнякс АНБ-шный бейсик дописывал в самолете, чтобы пропихнуть контрактик финансируемый АНБ...

Добавьте немного белого и зеленого или красного на выбор, а то желтизной отдаётся ...

Русбитеху бы поучиться у альта. Хотя подозреваю, все дело в том, что астру пилят полтора анонимуса, а альт - зрелый дистр с культурой поддержки реп.

А шо ж это говно Альт не всплывает тогда? Почему не популяризируется? Шигорин портит малину проекта? Skull фигней занимается?

По виду там вообще третьи кеды, или ребята успешно задрочили плазму до вида киккера

а характеристики ноутбука напрямую определяются его цветом

А шо ж это говно Альт не всплывает тогда?
говно
не всплывает

Потому что не говно, потому и не всплывает :-D

А если серьезно, то сам знаешь, какие великие специалисты у нас в госструктурах определяют развитие ИТ. Что никак не мешает быть альту пусть и не идеальным, но вполне качественным и приличным дистром, в отличие от.

Им кроме философа вообще кто-нибудь пользуется в 2015 году?

Это у гпл-фанбоев должно пригорать, лол )))

Видимо, пользуются - раз репы в актуальном состоянии. А вот ты бы что выбрал между альтом и астрой? :) Возьми, потыкай общедоступные образа в виртуалке, оцени. Я уже сделал так.

Ну ты даёшь! Это как сравнивать сэндвич с говном и огромную клизму. Разумеется, между этими двумя я бы выбрал альт.

Как-то странно слышать про «сторону ролей», когда selinux вообще не зависит от модели управления. Правильно ли я понял, что в астре все на всего запилили 20+ ролей под selinux и вауля получился parsec. Или было что-то пропатчено, закрыли бэкдоры АНБ и выстроили свои бэкдоры ФСБ?

А вот ты бы что выбрал между альтом и астрой? :)

Главная ценность Астры - в том, что она встречается там, где выбирать не приходится.

Не всегда)

Тру по ссылке не ходят?

Перешёл. Хацкер скатился, что просит денег чтобы прочесть статью по подписке.

сертифицирована ФСТЭК

Пусть сами пользуются своими троянами.

А подумать?

Нет, неправильно. Они запилили какой-то костыль типа оверлейфс, плюс какое-то разграничение доступа. Причём, не ограничив рута, таким образом, система всё так же уязвима к любым атакам на повышение привиллегий, начиная от банального cat c SUID.