Astra Linux

Astra Linux («Астра Лінукс», від лат. astra — «зірка») операційна система на базі ядра Linux, створена для комплексного захисту інформації та побудови захищених автоматизованих систем. Має попит насамперед у російських силових відомствах, спецслужбах та державних органах[1]. Забезпечує ступінь захисту оброблюваної інформації до рівня державної таємниці «особливої важливості» включно. Сертифікована в системах сертифікації засобів захисту інформації Міноборони, ФСТЕК і ФСБ[2] Росії. Включена до Єдиного реєстру російських програм Мінкомзв'язку Росії[3].

Astra Linux
Розробник RusBITechd
Родина ОС Debian
Початковий випуск 2009
Останній стабільний випуск 1.6 Special Edition (26 вересня 2018)
Доступні мови російська і англійська
Ліцензія GNU GPL
Вебсайт astralinux.ru

 Astra Linux у Вікісховищі

Розробка

Розробку Astra Linux розпочато в 2008 році АТ «НПО РусБИТех». У 2013 році Astra Linux прийнято на постачання Міноборони РФ, також міністерство взяло участь у доопрацюванні ОС[4]. Система впроваджується на виконання розпорядження Уряду РФ 2299-р від 17 грудня 2010 року, який затверджує План переходу федеральних органів виконавчої влади і федеральних бюджетних установ на використання вільного програмного забезпечення[5].

Система працює з пакетами на базі .deb. Сирцеві тексти ядра доступні на сайті розробника[6]. Astra Linux вважається «офіційно визнаною» гілкою дистрибутиву Debian[7], АТ «НВО РусБИТех» перебуває в партнерських відносинах з The Linux Foundation[8] і The Document Foundation[9]. Розробник заявляє, що «ліцензійні угоди на операційні системи Astra Linux розроблені в суворій відповідності положенням чинних правових документів Російської Федерації, а також міжнародних правових актів», при цьому вони не суперечать духу та вимогам ліцензії GPL".

До складу дистрибутива входять такі пакунки з відкритим кодом, як офісний пакунок LibreOffice, браузер Firefox, поштовий клієнт Thunderbird, редактор растрової графіки GIMP, програвач мультимедіа VLC тощо[10].

У серпні 2017 року розробники Astra Linux та пакету офісних застосунків «МойОфис» повідомили про запуск спільного продукту — програмної платформи, до складу якої входять Astra Linux і «МойОфис»[11].

У лютому 2018 року оголошено, що Astra Linux адаптовано для російських мікропроцесорів «Ельбрус»[12].

Застосування

Система застосовується в ряді державних установ. Зокрема, на ній побудована інформаційна система Національного центру управління обороною РФ[13]. У липні 2015 року відбулися переговори про переведення на Astra Linux держустанов Республіки Крим, у якій офіційне використання популярних ОС ускладнюють антиросійські санкції[14]. В листопаді 2015 року підписано угоду про співпрацю[15] з виробником серверів Huawei, який почав тестувати свої сервери на сумісність з Astra Linux[16]. У лютому 2019 року оголошено про впровадження Astra Linux на Тяньваньській АЕС (Китай, провінція Цзянсу)[17].

У січні 2018 року Міноборони РФ оголосило, що повністю переводить усі військові ПК на Astra Linux і відмовляється від Microsoft Windows. Після цього планується переведення на Astra Linux військових смартфонів і планшетів[4][18][19].

Від січня 2019 року відбувається тестування Astra Linux у системах групи компаній «Газпром».

На вересень 2019 заплановано старт продажів комерційних смартфонів і планшетів з Astra Linux[20].

Основні версії

Astra Linux Special Edition у Національному центрі управління обороною РФ

Виробник розробляє базову версію Astra Linux Common Edition (загального призначення) та її модифікацію Special Edition (спеціального призначення):

  • видання загального призначення Common Edition — призначене для середнього та малого бізнесу, освітніх установ[21];
  • видання спеціального призначення Special Edition призначене для автоматизованих систем у захищеному виконанні, що обробляють інформацію зі ступенем секретності «цілком таємно» включно[22]; нові версії виходять раз на 2 роки.

Операційна система Astra Linux Special Edition заснована на дистрибутиві Astra Linux Common Edition і включає низку принципових доопрацювань для забезпечення відповідності вимогам керівних документів щодо захисту інформації. Крім того, в цілях оптимізації, з дистрибутива Astra Linux Special Edition виключено ряд компонентів, що дублюють один одного, розв'язуючи подібні задачі. Наприклад, з двох СУБД MySQL і PostgreSQL, що входять до складу Astra Linux Common Edition, у дистрибутив ОС Astra Linux Special Edition включено СУБД PostgreSQL, допрацьовану за вимогами безпеки інформації.

Випущені релізи носять назви міст-героїв РРФСР:

Релізи Astra Linux
Архітектура Common Edition Special Edition Сфера застосування
x86-64 Орел Смоленськ робочі станції та сервери
ARM Новоросійськ мобільні пристрої і вбудовувані комп'ютери
MIPS Севастополь настільні і мобільні пристрої, мережеве обладнання
POWER Керч високопродуктивні сервери
IBM System z Мурманськ відмовостійкі сервери (мейнфрейми)
Ельбрус 2000 Ленінград[23] обчислювальні комплекси «Ельбрус»

Історія версій

Версії Astra Linux Special Edition (Смоленськ)
Версія Назва Дата випуску Версія ядра Linux
1.2 Astra Linux Special Edition (Смоленськ) 28 жовтня 2011 2.6.34
1.3 Astra Linux Special Edition (Смоленськ) 26 квітня 2013 3.2.0
1.4 Astra Linux Special Edition (Смоленськ) 19 грудня 2014[24] 3.16.0
1.5 Astra Linux Special Edition (Смоленськ) 08 квітня 2016[25] 4.2.0
1.6 Astra Linux Special Edition (Смоленськ) 26 вересня 2018 4.15.3-1
Версії Astra Linux Соммоп Edition (Орел)
Версія Назва Дата випуску Версія ядра Linux
1.5 Astra Linux Соммоп Edition (Орел) кінець 2009 2.6.31
1.6 Astra Linux Соммоп Edition (Орел) 23 листопада 2010
1.7 Astra Linux Соммоп Edition (Орел) 3 лютого 2011 2.6.34
1.9 Astra Linux Common Edition (Орел) 12 лютого 2013 3.2.0
1.10 Astra Linux Common Edition (Орел) 14 листопада 2014 р. 3.16.0
1.11 Astra Linux Common Edition (Орел) 17 березня 2016[26] 4.2.0[27]
2.11.3 Astra Linux Common Edition (Орел) 29 березня 2018 4.15.3
2.12 Astra Linux Common Edition (Орел) 07 серпня 2018 4.15.3-1

Особливості версії Special Edition

Ідентифікація й автентифікація

Функція ідентифікації й автентифікації користувачів у Astra Linux ґрунтується на використанні механізму PAM. Крім того, до складу операційної системи входять засоби підтримки двофакторної автентифікації.

Дискреційне розмежування доступу

В Astra Linux реалізовано механізм вибіркового керування доступом, який полягає в тому, що на захищувані іменовані об'єкти встановлюються (автоматично під час їх створення) базові правила розмежування доступу у вигляді ідентифікаторів номінальних суб'єктів (UID та GID), які мають право розпоряджатися доступом до даного об'єкта і прав доступу до об'єкта. Визначаються три види доступу: читання (read, r), запис (write, w) і виконання (execution, x).

Крім загальної схеми розмежування доступу, Astra Linux підтримує також список контролю доступу ACL, за допомогою якого можна для кожного об'єкта задавати права всіх суб'єктів на доступ до нього.

Мандатне розмежування доступу

В операційній системі реалізовано механізм мандатного розмежування доступу. Прийняття рішення про заборону або дозвіл доступу суб'єкта до об'єкта приймається на основі типу операції (читання/запис/виконання), мандатного контексту безпеки, пов'язаного з кожним суб'єктом, і мандатної мітки, пов'язаної з об'єктом.

Механізм мандатного розмежування доступу зачіпає такі підсистеми:

  • механізми IPC;
  • стек TCP/IP (IPv4);
  • файлові системи Ext2/Ext3/Ext4;
  • мережеву файлову систему CIFS;
  • файлові системи proc, tmpfs.

В Astra Linux Special Edition існує 256 мандатних рівнів доступу (від 0 до 255) і 64 мандатних категорії доступу

Під час роботи на різних мандатних рівнях і категоріях операційна система формально розглядає одного й того ж користувача, але з різними мандатними рівнями, як різних користувачів та створює для них окремі домашні каталоги, одночасний прямий доступ користувача до яких не допускається.

Модель контролю і керування доступом

Замість системи примусового контролю доступу SELinux, в Astra Linux Special Edition використовується запатентована[28] мандатна сутнісно-рольова ДП-модель керування доступом та інформаційними потоками (МРОСЛ ДП-модель)[29], позбавлена недоліків моделі Бела — ЛаПадули (декласифікація, порушення логіки доступу до даних під час обробки потоку інформації в розподіленому середовищі) і містить додаткові способи розмежування доступу, наприклад, два рівні цілісності системи[30].

На відміну від класичної моделі мандатного керування доступом, у МРОСЛ ДП-моделі додатково до мандатного керування доступом реалізовано мандатний контроль цілісності дистрибутива і файлової системи (перешкоджає доступу до інформації, що захищається, скомпрометованими суб'єктами після перехоплення керування і підвищення привілеїв (одержання прав), передбачено рольове управління доступом, наявність ієрархії сутностей та застосовано протидію забороненим потоків за пам'яттю і за часом[31].

Зазначену математичну модель реалізували в програмному коді фахівці АТ «НВО „РусБИТех“» та Академії ФСБ Росії і верифікував Інститутом системного програмування Російської академії наук. В результаті дедуктивної верифікації[32] модель повністю формалізовано і верифіковано[33].

Нині використовувана в Astra Linux Special Edition модель розмежування доступу є єдиною практично реалізованою моделлю, не заснованою на SELinux, у російських реалізаціях операційних систем на базі Linux.

Захист від експлуатації вразливостей

До складу ядра операційної системи Astra Linux включено набір змін PaX, що забезпечує роботу програмного забезпечення в режимі найменших привілеїв і захист від експлуатації різних вразливостей у програмному забезпеченні:

  • заборона запису в ділянку пам'яті, позначену як виконувана;
  • заборона створення виконуваних ділянок пам'яті;
  • заборона переміщення сегмента коду;
  • заборона створення виконуваного стека;
  • випадковий розподіл адресного простору процесу.

Інші функції

  • Очищення оперативної і зовнішньої пам'яті і гарантоване видалення файлів: операційна система виконує очищення невикористовуваних блоків файлової системи безпосередньо при їх звільненні, використовуючи маскувальні послідовності.
  • Маркування документів: розроблений механізм маркування дозволяє серверу друкуCUPS) проставляти необхідні облікові дані в документах, які виводяться на друк. Мандатні атрибути автоматично зв'язуються із завданням для друку на основі мандатного контексту одержуваного мережевого з'єднання. Виведення на друк документів без маркування суб'єктами доступу, що працюють у мандатному контексті з грифом вище «несекретно», неможливий.
  • Реєстрація подій: розширена підсистема протоколювання, інтегрована у всі компоненти операційної системи, надійно реєструє події з використанням спеціального сервісу parlogd.
  • Механізми захисту інформації в графічній підсистемі: графічна підсистема включає Х-сервер Xorg, настроюваний робочий стіл Fly, а також низку програмних засобів, призначених як для користувачів, так і для адміністраторів системи. Проведено роботу щодо створення і запровадження в графічну підсистему необхідних механізмів захисту інформації, що забезпечують виконання мандатного розмежування доступу в графічних програмах, запущених у власному ізольованому оточенні.
  • Механізм контролю замкнутості програмного середовища: реалізовано механізм, що забезпечує перевірку незмінності та достовірності завантажуваних файлів у форматі ELF. Перевірка проводиться на основі перевірки векторів автентичності, розрахованих відповідно до ГОСТ Р 34.10-2012 і вбудованих у виконувані файли в процесі збирання.
  • Контроль цілісності: для контролю цілісності застосовується функція хешування відповідно до ГОСТ Р 34.11-94.1[34].

Системні вимоги

Рекомендації щодо параметрів апаратної платформи для Astra Linux[35]
Параметр Мінімальні значення:
  • без стільниці Fly;
  • без графічних застосунків;
  • без великого навантаження
Рекомендовані значення: робота з робочим столом Fly, графічними застосунками, високонавантаженими застосунками
Апаратна платформа Процесор з архітектурою x86-64 (AMD, Intel)
Оперативна пам'ять Не менше 1 ГБ Від 4 ГБ
Обсяг вільного дискового простору Не менше 4 ГБ Від 16 ГБ
Монітор Допускається робота в режимі без монітора Стандартний монітор SVGA

Див. також

Примітки

  1. Звезда по имени Linux: почему «военные» ОС прочнее
  2. Получен сертификат ФСБ на Astra Linux. Архів оригіналу за 14 липня 2014. Процитовано 6 липня 2014.
  3. Включена в Единый реестр российских программ…
  4. Минобороны переведет компьютеры с Windows на Astra Linux — Реальное время
  5. Звезда по имени Linux: почему «военные» ОС прочнее — Компьютерра-Онлайн
  6. Исходники ядра — AstraLinux Wiki
  7. Derivatives/Census/AstraLinux - Debian Wiki
  8. ГК Astra Linux расширяет сотрудничество с The Linux Foundation — CNews
  9. The Document Foundation welcomes RusBITech in the project Advisory Board — The Document Foundation Blog
  10. Основные компоненты операционной системы. Архів оригіналу за 5 березня 2018. Процитовано 4 березня 2018.
  11. «Мой офис» укоренился в Linux для работы с совершенно секретными документами — CNews
  12. Архивированная копия. Архів оригіналу за 27 лютого 2018. Процитовано 27 лютого 2018.
  13. Крым импортозамещается. «РусБИТех» и «Крымтехнологии» приступили к сотрудничеству
  14. Крым может стать примером для всей России по стратегически важному вопросу | иNтерМонитор.ру
  15. РусБИТех и Huawei подписали соглашение о сотрудничестве
  16. Стійковий сервер Huawei RH2288H V3, маркований як сумісний з Astra Linux
  17. Российская ОС Astra Linux внедрена на Тяньваньской АЭС — CNews
  18. Военные сказали Windows «прощай» | Статьи | Известия
  19. OpenNews: Минобороны РФ планирует перевести все служебные компьютеры на Astra Linux
  20. Astra Linux поставят на смартфоны — Газета Коммерсантъ № 100 (6580) от 13.06.2019
  21. Продукция — Astra Linux Common Edition | ОАО «НПО РусБИТех»
  22. Назначение. Архів оригіналу за 17 липня 2014. Процитовано 20 липня 2014.
  23. Операционная система «Astra Linux» заработала на процессорах «Эльбрус». 27 лютого 2018. Архів оригіналу за 27 лютого 2018. Процитовано 19 червня 2020.
  24. Версия 1.4(рос.)
  25. Завершён инспекционный контроль версии 1.5 релиза "Смоленск" операционной системы специального назначения "Astra Linux Special Edition". astra-linux.com. Архів оригіналу за 8 травня 2016. Процитовано 20 квітня 2016.
  26. Вышла фиксированная версия 1.11 релиза "Орёл". astra-linux.com. Архів оригіналу за 21 квітня 2016. Процитовано 1 квітня 2016.
  27. Изменения в версии 1.11. astra-linux.com. Архів оригіналу за 22 квітня 2016. Процитовано 1 квітня 2016.
  28. Патент на изобретение №2525481. www1.fips.ru. Процитовано 29 вересня 2015.
  29. П. Н. Девянин, “Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели”, ПДМ. Приложение, 2014, № 7, 82–85. www.mathnet.ru. Процитовано 29 вересня 2015.
  30. «Хакер» — Русский бронированный Debian. Как устроена новая модель управления доступом в Astra Linux SE. Архів оригіналу за 8 грудня 2015. Процитовано 5 грудня 2015.
  31. ОБЗОРНЫЕ ЛЕКЦИИ ПО МОДЕЛЯМ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ — тема научной статьи по общим и комплексным проблемам технических и прикладных наук и отраслей народного хозяйства…
  32. Центр верификации ОС Linux. Дедуктивная верификация модулей ядра. Linux Deductive Verification.
  33. И. Щепетков. Rodin — платформа для разработки и верификации моделей на Event-B.
  34. Ключевые особенности. Архів оригіналу за 16 липня 2014. Процитовано 18 липня 2014.
  35. Рекомендации по параметрам аппаратной платформы для Astra Linux - Справочный центр - Справочный центр Astra Linux. wiki.astralinux.ru. Процитовано 21 лютого 2020.

Посилання

Література

  • Буренин П.В., Девянин П.Н., Лебеденко Е.В., Проскурин В.Г., Цибуля А.Н. . Безопасность операционной системы специального назначения Astra Linux Special Edition. — М. : Горячая линия - Телеком, 2016. — 312 с. — ISBN 978-5-9912-0623-5.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.