LINUX.ORG.RU

Гостехкомиссия России сертифицировала ASPLinux


0

0

Дистрибутив ASPLinux 7.3 Server Edition с файловой системой XFS сертифицирован Гостехкомиссией РФ по 5 классу защищенности для СВТ и по 4 уровню контроля для НДВ. Для выполнения требований, предъявляемых Гостехкомиссией к программным продуктам, в программные пакеты и документацию дистрибутива были внесены незначительные изменения.

>>> Подробности



Проверено: maxcom

Погтому что в госструктурах написано к примеру, что "разрешено использовать ОС, имеющую сертификат не ниже 5 класса по СВТ". И - все, хоть обпрыгайся с криками насчет "Рулез" и "Мастдай", тебе аккуратно в ответ спросят: "Сетрификация присутствует? Какой класс?" И, в случае отсутсвия оной аккуратно отвинтят голову, причем будут правы по всем параграфам документов.

anonymous
()

и $150 все-таки отличается от $1k ;-)

anonymous
()

И, в случае отсутсвия оной аккуратно отвинтят голову, причем будут правы по всем параграфам документов.

Меня интересует очень простой вопрос - кто несет ответственность

за взлом серт. сервера?

>и $150 все-таки отличается от $1k ;-)

Ну дык надо еще денег дать, что бы поставили, настроили, оттестировали

Sun-ch
()

Теоретически сертификация должна гарантировать определенный уровень безопасности.

nicko
()
Ответ на: комментарий от nicko


Бытовая техника тоже сертифицированна, но если меня трахнет

током, то закон защитит мои права

Если госуд. выдало серт., подтвержающий безопастность этого

дистра, то будьте любезны в суд, иначе это просто бумажка

Sun-ch
()
Ответ на: комментарий от anonymous

про дырявых демонов...

2 anonymous (*) (2003-09-25 19:49:37.263327)

> Интересно мне знать, как они просертифицировали дважды дырявый
> openssh proftpd c рут-эксплойтом ;))

Запросто. Например, ядро PaX'-ом пропатчили...

Dselect ★★★
()
Ответ на: комментарий от anonymous

про GPL

2 anonymous (*) (2003-09-26 11:43:05.366782)

> ну и что там серификат купили, это просто грубое нарушение вашего любимого GPL

Сколько раз можно объяснять, что

``Free software'' is a matter of liberty, not price. To understand the concept,
you should think of ``free'' as in ``free speech,'' not as in ``free beer.''

См. http://www.gnu.org/philosophy/free-sw.html


Dselect ★★★
()

2Sun-ch: Смешиваешь понятия "сертификация" и "реальная безопасность". "Сертификация" означает (в идеале), что дистр просмотрели и на момент осмотра не нашли таких-то вот багов. И это - основание для того, чтобы начать использовать дистр в тех местах, где применение осей РЕГЛАМЕНТИРОВАНО. Это, извиняюсь, защищает ээ.. кхм.. спину тех дядек, которые принимают решение использовать или не использовать определенную ось. Их тоже можно понять. Потому как в другом случае к ним придут и спросят - "А с каких щей вы стали использовать данную операционку?" Только потому что начитались linux.org.ru?

"Реальная безопасность" - это уже комплекс мер, направленный на тот самый уровень безопасности, который необходим. И наличие сертификата - тут только самый начальный уровень.

А жаждать того, что вот у меня сертифицированная ось, которую взломали потому что я рутовый пароль вывесил на главной странице сертифицированного Web-сервера, и теперь пусть мне все государство компенсирует, ну - это уж слишком. Нет :-)?

Возвращаясь к случаю с бытовой техникой - ежели вилку в розетку вставлять мокрыми руками и держась за штырьки - несет ли производитель за это ответственность даже в том случае, если и техника сертифицирована? ;-)

anonymous
()
Ответ на: комментарий от anonymous

А я хочу купить за несколько кило баксов готовое решение на базе этого

дистра,

тот же инет-магазин

пускай сами все поставят, настроят, проведут аудит, обучат

администратора, напоят меня пивом.

Готов платить за саппорт этого решения.

Наверное это странно, но если сервер ломанут и я понесу убытки,

хочется получить компенсацию.

Sun-ch
()

Не проблема - оговори в договоре с теми, кто будет настраивать И-нет магазин пункт, обязывающий их возместить убытки за счет взлома, произошедшего по вине дистрибутива. Особо оговори методику подсчета убытков и порядок их возмещения, заодно определи что подразумевается под "виной дистрибутива". И пусть фирма, осуществляющая саппорт, патчит дистр. А уж будет ли это ASP или Alt - Linux'ы (пардон, ASP или Утес) и кто это будет настраивать - дело двести восьмидесятое. Если, конечно, фирма согласится;-). А ежели нужон тебе уж "афигенна" сертифицированный дистр - ну дык :-) Говорят у покойного ФАПСИ был такой "пингвин, специально обученный передаче данных". Чем не ось для и-нет магазина ? ;-)

anonymous
()
Ответ на: комментарий от Sun-ch

> Наверное это странно, но если сервер ломанут и я понесу
убытки,хочется получить компенсацию.

Я может ошибаюсь, но что-то это желание сильно пересекается с
работой страховых компаний... Любые риски в бизнесе
теоретически можно застраховать. Разве не так? Сертификаты для
ОС - это кривое наследие эпохи тяжелого машиностроения. На софт
они крайне плохо переносятся. Нельзя даже приблизительно
оценить прочность (устойчивость к взлому) той или иной софтины.
Слишком много всяких "если".

anonymous
()
Ответ на: комментарий от Sun-ch

Lingvo

> хочу купить за несколько кило баксов готовое решение...инет-магазин
...
> хочется получить компенсацию
пустой трёп.
я думаю Вы с порядком цифр ошиблись, минимум на порядок.
а риски такие страхуются элементарно - ну Вы будете переплачивать 30-40% дополнительно? сомневаюсь...

mumpster ★★★★★
()

Вы все мудаки и недоделки. ФСБ использует ФриБСД. А вы лохи сервиспатченные, пользуете свой ацтойно-педораситический линух. Ацтой.

anonymous
()

А сайт презикдента на линуксе. А ФСБ сосет и срочно обновляется cvsup'ом.

anonymous
()

Почему это важно именно для ГОСконтор? Да потому, что все остальный могуь спокойно х%й забить на все эти сертификаты и продолжать спокойно жить. Из серии маразмов контор такого типа - в смысле, контор, которым нужны "сиртифициравнныи сестемы": Linux примиенять запрещено - потому, что нет "сертифицированных средств защиты от НСД не ниже энного класса защищенности" под него. Зато (не слышу оваций, грома фанфар и криков восторга :-)) разрешено применять... WINDOWS 98!!! Ибо для него есть сертифицированные СЗНСД необходимого класса - заметьте, что не комплекс "система+СЗ" должен быть сертифицирован, а только СЗ должно быть сертифицировано - во как! :-)

Когда объясняешь этим "защищальцам", что защищать надо не "кампутеры", а документы - до них не доходит... "А давайте зашифруем все и раздадим каждому свой ключ - и все будет абсолютно секретно" - это еще цветочки некоторых "защитников", и не самые глупые цветочки не самых глупых защитничков, надо заметить. А самое неприятное, что эти конторы и их "защитнички" постоянно норовят заставит всех с ними связанных работать так, как они считают нужным.

Так что ASP делает правильное дело, продвигая Linux в это болото - потому, что те, кто поневоле работает с такими конторами, смогут как выбрать нормальную систему, а не только эту тамагочу Win98 и "Security System Accord 1.95 VTM DRV for Win3.11/95/98/ME".

P.S.: НИКОГДА не связывайтесь с фирмами под названием "Анкад", "Инфокрипт" и "ОКБ САПР", если будет такая возможность. А если свяжетесь по собственному выбору - не говорите, что вас не предупреждали :-)

no-dashi ★★★★★
()

Кто может внятно обьяснить "Что означает этот сертификат" ? Пример: Куплен и используется сертиицированный диср "Уеб-М". Через два месяца после покупки выходит рутовский эксплоит Х-трасе и рушит задачу. Можем мы как покупатели сдать изготовителей "Уеб-М" в петушатник и получить компенсацию расходов за их счет ?

anonymous
()

А эта хуевина с Федором совместимая ?

anonymous
()
Ответ на: комментарий от anonymous

> получить компенсацию расходов за их счет ?

По идее можете... Есть закон о потребителях. Только судиться
придется лет пятнадцать, не меньше, и денег на это уйдет много
больше, чем оно стоит.

anonymous
()
Ответ на: комментарий от anonymous

Одна проблема :-) В описанных условия закон о защите прав потребителей не работает :-).

anonymous
()

еще раз для тех кто не понял - наличие сертификата ни в коем случае не говорит о том, что система безопасна в плане отсутствия дыр. он всего лишь говорит, что она удовлетворяет следующим требованиям (тут идет перечисление их для нужного класса). две системы могут иметь один и тот же класс защищенности, и быть совершенно разными. сертификация говорит лишь о том, что система требованиям удовлетворяет, никаких встроенных троянов нет, и ВСЕ но в некоторых местах эта бумажка (лицензия) нужна более всего. бюрократия, понимаешь.

tokza
()

Вышел сборник обновлений для ASPLinux 9

На диске обновлений к ASPLinux 9 вы найдете новые версии всех пакетов, обновленных с середины мая 2003 года. Среди них - самые последние версии графических сред KDE 3.1.3 и GNOME 2.4, а также браузер mozilla-1.4, пакет для организации групповой работы Evolution 1.4.4, новые версии мультимедийных пакетов xmms, xine и т.д.

По просьбам пользователей ASPLinux на диск обновлений попал ряд новых пакетов, это krusader (аналог Windows Commander для KDE), K3B (программа для записи дисков), nagios (монитор узлов и служб в сети). Добавлена поддержка bluetooth, возможность преобразования форматов video (пакет transcode) и другие полезные пакеты.

Все пакеты, вошедшие в сборник обновлений, доступны на ftp-сервере компании ASPLinux в каталогах ftp://ftp.asplinux.ru/pub/i386/updates/9/i386 (исправления ошибок безопасности и сборки пакетов, не меняющие поведения системы и не привносящие новой функциональности) и ftp://ftp.asplinux.ru/pub/ contribs/9/i386 (новые версии пакетов, которые добавляют новые возможности. Пакеты из каталога contribs предназначены для тестирования и ознакомления с технологиями и разработками, которые будут доступны в следующей версии ASPLinux).

Спасибо вcем пользователям ASPLinux за предложения и замечания к разработчикам! Ждем ваших пожеланий на форумах сайта http:// community.asplinux.ru

Диск с обновлениями уже можно купить в интернет-магазине Линуксцентр и магазине "Волшебный мир компьютеров" по адресу Москва, ул. Большая Якиманка, дом 15/20, строение 1.

anonymous
()
Ответ на: комментарий от anonymous

----------- Интересно, АЛЬТлинуховский "Утес-К", имеющий сертификаты по тому же классу, стоит 22000 руб. А сертифицированный АСП - 150 баксов :) По поводу руководящих документов - все они есть на www.infotecs.ru, смотрите язк не сломайте, читая их. Ужасно написаны :) ------------

Так у ASP сертифицирован только Server с ограниченным набором пакетов, а у ALT - полный Master... с кучей софта (включая средства разработки). Вот цена и разная.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.