LINUX.ORG.RU
ФорумTalks

переход на российский Linux: грандиозный успех, но...

 ,


3

2

Был сегодня в школе и спросил, как там проекты перехода на линукс в школах нашего города. Узнал, что закупать лицензии на винду школам больше не будут (экономия!), поэтому предлагается закупать компьютеры с линукс. Даже в общем у нас в городе несколько школ инициализировали несколько классов на линуксе. И отчитались об успехе (Первая гимназия, например). Но вот школьный админ им звонил узнать, как и что на самом деле... и выяснилось, что все линуксы пришлось снести и поставить пиратскую винду, потому что ПО для КЕГЭ прислали чисто под винду. Причем те же люди. Проводи, как хочешь. Благо, что обновления виндовс по-прежнему работают.

Вот такая вот история из вторых рук. Так что осторожнее относитесь ко всем «Ура-Ура, XYZ перешел на Linux!»

Если хотите, можем устроить флешмоб и заспамить какое-нибудь министерство, чтобы восстановили справедливость, если вы знаете, кого нужно спамить. Считаете ли вы, что лоровцы обладают мнением, которое что-то решает и которое очень важно для всех?

p.s.

Да, про проверки вы еще обычно спрашиваете. Разрулят этот вопрос как-нибудь.

★★★★★

Последнее исправление: crypt (всего исправлений: 6)

Ответ на: комментарий от Aceler

Ладно, согласен, недостаточно информации. Нюансы возможны.

monk ★★★★★
()
Ответ на: комментарий от sanyo1234

Про ГОСТ люди пишут, что всё работает: https://wiki.astralinux.ru/pages/viewpage.action?pageId=137568884#id-%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%9F%D1%80%D0%BECSP%D0%B8%D0%9A%D0%B0%D1%80%D0%BC%D0%B0%D0%BD%D0%B0AstraLinuxCommonEdition-%D0%9F%D0%BE%D0%B4%D0%B3%D0%BE%D1%82%D0%BE%D0%B2%D0%BA%D0%B0%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B8

Претензии про Zabbix вообще не понял. Взята версия дистрибутива совместимая по пакетам с Debian Buster, но в необходимости сборки вручную виновата отечественная ОС. Хочется нового собранного, есть отечественный Альт.

monk ★★★★★
()
Ответ на: комментарий от monk

А как там обстоят дела в местах, требовательных к сертификации, с фрагментарным использованием несертифицированного софта типа отдельных минимальных контейнеров или микровиртуалок с парой-тройкой нужных процессов? Т.е. например сертифицированный хост, а тот же Zabbiх поднимается за 5 минут из образа контейнера?

https://raw.githubusercontent.com/ansible-collections/community.zabbix/main/d...

sanyo1234
()
Ответ на: комментарий от monk

Так вопрос был не столько, есть ли докер в Астре, а как на использование несертифицированных контейнеров смотрят потребители и регуляторы сертифицированности.

sanyo1234
()
Ответ на: комментарий от sanyo1234

Плохо смотрят. Как минимум, всё несертифицированное должно не иметь доступа к сети и оборудованию. Так что zabbix в докере запустить можно, но смысла не будет.

monk ★★★★★
()
Ответ на: комментарий от monk

А самостоятельной сборкой последнего релиза будет?

Причем тут докер?

Если пересобрать из сорцов для докера?

Просто проще запустить в контейнерах, чем из пакетов в т.ч. самосборных.

sanyo1234
()
Ответ на: комментарий от sanyo1234

А самостоятельной сборкой последнего релиза будет?

Нет, конечно. Поэтому товарищ по ссылке ставил zabbix на несертифицированную Community Edition.

Если пересобрать из сорцов для докера?

Результат сборки надо будет сертифицировать. К слову, докер сам по себе, вроде, тоже в сертифицированных пакетах отсутствует.

Технически какая-нибудь фирма может продавать сертифицированные сборки в контейнерах для Астры.

monk ★★★★★
()
Ответ на: комментарий от monk

К слову, докер сам по себе, вроде, тоже в сертифицированных пакетах отсутствует.

Смутно представляю себе процесс сертификации такого сложного софта, ядра кстати тоже.

IMHO наврядли они найдут какие-либо бэкдоры или дыры.

От силы найдут какого-нибудь явного зловреда/трояна, если его туда вставят какие-нибудь хипстеры-энтузиасты-коммитеры.

sanyo1234
()
Ответ на: комментарий от sanyo1234

Смутно представляю себе процесс сертификации такого сложного софта, ядра кстати тоже.

Примерно так: https://npo-echelon.ru/services/certification/

От силы найдут какого-нибудь явного зловреда/трояна, если его туда вставят какие-нибудь хипстеры-энтузиасты-коммитеры.

В общем случае, для этого сертификация и нужна. Чтобы такие диверсии как с node-ipc не проходили.

monk ★★★★★
()
Ответ на: комментарий от monk

К слову, докер сам по себе, вроде, тоже в сертифицированных пакетах отсутствует.

В Астра Special Edition 1.7 уже есть.

monk ★★★★★
()
Ответ на: комментарий от sanyo1234

И есть «В Astra Linux Special Edition предусмотрена возможность запуска гипервизора контейнеров Docker на пониженном уровне целостности. Для работы гипервизора выделен уровень целостности 2 (Виртуализация, Virtualization). Работа на пониженном уровне целостности не позволит коду, выполняемому в контейнерах, выполнять деструктивные действия.»

https://wiki.astralinux.ru/pages/viewpage.action?pageId=158601444

monk ★★★★★
()
Ответ на: комментарий от monk

В каком смысле «гипервизора контейнеров»?

Термин гипервизор ведь обычно применяется к виртуализации, а не к контейнеризации?

Это что-то про MAC (Астро аналог SELinux) применительно к Docker?

Кстати почему-бы не выпустить серверную Astra без systemD, например, на базе Devuan? Без GUI, десктопа и т.п., просто headless OS с Astra SE MAC, но БЕЗ systemD.

sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 1)
Ответ на: комментарий от sanyo1234

«гипервизора контейнеров»

Бинарник docker так обозвали. https://wiki.astralinux.ru/pages/viewpage.action?pageId=121537886

Это что-то про MAC (Астро аналог SELinux) применительно к Docker?

Ага. Сам docker запускается с ограничениями, а значит его контейнеры не могут выполнить что-то плохое.

monk ★★★★★
()
Ответ на: комментарий от sanyo1234

Кстати почему-бы не выпустить серверную Astra без systemD, например, на базе Devuan? Без GUI, десктопа и т.п., просто headless OS с Astra SE MAC, но БЕЗ systemD.

OpenRC вполне себе удобный init и не является откровенным обманом по сравнению с systemD, который содержит в себе в десятки раз больше всякого ненужно, по сравнению с просто инетом.

Чего там только нет кроме собственно обещанного мракетолагами systemD инита.

sanyo1234
()
Ответ на: комментарий от monk

Ага. Сам docker запускается с ограничениями, а значит его контейнеры не могут выполнить что-то плохое.

Было бы интересно почитать поподробнее о подобной изоляции.

Как она накладывается на namespaces контейнеров, сравнить с другими вариантами типа SELinux именно в контексте применительно к docker, podman и т.п.

Хм, интересно, а когда собираются сертифицировать K0S? https://k0sproject.io/

Rubernetis :)

sanyo1234
()
Ответ на: комментарий от sanyo1234

OpenRC вполне себе удобный init и не является откровенным обманом по сравнению с systemD, который содержит в себе в десятки раз больше всякого ненужно, по сравнению с просто инетом.

Тебе не нужно. Кому-то нужно.

Чего там только нет кроме собственно обещанного мракетолагами systemD инита.

В модуле системд можно написать

ExecStart=/etc/init.d/foo start
ExecStop=/etc/init.d/foo stop

будет тот же инит.

А, наоборот, сделать хотя бы автоперезапуск в инит приходится ставить daemontools (и отдельно настраивать то, что требует перезапуск). Чтобы прописать, что можно запускать параллельно, тоже отдельный костыль через блокировки на файлах. Чтобы посмотреть журнал по конкретной службе — опять нетривиально.

monk ★★★★★
()
Ответ на: комментарий от monk

Deckhouse тоже собираются сертифицировать? Он ведь использует массу компонентов.

Вообще по какому принципу определяется возможность использования Kubernetes (с массой контейнеров, вероятно несертифицированных даже в случае Deckhouse) для организаций, где нужна подобная сертификация?

sanyo1234
()
Ответ на: комментарий от sanyo1234

Deckhouse тоже собираются сертифицировать? Он ведь использует массу компонентов.

И что? В Oracle тоже масса компонентов и даже исходников нет.

Вообще по какому принципу определяется возможность использования Kubernetes (с массой контейнеров, вероятно несертифицированных даже в случае Deckhouse) для организаций, где нужна подобная сертификация?

Контейнеры подлежат сертификации либо создаются самостоятельно из сертифицированной системы.

monk ★★★★★
()
Ответ на: комментарий от monk

И что? В Oracle тоже масса компонентов и даже исходников нет.

Я с проприетарным Oracle не сравниваю.

Интересно было бы сравнить с K0S и Talos в плане совместимости с желающими сертификации.

sanyo1234
()
Ответ на: комментарий от sanyo1234

Я с проприетарным Oracle не сравниваю.

Я в том смысле, что даже несмотря на это, его успешно сертифицировали. С наличием исходников должно быть проще.

Интересно было бы сравнить с K0S и Talos в плане совместимости с желающими сертификации.

По этому вопросу не имею информации совсем.

monk ★★★★★
()
Ответ на: комментарий от monk

Я в том смысле, что даже несмотря на это, его успешно сертифицировали. С наличием исходников должно быть проще.

Windows ведь по сорцам сертифицировали?

sanyo1234
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.