Astra Linux
| Astra Linux | |
|---|---|
 | |
| Astra Linux, релиз «Орёл» Astra Linux, релиз «Орёл» | |
| Разработчик | АО «НПО РусБИТех» |
| Семейство ОС | Unix-подобная (Debian GNU/Linux) |
| Основана на | Debian |
| Первый выпуск | конец 2009 г. |
| Последняя версия | |
| Метод обновления | apt |
| Менеджеры пакетов | Dpkg |
| Поддерживаемые языки | русский, английский |
| Поддерживаемые платформы | x86-64, Эльбрус 2000, IBM System z, MIPS, ARM, PowerPC и IBM System p |
| Тип ядра | монолитное ядро Linux |
| Интерфейс | fly, twm |
| Лицензия | Полусвободная (без права декомпиляции) для Common Edition[1], проприетарная — для Special Edition[2] |
| Состояние | актуальное |
| Веб-сайт | astralinux.ru (рус.) (англ.) |
 Медиафайлы на Викискладе | |
Astra Linux («А́стра Ли́нукс», от лат. astra — звезда) — операционная система специального назначения на базе ядра Linux, созданная для комплексной защиты информации и построения защищённых автоматизированных систем. Востребована в первую очередь в российских силовых ведомствах, спецслужбах и государственных органах[3]. Обеспечивает степень защиты обрабатываемой информации до уровня государственной тайны «особой важности» включительно. Сертифицирована в системах сертификации средств защиты информации Минобороны, ФСТЭК и ФСБ[4] России. Включена в Единый реестр российских программ Минкомсвязи России[5].
Разработка
Разработку на базе ядра Linux начало в 2008 году АО «НПО РусБИТех». Система принята на снабжение Минобороны РФ приказом министра в 2013 году, министерство также приняло участие в доработке продукта[6]. Система внедряется во исполнение распоряжения Правительства РФ № 2299-р от 17 декабря 2010 г., утверждающего План перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на использование свободного программного обеспечения[7].
Производитель заявляет, что «лицензионные соглашения на операционные системы Astra Linux разработаны в строгом соответствии с положениями действующих правовых документов Российской Федерации, а также международных правовых актов», при этом они «не противоречат духу и требованиям лицензии GPL»[8]. Система работает с пакетами на базе .deb[9]. Исходные тексты ядра доступны на сайте разработчика[10]. Astra Linux считается «официально признанной» веткой дистрибутива Debian[11], АО «НПО РусБИТех» находится в партнёрских отношениях с The Linux Foundation[12] и The Document Foundation[13].
В состав дистрибутива входят такие пакеты с открытым исходным кодом, как офисный пакет LibreOffice, браузер Firefox, почтовый клиент Thunderbird, редактор растровой графики GIMP, проигрыватель мультимедиа VLC и другие[14].
В августе 2017 г. разработчики Astra Linux и пакета офисных приложений «МойОфис» сообщили о запуске совместного продукта — программной платформы, в состав которой входят Astra Linux и «МойОфис»[15].
В феврале 2018 г. объявлено, что Astra Linux была адаптирована для российских микропроцессоров «Эльбрус»[16].
Применение
Система применяется во многих государственных учреждениях. В частности, на ней построена информационная система Национального центра управления обороной РФ[17]. В июле 2015 г. состоялись переговоры о переводе на Astra Linux госучреждений Республики Крым, в которой официальное использование популярных ОС затруднительно из-за антироссийских санкций[18]. В ноябре 2015 года подписано соглашение о сотрудничестве[19] с производителем серверов Huawei, который начал тестировать свои серверы на совместимость с Astra Linux[20]. В феврале 2019 года объявлено о внедрении Astra Linux на Тяньваньской АЭС (Китай, провинция Цзянсу)[21].
В январе 2018 года Минобороны РФ объявило, что полностью переводит все военные ПК на Astra Linux и отказывается от Microsoft Windows. После этого планируется перевод на Astra Linux военных смартфонов и планшетов[6][22][23].
С января 2019 года, происходит тестирование Astra Linux в системах группы компаний "Газпром".
На сентябрь 2019 запланирован старт продаж коммерческих смартфонов и планшетов с Astra Linux[24].
Основные версии
Производителем разрабатывается базовая версии Astra Linux — Common Edition (общего назначения) и её модификация Special Edition (специального назначения):
- издание общего назначения — Common Edition — предназначено для среднего и малого бизнеса, образовательных учреждений[25];
- издание специального назначения — Special Edition — предназначено для автоматизированных систем в защищённом исполнении, обрабатывающих информацию со степенью секретности «совершенно секретно» включительно[26]; новые версии выходят с периодичностью в 2 года.
Операционная система Astra Linux Special Edition основана на дистрибутиве Astra Linux Common Edition и включает в себя ряд принципиальных доработок для обеспечения соответствия требованиям руководящих документов по защите информации. Кроме того, в целях оптимизации из дистрибутива Astra Linux Special Edition исключён ряд дублирующих друг друга компонент, решающих сходные целевые задачи. Например, из двух СУБД MySQL и PostgreSQL, входящих в состав Astra Linux Common Edition, в дистрибутив операционной системы Astra Linux Special Edition включена СУБД PostgreSQL, доработанная по требованиям безопасности информации[8].
Выпускаемые релизы носят названия городов-героев России:
| Архитектура | Common Edition | Special Edition | Сфера применения |
|---|---|---|---|
| x86-64 | Орёл | Смоленск | рабочие станции и серверы |
| ARM | − | Новороссийск | мобильные устройства и встраиваемые компьютеры |
| MIPS | − | Севастополь | настольные и мобильные устройства, сетевое оборудование |
| POWER | − | Керчь | высокопроизводительные серверы |
| IBM System z | − | Мурманск | отказоустойчивые серверы (мейнфреймы) |
| Эльбрус 2000 | − | Ленинград[27] | вычислительные комплексы «Эльбрус» |
История версий
| Версия | Название | Дата выпуска | Версия ядра Linux |
|---|---|---|---|
| 1.2 | Astra Linux Special Edition (Смоленск) | 28 октября 2011 | 2.6.34 |
| 1.3 | Astra Linux Special Edition (Смоленск) | 26 апреля 2013 | 3.2.0[28] |
| 1.4 | Astra Linux Special Edition (Смоленск) | 19 декабря 2014[29] | 3.16.0 |
| 1.5 | Astra Linux Special Edition (Смоленск) | 08 апреля 2016[30] | 4.2.0 |
| 1.6 | Astra Linux Special Edition (Смоленск) | 26 сентября 2018 | 4.15.3-1 |
| Версия | Название | Дата выпуска | Версия ядра Linux |
|---|---|---|---|
| 1.5 | Astra Linux Сommon Edition (Орёл) | конец 2009 | 2.6.31 |
| 1.6 | Astra Linux Сommon Edition (Орёл) | 23 ноября 2010 | |
| 1.7 | Astra Linux Сommon Edition (Орёл) | 3 февраля 2011 | 2.6.34 |
| 1.9 | Astra Linux Common Edition (Орёл) | 12 февраля 2013 | 3.2.0 |
| 1.10 | Astra Linux Common Edition (Орёл) | 14 ноября 2014[31] | 3.16.0[28] |
| 1.11 | Astra Linux Common Edition (Орёл) | 17 марта 2016[32] | 4.2.0[33] |
| 2.11.3 | Astra Linux Common Edition (Орёл) | 29 марта 2018 | 4.15.3 |
| 2.12 | Astra Linux Common Edition (Орёл) | 07 августа 2018 | 4.15.3-1 |
Особенности версии Special Edition
Идентификация и аутентификация
Функция идентификации и аутентификации пользователей в Astra Linux основывается на использовании механизма PAM. Кроме того, в состав операционной системы включены средства поддержки двухфакторной аутентификации.
Дискреционное разграничение доступа
В Astra Linux реализован механизм избирательного управления доступом, который заключается в том, что на защищаемые именованные объекты устанавливаются (автоматически при их создании) базовые правила разграничения доступа в виде идентификаторов номинальных субъектов (UID и GID), которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x).
Кроме общей схемы разграничения доступа, Astra Linux поддерживает также список контроля доступа — ACL, с помощью которого можно для каждого объекта задавать права всех субъектов на доступ к нему.
Мандатное разграничение доступа
В операционной системе реализован механизм мандатного разграничения доступа. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.
Механизм мандатного разграничения доступа затрагивает следующие подсистемы:
- механизмы IPC;
- стек TCP/IP (IPv4);
- файловые системы Ext2/Ext3/Ext4;
- сетевую файловую систему CIFS;
- файловые системы proc, tmpfs.
В Astra Linux Special Edition существует 256 мандатных уровней доступа (от 0 до 255) и 64 мандатных категории доступа
При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создаёт для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.
Модель контроля и управления доступом
Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная[34] мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель)[35], которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределённой среде) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы[36][источник не указан 1703 дня].
В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[37].
Указанная математическая модель реализована в программном коде специалистами АО «НПО „РусБИТех“» и Академии ФСБ России и верифицирована Институтом системного программирования Российской академии наук. В результате дедуктивной верификации[38] модель была полностью формализована и верифицирована.[39]
В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.
Защита от эксплуатации уязвимостей
В состав ядра операционной системы Astra Linux включён набор изменений PaX, обеспечивающий работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении:
- запрет записи в область памяти, помеченную как исполняемая;
- запрет создания исполняемых областей памяти;
- запрет перемещения сегмента кода;
- запрет создания исполняемого стека;
- случайное распределение адресного пространства процесса.
Другие функции
- Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.
- Маркировка документов: разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
- Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.
- Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях, запущенных в собственном изолированном окружении.
- Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2012 и внедряемых в исполняемые файлы в процессе сборки.
- Контроль целостности: для решения задач контроля целостности применяется функция хеширования в соответствии с ГОСТ Р 34.11-94.1[40]
| Наименование | Организация-разработчик | СЗИ
|
Состояние разработки |
Степень секретности |
Приказ о принятии на снабжение ВС РФ |
Наличие сертификатов | ||
|---|---|---|---|---|---|---|---|---|
| МО | ФСТЭК | ФСБ | ||||||
| Astra Linux | АО «НПО РусБИТех» |  |
завершена | СС, ОВ | есть (2013 г.) |  |
|
|
| ОС МСВС 3.0 | ЗАО «концерн ВНИИНС» | |
завершена | СС | есть (2001 г.) | |
- | - |
| ОС МСВС 5.0 | ОАО «ВНИИНС» | |
завершена | СС | нет | |
- | - |
| ОС «Заря» | ФГУП «ЦНИИ ЭИСУ» |  |
завершена | СС | нет |  |
- | - |
| Альт Линукс | ООО «Альт Линукс» | |
завершена | С | нет | - | |
- |
| РОСА | ООО «НТЦ ИТ Роса» | |
завершена | С | нет | |
|
- |
где СЗИ — Средства Защиты Информации,
— отечественная разработка,
— на основе зарубежного прототипа,
— сертифицирована серия,
— сертифицирован единичный образец (партия).
Системные требования
- D-sub-совместимый видеоинтерфейс;
- не менее 512 МБ оперативной памяти;
- не менее 4 ГБ свободного места на жёстком диске[42].
См. также
- Список дистрибутивов Linux
- Мобильная система Вооружённых Сил
- Заря (операционная система)
- госЛинукс
- Rosa Linux
- ALT Linux
- Институт системного программирования РАН
- Мандатное управление доступом
Примечания
- ↑ Лицензионное соглашение
- ↑ Условия лицензирования
- ↑ Звезда по имени Linux: почему "военные" ОС прочнее
- ↑ Получен сертификат ФСБ на Astra Linux. Дата обращения: 6 июля 2014. Архивировано из оригинала 14 июля 2014 года.
- ↑ Включена в Единый реестр российских программ…
- ↑ 1 2 Минобороны переведет компьютеры с Windows на Astra Linux — Реальное время
- ↑ Звезда по имени Linux: почему «военные» ОС прочнее — Компьютерра-Онлайн
- ↑ 1 2 Часто задаваемые вопросы Архивировано 14 июля 2014 года.
- ↑ Настройка apt Архивировано 14 июля 2014 года.
- ↑ Исходники ядра — AstraLinux Wiki
- ↑ http://deriv.debian.net/AstraLinux/
- ↑ http://www.cnews.ru/news/line/2019-02-19_gk_astra_linux_rasshiryaet_sotrudnichestvo_s_the
- ↑ https://blog.documentfoundation.org/blog/2015/10/06/the-document-foundation-welcomes-rusbitech-in-the-project-advisory-board/
- ↑ Основные компоненты операционной системы. Дата обращения: 4 марта 2018. Архивировано из оригинала 5 марта 2018 года.
- ↑ «Мой офис» укоренился в Linux для работы с совершенно секретными документами - CNews
- ↑ Архивированная копия. Дата обращения: 27 февраля 2018. Архивировано из оригинала 27 февраля 2018 года.
- ↑ Крым импортозамещается. «РусБИТех» и «Крымтехнологии» приступили к сотрудничеству
- ↑ Крым может стать примером для всей России по стратегически важному вопросу | иNтерМонитор.ру
- ↑ РусБИТех и Huawei подписали соглашение о сотрудничестве
- ↑ Стоечный сервер Huawei RH2288H V3, маркированный как совместимый с Astra Linux
- ↑ http://corp.cnews.ru/news/line/2019-02-05_rossijskaya_os_astra_linux_vnedrena_na_tyanvanskoj
- ↑ Военные сказали Windows «прощай» | Статьи | Известия
- ↑ OpenNews: Минобороны РФ планирует перевести все служебные компьютеры на Astra Linux
- ↑ https://www.kommersant.ru/doc/3999021
- ↑ Продукция — Astra Linux Common Edition | ОАО «НПО РусБИТех»
- ↑ Назначение. Дата обращения: 20 июля 2014. Архивировано из оригинала 17 июля 2014 года.
- ↑ Операционная система «Astra Linux» заработала на процессорах «Эльбрус». Дата обращения: 27 февраля 2018. Архивировано из оригинала 27 февраля 2018 года.
- ↑ 1 2 Основные компоненты Архивная копия от 27 января 2015 на Wayback Machine (рус.)
- ↑ Версия 1.4 (рус.)
- ↑ Завершён инспекционный контроль версии 1.5 релиза "Смоленск" операционной системы специального назначения "Astra Linux Special Edition". astra-linux.com. Дата обращения: 20 апреля 2016. Архивировано из оригинала 8 мая 2016 года.
- ↑ Версия 1.10 Архивная копия от 11 августа 2015 на Wayback Machine (рус.)
- ↑ Вышла фиксированная версия 1.11 релиза "Орёл". astra-linux.com. Дата обращения: 1 апреля 2016. Архивировано из оригинала 21 апреля 2016 года.
- ↑ Изменения в версии 1.11. astra-linux.com. Дата обращения: 1 апреля 2016. Архивировано из оригинала 22 апреля 2016 года.
- ↑ Патент на изобретение №2525481. www1.fips.ru. Дата обращения: 29 сентября 2015.
- ↑ П. Н. Девянин, “Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели”, ПДМ. Приложение, 2014, № 7, 82–85. www.mathnet.ru. Дата обращения: 29 сентября 2015.
- ↑ «Хакер» — Русский бронированный Debian. Как устроена новая модель управления доступом в Astra Linux SE. Дата обращения: 5 декабря 2015. Архивировано из оригинала 8 декабря 2015 года.
- ↑ ОБЗОРНЫЕ ЛЕКЦИИ ПО МОДЕЛЯМ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ — тема научной статьи по общим и комплексным проблемам технических и прикладных наук и отраслей народного хозяйства…
- ↑ Центр верификации ОС Linux. Дедуктивная верификация модулей ядра. Linux Deductive Verification.
- ↑ И. Щепетков. Rodin — платформа для разработки и верификации моделей на Event-B (рус.).
- ↑ Ключевые особенности. Дата обращения: 18 июля 2014. Архивировано из оригинала 16 июля 2014 года.
- ↑ Презентация — Отечественная защищённая операционная система «Astra Linux Special Edition». Дата обращения: 8 января 2016. Архивировано из оригинала 26 января 2016 года.
- ↑ ftp://astra-linux.com/docs/AstraLinuxSE_install.pdf (недоступная ссылка)
Ссылки
- astra-linux.ru — официальный сайт Astra Linux
- rusbitech.ru — официальный сайт АО «НПО РусБИТех»
- http://mirror.yandex.ru/astra
- http://wiki.astralinux.ru/
- http://rusbitech.ru/products/os/
- http://astra-linux.ru http://astralinux.ru/ http://astralinux.com/
- astraver.linuxtesting.org
- http://packages.lab50.net/ — пакеты, не вошедшие в официальный дистрибутив
Литература
- Буренин П.В., Девянин П.Н., Лебеденко Е.В., Проскурин В.Г., Цибуля А.Н. Безопасность операционной системы специального назначения Astra Linux Special Edition. — М.: Горячая линия - Телеком, 2016. — 312 с. — ISBN 978-5-9912-0623-5.
_%D1%80%D0%B5%D0%BB%D0%B8%D0%B7_%22%D0%9E%D1%80%D1%91%D0%BB%22_%D0%B2._2.12_-_%D0%A0%D0%B0%D0%B1%D0%BE%D1%87%D0%B8%D0%B9_%D1%81%D1%82%D0%BE%D0%BB.png){kind=link}
_%D1%80%D0%B5%D0%BB%D0%B8%D0%B7_%22%D0%A1%D0%BC%D0%BE%D0%BB%D0%B5%D0%BD%D1%81%D0%BA%22_%D0%B2._1.6_-_%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8C_%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%B5%D1%82_%D0%BF%D0%BE%D0%B4_%D0%BD%D1%83%D0%BB%D0%B5%D0%B2%D1%8B%D0%BC_%D0%BC%D0%B0%D0%BD%D0%B4%D0%B0%D1%82%D0%BD%D1%8B%D0%BC_%D1%83%D1%80%D0%BE%D0%B2%D0%BD%D0%B5%D0%BC.png){kind=link}