LINUX.ORG.RU

Новая версия Astra Linux Common Edition 2.12.29

 ,


1

1

ГК Astra Linux выпустила обновление для операционной системы Astra Linux Common Edition 2.12.29.

Ключевыми изменениями стали сервис Fly-CSP для подписания документов и проверки электронной подписи с применением «КриптоПро CSP», а также новые приложения и утилиты, повысившие удобство использования ОС:

  • Fly-admin-ltsp — организация терминальной инфраструктуры для работы с «тонкими клиентами» на базе LTSP-сервера;
  • Fly-admin-repo — создание собственных репозиториев из deb-пакетов разных разработчиков;
  • Fly-admin-sssd-client — ввод в домен с обращением к удаленным механизмам авторизации;
  • Astra OEM Installer — облегчение OEM-установки ОС: возможность при первом старте задать учетные данные администратора, инсталлировать необходимые компоненты и т.д.;
  • Fly-admin-touchpad — настройка сенсорной панели в ноутбуках.

Изменения также коснулись работы с мобильными устройствами: ОС адаптировали для планшетов MIG Т10 на процессорной архитектуре x86_64, диалог выбора файлов доработали под мобильную сессию, улучшили работу с контактами.

Обновлено более 300 пакетов, из них более 90 — из состава графической оболочки Fly, в том числе Fly-wm (до версии 2.30.4) и Fly-fm (до версии 1.7.39).

Исправлены выявленные ранее ошибки и устранены последние уязвимости.

>>> Подробности

★★★

Проверено: alpha ()
Последнее исправление: alpha (всего исправлений: 2)
Ответ на: комментарий от anonymous

Это обсуждение целесообразности «доверия на слово», кому-то такое подходит, кому-то нет, собственно вот и все.

anonymous
()
Ответ на: комментарий от anonymous

а никто и не говорит о доверии «на слово». государство на слово не доверяет и проверяет исходники, после чего применяет

у тебя нет доступа к исходникам, ты не доверяешь и потому не применяешь.

ноль вопросов.

но при этом не должно быть также вопросов, почему государство применяет Астру - потому что оно проверило и доверяет.

anonymous
()
Ответ на: комментарий от anonymous

государство на слово не доверяет и проверяет исходники, после чего применяет

Дядя Вася сам же проверяет, сам же применяет, сам же себе доверяет,

но почему другие негосударственные пользователи НЕ для галочки, а для собственной безопасности должны доверять дяде Васе даже без возможности нанять другого дядю Федю для повторной экспертизы?

Мне кажется бессмысленно вести этот бесконечный диалог, если вы не понимаете простого, что государство не является абсолютным гарантом защищенности, особенно в РФ.

По собственному опыту:

  1. Полиция не реагирует на мои заявления, детективы также подтверждают, что в полицию нет смысла обращаться кроме как формально для самостоятельного расследования.

  2. В некоторых гос. больницах и платных клиниках творится беспредел. Отравления пациентов, ложная сработка пожарной сигнализации, злонамеренные неправильные назначения и т.п.

  3. Даже сотрудники транспортных компаний типа ДПД беспредельничают в своем общении и поведении, о чем есть записи на диктофон.

  4. Почта РФ отслеживает наличие описи по (не)нарисованной галочке на коробке посылки, а не по своей базе данных из-за чего многократно отказывали мне в предварительной сверке до оплаты.

Этот список можно продолжать очень долго, не знаю как в других странах, но в РФ доверять на слово нельзя от слова СОВСЕМ.

anonymous
()
Ответ на: комментарий от anonymous

Так никто не заставляет домашних юзеров или коммерсов на Астру переходить, Астра вполне себе конкретно идет на госрынок и доказывает государству своё качество.

anonymous
()
Ответ на: комментарий от anonymous

А в чем проблема?

Заплатил налоги, государство проверило исходники и на эти деньги купило. Всё по красоте.

В чем боль налогоплательщика?

anonymous
()
Ответ на: комментарий от anonymous

Лицензию их читай. Изменять дистрибутив ты не можешь.

Почему? Я же выпили всё несвободное.

anonymous
()
Ответ на: комментарий от anonymous

как с больничкой связано то, что государство платит только за проверенные испытательными лабораториями дистрибутивы?

anonymous
()
Ответ на: комментарий от anonymous

а ты как хочешь? что бы государство без всякой проверки ставило опенсорс «потому что надо верить миллионам глаз»?

anonymous
()
Ответ на: комментарий от anonymous

Почему? Я же выпили всё несвободное. Так составлена лицензия. Ты можешь лишь посоветовать клиенту самому установить дистрибутив для домашнего использования. Ты его даже бесплатно распространять не можешь. Все.

anonymous
()
Ответ на: комментарий от anonymous

государство без всякой проверки ставило опенсорс

А точно надо его ставить? А то вот пациент пришёл на приём, а врач вместо осмотра кнопки на клавиатуре ищет.

anonymous
()
Ответ на: комментарий от anonymous

судя по треду, полностью лицензию Астры никто не читал

Почему же. Вот такой пункт имеется, например.

3.1.2.Декомпиляцию и дизассемблирование любых составных частей ПРОГРАММНОГО ПРОДУКТА, кроме случаев, предусмотренных законодательством Российской Федерации.

Процентов 90 частей там под GPL идёт, а значит договор грубо нарушает данную лицензию. Могу ли в FSF жалобу накатать?

anonymous
()
Ответ на: комментарий от anonymous

В пункте написан «любого». Ссылки на исключения нету. Лицензия составлено неграмотно, раз её пункты противоречат друг другу.

anonymous
()
Ответ на: комментарий от anonymous

очень тяжело общаться людьми, которые не умеют читать…

п. 5.2. Правовой титул и все права на объекты интеллектуальной собственности, которые не являются разработкой ПРАВООБЛАДАТЕЛЯ, но входят в состав ПРОГРАММНОГО ПРОДУКТА, включая (но не ограничиваясь только этим) любые входящие в его состав элементы мультимедиа, текст и программы, и доступ к которым предоставляет ПРОГРАММНЫЙ ПРОДУКТ, принадлежат владельцам прав на такие элементы и защищены международными соглашениями и законодательством Российской Федерации о защите интеллектуальной собственности. Права на такое содержание ПРОГРАММНОГО ПРОДУКТА определяются отдельными лицензионными соглашениями, разработанными авторами данных объектов интеллектуальной собственности.

иными словами:

"объекты … которые не являются разработкой ПРАВООБЛАДАТЕЛЯ, но входят в состав ПРОГРАММНОГО ПРОДУКТА …принадлежат владельцам прав на такие элементы и защищены международными соглашениями.

Права на [них] определяются отдельными лицензионными соглашениями, разработанными авторами данных объектов интеллектуальной собственности."

Иными словами, лицензия Астры не распространяется на компоненты, которые разработаны другими лицами.

anonymous
()
Ответ на: комментарий от anonymous

очень тяжело общаться людьми, которые не умеют читать…

У меня аналогичные трудности с людьми, которые избирательно читают. Пункт 3.1.2 - «любого», 5.2 - «которые не являются». И в 5.2 про дизасемблирование ни слова. Так можно или нельзя? Надо бы определиться. А то я вот хочу ядро дизасемблировать.

anonymous
()
Ответ на: комментарий от igorprint

При рабочем КриптоПро - fly-csp автоматом цепляется и работает

anonymous
()
Ответ на: комментарий от anonymous

Я легко, но мне пункт 3.1.2 это явно запрещает. Может его тогда переписать? И юриста уволить заодно, который это придумал…

anonymous
()
Ответ на: комментарий от anonymous

это обычная юридическая техника:

«лицензия распространяется на всё, кроме» и дальше исключения идут.

anonymous
()
Ответ на: комментарий от anonymous

это обычная юридическая техника:

«лицензия распространяется на всё, кроме» и дальше исключения идут.

anonymous
()
Ответ на: комментарий от anonymous

В 3.1.2 исключений на запрет декомпиляции в упор не наблюдается. А юристов на профпригодность никто не проверяет, вот и лепят явные противоречия.

anonymous
()
Ответ на: комментарий от anonymous

а ты как хочешь? что бы государство без всякой проверки ставило опенсорс «потому что надо верить миллионам глаз»?

Как проверка государства мешает предоставлять open source для дополнительных проверок?

Ради интереса резюмешка одного спеца по OpenBSD, чтобы увидеть сферы ее использования:

https://www.linkedin.com/in/craig-skinner-74579626/

Не знаю, есть ли у OpenBSD какие-либо сертификаты безопасников, наверно маловероятно пока?

anonymous
()
Ответ на: комментарий от anonymous

Никак не мешает. Заплатите за проверку исходников дистрибутива испытательной лабораторией несколько миллионов рублей и выложите все в опенсорс.

anonymous
()
Ответ на: комментарий от anonymous

Никак не мешает. Заплатите за проверку исходников дистрибутива испытательной лабораторией несколько миллионов рублей и выложите все в опенсорс.

Кто же будет платить «вашей» лаборатории, если в ней уже проверено, будут искать других экспертов для очень специфической проверки только некоторых компонентов.

anonymous
()
Ответ на: комментарий от anonymous

Этих лабораторий много по стране, берите любую

Это сарказм и лаборатория всего одна? независимая от самой себя? Конкурентов на территории РФ нет, монополист?

Если проверить раз 10 подряд в одной и той же лаборатории, то уж точно Астра станет безопасной?

Ну тогда к зарубежным экспертам?

anonymous
()
Ответ на: комментарий от anonymous

Нет, не сарказм, их и правда достаточное количество

anonymous
()
Ответ на: комментарий от anonymous

Что то мне подсказывает, что вы даже не понимаете, что проверяет испытательная лаборатория.

anonymous
()
Ответ на: комментарий от anonymous

Никак не мешает. Заплатите за проверку исходников дистрибутива испытательной лабораторией несколько миллионов рублей и выложите все в опенсорс.

Кстати, да. Безумно интересно было бы, если условный Calculate Desktop взял и заполучил бы комплект из нескольких сертификатов, оставшись при этом полностью открытым.

Но на это нужны нехилые вложения. Причём отнюдь не разовые, поскольку обновления придётся сертифицировать заново.

hobbit ★★★★★
()
Ответ на: комментарий от hobbit

Лучше бы уж oldstable Devuan, чем Кальку.

Калькуляторам не надоело еще тащить гентушный ролинг?

Не проще и полезнее было бы переключиться на Devuan и уже его потом сертифицировать?

Пользователи Gentoo не в восторге от Кальки, многие ушли с Calculate на Gentoo.

anonymous
()
Ответ на: комментарий от hobbit

сертифицировать надо не только обновления, но и оперативно устранять уязвимости и проблемы в текущем, сертифицированном, дистрибутиве, иначе сертификат отзовут.

anonymous
()
Ответ на: комментарий от hobbit

Но на это нужны нехилые вложения. Причём отнюдь не разовые, поскольку обновления придётся сертифицировать заново.

Цена сертификации тоже под вопросом. Сметы нам никто не предоставляет, как, впрочем и методики. Напоминает средства измерения, которых в России после середины 2000-х стало прямо совсем как-то неприлично мало. А всё потому, что один монополист, под которого подогнали законы, их как раз и сертифицирует. Ценник такой, что трудности возникают даже у весьма крупных ПАО. Вот работают все со «средствами контроля» на оборонке.

anonymous
()
Ответ на: комментарий от boowai

В КриптоПро CSP 5.0 для Linux, Windows и macOS появился GUI - cptools. Там можно управлять ключами и сертификатами, подписывать, а в новых версиях и шифровать файлы: http://cryptopro.ru/blog/2019/05/21/instrumenty-cryptopro-krossplatformennyi-graficheskii-interfeis

anonymous
()
Ответ на: комментарий от anonymous

А как создать подпись Cades X Long с меткой времени, да еще и желательно сертификатом в неизвлекаемом контейнере в Рутокен ЭЦП2?

Только через CryptoARM GOST или есть еще какие-нибудь другие варианты?

anonymous
()
Ответ на: комментарий от siraenuhlaalu

то есть там на полном серьёзе 82 файла примерно одной структуры:

Просто оставлю это тут:

# grep 'Unit' /lib/systemd/system/*.service | wc -l
96

AS ★★★★★
()
Ответ на: комментарий от AS

Не понял, к чему ты это. Я указываю на конкретный дефект в дизайне sysvinit - скрипты с дублирующимся кодом. Вот это вот case $1 in это признак плохого дизайна и костылей. В openrc от этого, например, избавились, но не избавились от невозможности трекать статус сервиса из системы инициализации.

siraenuhlaalu
()
Ответ на: комментарий от siraenuhlaalu

Я указываю на конкретный дефект в дизайне sysvinit - скрипты с дублирующимся кодом.

Это примерно то же самое, что дефект в дизайне systemd - дублирующиеся названия секций. :-)

Чем тебе case одинаковый не угодил? Считай это описанием юнита.

AS ★★★★★
()
Ответ на: комментарий от AS

Чем тебе case одинаковый не угодил? Считай это описанием юнита. тем, что он дублируется и не нужен.

то есть типичный sysvinit скрипт выглядит примерно так:

start(){
 $binary
}
stop (){
 kill -9 `pidof $binary`
}
restart(){
 stop
 start
}

case $1 in
 start)
  start;;
 stop)
  stop;;
 restart)
  restart;;
esac

То есть вполне себе можно было оставить только колбэки start()/stop(), etc вместо того, чтобы тащить дублирующийся код во все скрипты.

siraenuhlaalu
()
Ответ на: комментарий от siraenuhlaalu

То есть вполне себе можно было оставить только колбэки start()/stop(), etc вместо того, чтобы тащить дублирующийся код во все скрипты.

Он тебе чем на hdd мешает?

# du /etc/rc.d/init.d/snmpd
4,0K /etc/rc.d/init.d/snmpd

# du /lib/systemd/system/snmpd.service
4,0K /lib/systemd/system/snmpd.service

AS ★★★★★
()
Ответ на: комментарий от AS

Копипаст кода - один из маркеров плохого дизайна. Смысл не в том, сколько места занимает что-то на диске, а в том, что дублирование кода увеличивает трудозатраты на его сопровождение и повышает риск возникновения ошибок.

siraenuhlaalu
()
Ответ на: комментарий от anonymous

А как создать подпись Cades X Long с меткой времени

в случае крипто-про можно использовать cryptcp, типа так -

cryptcp -sign -xlongtype1 -cadestsa {url-of-tsa} и т.п.

да еще и желательно сертификатом в неизвлекаемом контейнере в Рутокен ЭЦП2?

Ничего не знаю. И даже почти не понимаю. На радость читателям: разное ПО создаёт разные структуры данных на токенах. Теоретически Рутокен ЭЦП2 сам может многое, но не факт что на практике это «многое» будет использовано.

Только через CryptoARM GOST или есть еще какие-нибудь другие варианты?

Да, есть разные варианты. Про cryptcp я уже помянул. Можете попросить автора gost-crypto-gui добавить нужный Вам режим. Мне вот подпись одиночного файла не нужна. Мне нужна передача данных в xml (soap) и json (rest) и вот там - суета с подписями и шифрованием. Понятно, что я использую api. Думаю, что и Вы сможете :)

anonymous
()
Ответ на: комментарий от siraenuhlaalu

Копипаст кода - один из маркеров плохого дизайна.

У тебя _ровно_ тот же копипаст в unit-файлах. В одном случае на конфиг реагирует systemd, в другом - bash.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

Где? В systemd всё унифицировано: у тебя есть директива ExecStart= где ты указываешь путь к бинарнику и его аргументы, там просто негде ошибиться.

Но как я уже говорил, копипаста не является главным недостатком sysvinit. Главный его недостаток - невозможность трекать статус процессов, запускаемых как сервисы, потому что он запускает бэшовые скрипты, которые создают прослойку, делающую это невозможным, поскольку сами сервисы закрывают свои дескрипторы и уходят в бэкграунд.

siraenuhlaalu
()
Ответ на: комментарий от siraenuhlaalu

Где? В systemd всё унифицировано: у тебя есть директива ExecStart= где ты указываешь путь к бинарнику и его аргументы, там просто негде ошибиться.

Где можно ошибиться в case?

Главный его недостаток - невозможность трекать статус процессов

Это так себе недостаток на фоне того барахла, что натащили в systemd. Если бы systemd отличался только этим, возможно это был бы даже нормальный init. Но нет.

AS ★★★★★
()
Ответ на: комментарий от AS

Если кто еще не понял, то действительно безопасное сетевое рабочее место или сервер можно сделать только на отечественной железке и только БЕЗ systemD. - это необходимые условия, но далеко не достаточные, просто без них такая безопасность даже внутри LAN выглядит цирком, а на современных Intel компах даже без LAN на одиночных рабочих станциях изоляция от АНБ недостижима.

Для Астры наиболее простым способ избавиться хотя бы от systemD - это сделать дополнительный минимальный серверный дистр и возможно даже десктоп на базе Devuan.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.