LINUX.ORG.RU

Министерство обороны РФ начало переводить служебные компьютеры на Astra Linux SE

 , , ,


0

5

Минобороны приняло решение перевести все служебные компьютеры на Astra Linux Special Edition ― построенный на базе Debian GNU/Linux дистрибутив, предназначенный для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «совершенно секретно». В комплект входит офисный пакет LibreOffice.

Как сообщают источники, близкие к компании «РусБИТех» ― для проекта уже более 5 лет создавалась инфрастуктура, готовились специалисты на базе военных ВУЗов и производились доработки дистрибутива в соответствие с требованиями МО РФ. На данный момент уже созданы подразделения технической поддержки и началось непосредственное исполнение контракта со стороны компании-разработчика дистрибутива.

>>> Подробности

Deleted

Проверено: maxcom ()
Последнее исправление: maxcom (всего исправлений: 1)

Ответ на: комментарий от pihter

Я конкретно за Астру спрашивал.

Кстати, поясните мне, я просто из деревни. Нахрена было изобретать MAC

непросто будет тебе объяснить...

используется свой lsm-велосипед. почему свой и чем отличается от selinux, например, лучше почитать в первоисточнике.

anonymous
()
Ответ на: комментарий от pihter

Они в этом русбитехе все параноики. Даже СПО использовать ооочень геморрно: боятся закладок.
Кроме того, разграничение доступа нужно не только на уровне ОС, но и на уровнях БД и приложений, и все эти уровни должны быть централизованы. Так что написание своей тулзы вполне оправданно

comp00 ★★★★
()
Ответ на: комментарий от comp00

Они в этом русбитехе все параноики. Даже СПО использовать ооочень геморрно: боятся закладок.

Странно было бы, если бы при такой задаче, что-то было по-другому.

Кроме того, разграничение доступа нужно не только на уровне ОС, но и на уровнях БД и приложений, и все эти уровни должны быть централизованы. Так что написание своей тулзы вполне оправданно

Это понятно. Не понятно почему нельзя развить до того же уровня UNIX-овые права.

(я не про астру, а вообще)

pihter ★★★★★
()
Последнее исправление: pihter (всего исправлений: 1)
Ответ на: комментарий от pihter

Это понятно. Не понятно почему нельзя развить до того же уровня UNIX-овые права.

ээ chmod на таблицу БД? причем средствами ОС? Причем для еще не существующей БД?

demrnd
()
Ответ на: комментарий от pihter

Кстати, поясните мне, я просто из деревни. Нахрена было изобретать MAC, когда сто лет придумали права на файл/устройство/директорию для каждого пользователя/группы?

Я не смогу такое рассказать. это не мой уровень пока. Статья есть на (сорри) Ксакепе, которую перепостили в Astra Linux.

Zubok ★★★★★
()
Ответ на: комментарий от Deleted

Ты кем себя возомнил, клоун?))) Мешки с тебя дерут и драть будут, а ты этому рад до изумления. Лошара ты, смирись.

anonymous
()
Ответ на: комментарий от demrnd

ээ chmod на таблицу БД?

типа того. а че не так? там тоже пользователи. там тоже группы. там тоже чтение/запись.

например представить БД как виртуальный каталог в /proc или, если угодно, в аналогичном /db — с точки зрения продолжения традиций UNIX это было бы логично

причем средствами ОС?

в описанном мной примере — да. ну а щас это (логически то же самое) делается средствами СУБД

Причем для еще не существующей БД?

Ну ты для несуществующих еще файлов можешь правами управлять? в известной степени — да.

pihter ★★★★★
()
Ответ на: комментарий от pihter

разграничивать нужно не только права доступа к файлам, но и все процессы и все сущности в системе, включая ip пакеты и прочее

причем все права принудительно должны наследоваться, без права их изменением пользователем (иное название мандатного разграничения - принудительное разграничения доступа)

существующие дискретные права пользователь может менять сам - он может передать свой файл другому, дав ему право на чтение, например

в мандатном (принудительном) случае разграничения прав - ему это не разрешается. поэтому в основе реализации принудительного разграничения прав должна лежать непротиворечивая математическая модель

в SELinux - это модель Белла-Лападулы, в Астре - МРОСЛ-ДП модель

Cogniter ★★★
()
Последнее исправление: Cogniter (всего исправлений: 1)

А я вот считаю эту новость положительной! Больше людей будет задействовано в работе с linux - лучше для них самих же.

Качество - это другой вопрос. По уму, в условиях конкуренции должно расти и качество. Хотя бы, должно увеличиваться соответствие ожиданиям клиентов. Правда, какая в ВПК конкуренция... Но, это - другой вопрос.

pihter, таки, ответ на удаленный вопрос: «плачУ, конечно. Но не в РФ»

Deleted
()
Ответ на: комментарий от Cogniter

разграничивать нужно не только права доступа к файлам, но и все процессы и все сущности в системе, включая ip пакеты и прочее

Я это понимаю. Я предлагаю (понятно, философски) использовать те же механизмы, которые контролируют доступ к файлам для контроля доступа ко всему остальному.

Подобно тому, как мы можем и сегодня выставить права на порт в /dev chmod-ом.

Я ни разу не специалист в построении операционных систем, я просто со своей колокольни рассуждаю. Коль скоро вы (не вы в астре, а абстрактные вы) пилите центролизованную систему контроля досупа всего ко всему, так и файлы в нее забирайте. В этом случае права на чтение/запись файла должны регулироваться ТОЛЬКО вашей системой и никакими не UNIX-овыми правами.

В этом смысле линукс вообще пошел невнятной дорогой в сторону от простой и понятной идеи UNIX-а «все есть файл» и управлять доступом ко всему можно так же как доступом к файлу

pihter ★★★★★
()
Ответ на: комментарий от pihter

возьмут на хорошую должность. Сразу тыщ на 20-25 устроишься

Это же ындец. Я все понимаю, денег нет, держусь, но млин я столько получал в регионе в конторе с парой тройкой линупсов и windows серверов, где на меня смотрели как на хакера, когда я просто приходил с ноутом и настраивал все через терминал. А когда было неохота работать я открывал пару htop-ов и wireshark и все думали, что я работал, хотя я в это время на телефоне видосы смотрел. Суть в том, что 25 это мизер, ничто, так подработка. На эти деньги даже покраснение глаз не снять.

anonymous
()
Ответ на: комментарий от pihter

для этого надо напомнить историю вопроса.

когда анб принесли первую версию selinux, линус не согласился. в результате сошлись на lsm.

почему традиционные права не закопали? дык не всем нужен mac. кому-то (hpc, например) скорость важнее.

anonymous
()
Ответ на: комментарий от pihter

Нахрена было изобретать MAC, когда сто лет придумали права на файл/устройство/директорию для каждого пользователя/группы?

Это объясняется в первых трех абзацах статьи, которую ты знаешь.

tailgunner ★★★★★
()
Ответ на: комментарий от Cogniter

существующие дискретные права пользователь может менять сам - он может передать свой файл другому, дав ему право на чтение, например

Ну так эту ситуацию можно же изменить. Условно, переписать chmod.

На мой скромный взгляд выглядит логичнее, чем писать заново свое, сохранив в системе старое.

pihter ★★★★★
()
Ответ на: комментарий от Deleted

А я вот считаю эту новость положительной!

Слава богу )

По уму, в условиях конкуренции должно расти и качество.

Это заблуждение.

Правда, какая в ВПК конкуренция

this

pihter ★★★★★
()
Ответ на: комментарий от pihter

а теперь умножьте эту ситуацию на необходимость не пересечения файлов (и данных из них) разного уровня секретности, владельцем которых является один и тот же пользователь.

Cogniter ★★★
()
Ответ на: комментарий от anonymous

Во-первых, там два предложения. Ты цитируешь конец одного и начало другого, меняя смысл на противоположный. Так делать не хорошо. Я сказал что тебя сразу возьмут на 20-25, а если ты себя покажешь — тогда возьмут и на хорошую должность. Денег там не сильно больше, конечно, но подлогом заниматься некрасиво.

Во-вторых, не нравиться зарплата — не работай. Не вижу причин тебе по этому поводу засирать эфир. Ты в свободной стране, никто тебя в МО за 20 тыщ не гонит. Работай в другом месте.

pihter ★★★★★
()
Ответ на: комментарий от pihter

Нахрена было изобретать MAC,

МАС не изобретают а реализовывают. Причем я так и не смог найти подтверждение что в Астра реализация МАС своя.

Я допускаю что управлялку на пистоне они сами написали ... но ее я тоже не увидел.

Зато увидел АДЛ но приблизком рассмотрении это все очень старое и до IPA ему как до луны.

P.S. Причем я увидел что у них много чего завязано на обычные acl ( старая технология в ядре в основном востребована только для самба-шар ) что мне ( юзающему CE ) очень подозрительно.

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Причем я так и не смог найти подтверждение что в Астра реализация МАС своя.

а по каким признакам вы хотите это увидеть? посмотрите документацию по настройке, посмотрите работу принудительного контроля целостности и попробуйте найти аналоги

Cogniter ★★★
()
Последнее исправление: Cogniter (всего исправлений: 2)
Ответ на: комментарий от Cogniter

а по каким признакам вы хотите это увидеть?

Стоп. Я так могу запутаться. Давайте порядку. Какой код есть для этого дела в ядре и как взглянуть на этот патч ?

( пока говорим только за ядро )

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Какой код есть для этого дела в ядре и как взглянуть на этот патч ?

Выше по топику написано, что код своего LSM они не распространяют. Так что для начала, устроиться работать в Астру.

tailgunner ★★★★★
()
Ответ на: комментарий от mx__

в ядре этого кода нет, он реализован в виде закрытого LSM модуля

Cogniter ★★★
()
Ответ на: комментарий от Cogniter

а теперь умножьте эту ситуацию на необходимость не пересечения файлов (и данных из них) разного уровня секретности, владельцем которых является один и тот же пользователь.

А я все равно не вижу проблемы. Ну добавить к каждому файлу атрибут «гриф секретности» и к каждой вызывающей программе тоже. и контролировать средствами ОС.

Есть же у каждого файла метка «владелец» и у каждой программы метка «кто запустил» и при каждой попытке программы обратиться к файлу, ОС это дело контролирует, ведь все обращения от программы к файлу идут через API ОС. В чем проблема доработать контролирующий механизм так, чтоб он контролировал не только id пользователя и наличие права на чтение, но и id уровня секретности программы и файла?

Как-то мутно объяснил, но, думаю мысль понятна. Контролирующий механизм есть. Он простой. Небольшая доработка — и вуаля, ниче выдумывать больше не нужно.

pihter ★★★★★
()
Ответ на: комментарий от pihter

Ну так эту ситуацию можно же изменить. Условно, переписать chmod.

Чтобы как раз наоборот это превратит систему в менее гибкую и более избыточную. Цимус то в том числе и в том, что сочетание дискретной и мандатной системы оставляет за пользователем возможность управлять доступом к своим файлам, но при этом пресекает недозволенные ему вольности.

zloy_starper ★★★
()
Ответ на: комментарий от pihter

Во-первых, там два предложения. Ты цитируешь конец одного и начало другого, меняя смысл на противоположный.

Это печально, но смысл увы не поменялся.

Я сказал что тебя сразу возьмут на 20-25, а если ты себя покажешь — тогда возьмут и на хорошую должность.

Иными словами, есть плохие должности? Плохие должности бывают только плохих работодятлов.

Денег там не сильно больше
меняя смысл на противоположный. Так делать не хорошо.

То есть все же не меняя...

Во-вторых, не нравиться зарплата — не работай.

Увы не работать пока не могу. Но хотелось бы не только работать, но и зарабатывать. Поэтому и сменил предыдущую работу на более высокооплачиваемую.

Не вижу причин тебе по этому поводу засирать эфир.

За державу обидно. Да и в целом, ты же сам пишешь

свободной стране

Что конечно под сомнением, тем не менее.

Работай в другом месте.

Уже.

anonymous
()
Ответ на: комментарий от pihter

не нравиться зарплата — не работай

И станешь носителем гостайны со всеми последствиями.

anonymous
()
Ответ на: комментарий от Cogniter

немного деталей - тут ...

Спасибо за ответ. Поскольку этот модуль закрытый, смысла в дальнейшей беседе нет.

Кстати инфа к размышлению : Вы мне дали ссылку на статью лета 2016 года, и вроде как раз в это время АПП был добавлен в ядро. Выводы сами понимаете ...

Вообще не понятно что лучше закрытый софт или открытый - когда миллионы спецов проглядят его и найдут запла... дыру.

Были такие соревнование по открытию сейфов. Так как всем участникам в начале раздают подробные чертежи замков. Дабы действительно выявить защищённость замка а не полагаться на случайный авось, мол не знают что там, авось не найдут.

Но там все сурьезно, сейфы, деньги, репутация. Кому какое дело до какой то там тайны ;)

mx__ ★★★★★
()

Молодцы. Так держать. Всякие боты бутут тут пахнуть не вкусно, что это плохо, а мы будем двигаться вперёд. Молодцы!

druidcat
()
Ответ на: комментарий от pihter

Как-то мутно объяснил, но, думаю мысль понятна. Контролирующий механизм есть.

Понимаете все эти механизмы не за место а в +. Типа еще один заслон. Помню как только СЕ появился ( вроде лет 10 назад ) то нашли дыру в ПХП. И все владельцы веб-серверов задергались.

А у кого был СЕ им было плевать. Он просто не давал ПХП память захавать и все ... т.е. по сути данные эксплоит не работал.

mx__ ★★★★★
()
Ответ на: комментарий от mx__

вот нашел отрывок из старой статьи :

Марк Кокс [Mark Cox] из команды безопасности Red Hat написал: «Мы включили SELinux в установку по умолчанию не без причины; не отключайте ее! В 2005 году червь Linux/Lupper использовал дыры в некоторых PHP-приложениях. Политики SELinux, установленные по умолчанию на Red Hat и Fedora, блокировали этого червя.»

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от zloy_starper

имус то в том числе и в том, что сочетание дискретной и мандатной системы оставляет за пользователем возможность управлять доступом к своим файлам, но при этом пресекает недозволенные ему вольности.

На твой взгляд две системы, которые занимаются одним и тем же, держать проще и логичней, чем объединить их в одну?

ну позвольте пользователю конфигурировать эту систему в том диапазоне, в котором нужно, а администратор пусть принудительно настроит все остальное.

Например, напишите (условно, опять же) такой chmod, который позволит менять права для себя, но не позволит давать права на чтение другому.

Я к чему все это. Я с этими мандатными уровнями на практике работал только в МСВС. Там все плохо. Но мсысл, для чего планировалось, понятен. Если встроить это все в GNU утилиты, то мы получим возможность использовать всю мощь этих утилит. Например, можно find-ом найти все секретные файлы и пересчитать контрольные суммы, ну и прочее.

А если систему написать отдельную то получается, что не получается.

Например, мне не ясно, где хранится информация о файле вот эта вся мандатная? Если не в вайловой таблице, то либо в самом файле (немыслимо), либо в файле рядом(тоже не выдерживает критики), либо в третьем месте (например в БД) для каждого файла. Это тоже плохо, ибо как скопировать на другой компьютер? Получается я могу скопировать файл и не скопировать его мандатные атрибуты?

pihter ★★★★★
()
Ответ на: комментарий от anonymous

тогда уж лучше netbsd, оно работает на кофеварках )

anonymous
()
Ответ на: комментарий от pihter

Если встроить это все в GNU утилиты,

В смысле. А это что ?

[mx@host10 ~]$ ls -l test.txt

-rw-rw-r--. 1 mx mx 32 Июл 10 2013 test.txt

[mx@host10 ~]$ ls -Z test.txt

-rw-rw-r--. mx mx unconfined_u:object_r:user_home_t:s0 test.txt

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от Alexoy

Уже писал - по ссылке в новости первые 2 предложения. Там именно слово «полностью»

Это ТП какая-то писала. Астровцы себя не позицианируют как оригинальную разработку.

«НПО РусБИТех» не представляет никаких прав и не накладывает никаких ограничений в отношении включенного в состав операционных систем программного обеспечения, не являющегося разработкой ОАО «НПО РусБИТех». Права (в том числе исключительные права) или ограничения на использование такого программного обеспечения определяются отдельными распространяющимися на него лицензионными соглашениями (в том числе лицензиями: GPL различных версий, LGPL, Mozilla Public License, Apache Public License, Xiph.org Foundation License и др.).

http://wiki.astralinux.ru/pages/viewpage.action?pageId=1212458

С твоей стороны это передергивание.

pihter ★★★★★
()
Ответ на: комментарий от Iron_Bug

Как тебя сказочно понесло-то :)

AP ★★★★★
()
Ответ на: комментарий от pihter

типа того. а че не так? там тоже пользователи. там тоже группы. там тоже чтение/запись.

А то, что для этого данное ПО должно предоставлять интерфейсы чтобы показать список сущностей и выставлять права. Но часто например удобно иметь в системе одних юзеров, а в СУБД других. Так часто в системе рут и пара админов. А в СУБД все предприятие корпит.

demrnd
()
Ответ на: комментарий от pihter

Ну ты для несуществующих еще файлов можешь правами управлять? в известной степени — да.

Для FAT например не могу. Если проектировщик СУБД вообще не предоставляет таких средств?

demrnd
()
Ответ на: комментарий от Cogniter

существующие дискретные права пользователь может менять сам - он может передать свой файл другому, дав ему право на чтение, например

Все хуже. В теории может быть документ OpenOffice где есть разделы: «Бухгалтерия Отдел_продаж Склад». Ты рассылаешь еги и даешь права на каждый раздел.

demrnd
()
Ответ на: комментарий от demrnd

В теории может быть документ OpenOffice где есть разделы: «Бухгалтерия Отдел_продаж Склад». Ты рассылаешь еги и даешь права на каждый раздел.

Даже в теории это выглядит крайне трудно реализуемым.

tailgunner ★★★★★
()
Ответ на: комментарий от demrnd

В теории может быть документ OpenOffice где есть разделы: «Бухгалтерия Отдел_продаж Склад». Ты рассылаешь еги и даешь права на каждый раздел.

документоориентированное мышление. эту задачу так решать не надо

pihter ★★★★★
()
Ответ на: комментарий от pihter

А это у тебя SELinux?

Да.

И я например знаю что СЕ без проблем работает с контейнерами ( докер ) а как работает с ним это штука из АСТРы я х.з.

ps -Z

LABEL PID TTY TIME CMD

unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 16525 pts/0 00:00:00 bash

unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 16564 pts/0 00:00:00 ps

mx__ ★★★★★
()
Ответ на: комментарий от tailgunner

Ну тут вопрос пользователя. Я сомневаюсь, что бухгалтер поймет почему можно разграничить доступ вот к этим иконкам на экране, а к разделу документа нет.

На самом деле это ЛЕГКО реализуемо как только мы уходим от файлового доступа. Скажем делать документ в виде некоей онлайн субд и все. Храни все параграфы в mongo например и вешай на них ACL. Да хоть на буквы отдельные вешай.

demrnd
()
Ответ на: комментарий от pihter

Это кто сказал как надо, а как не надо. Я лично вспоминаю Plan9 и тут внезапно многие трудности испаряются.

demrnd
()
Ответ на: комментарий от Xintrea

Ни либра, ни OpenOffice не готовы для десктопа. Что один что второй могут молча сохранить совсем не то, что пользователь видит на экране.

Это ложь.

Quasar ★★★★★
()
Ответ на: комментарий от demrnd

На самом деле это ЛЕГКО реализуемо как только мы уходим от файлового доступа.

А так же придумываем свой почтовый протокол или свою PKI, встроенную в доверенную ОС.

Скажем делать документ в виде некоей онлайн субд и все.

А, так сделать «онлайн-СУБД» с поддержкой MAC - это ЛЕГКО. Тогда конечно.

tailgunner ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.