НАЙС.ОС — минималистичный дистрибутив, собранный с нуля и заточенный под контейнеры13.12.2025 10:00

Сайт проекта: https://niceos.ru/ Страница загрузки: https://niceos.ru/about-niceos

С точки зрения архитектуры НАЙС.ОС ближе к «LFS-подходу для продакшена»: ядро, компиляторы, базовые библиотеки, крипто-стек — всё собрано под единые требования воспроизводимости и безопасности. В текущей ветке заявлены:

• Linux 6.13.x LTS
• GCC 14.3, Glibc 2.41
• OpenSSL 3.5.1 (с расширениями под ГОСТ)
• systemd 257, coreutils 9.6

Диапазон сценариев у НАЙС.ОС делится на два основных режима:

1. Immutable-подход (OSTree / «слой-снимок») Для сценариев «поставил и не трогаю» и для облаков есть режим с концепцией immutable Linux:

   • системный слой (/usr) монтируется как read-only;
   • обновления применяются атомарно целиком, как один «снимок» системы;
   • Btrfs-снапшоты и интеграция с GRUB позволяют откатывать неудачные обновления за один ребут;
   • версии базовой системы рассматриваются как артефакты, которыми можно управлять и раскатывать по узлам (через OSTree-репозиторий).

   В документации это отдельная линия: «OSTree в НАЙС.ОС CLOUD» с объяснением, как собирать и публиковать репозиторий базовой системы и использовать его как единый источник для всей инфраструктуры.

2. Классический RPM-вариант (dnf/dnf5) Параллельно доступен привычный RPM-подход:

   • управление пакетами через dnf и dnf5;
   • стандартные подписанные репозитории, зеркала и локальные репы;
   • ручные и автоматические обновления, dnf-automatic, использование Kickstart-файлов и PXE для массовых установок.

   Эта линия идёт через специальную сборку NiceOS V, описанную как минималистичная редакция без графики и «лишних» демонов, заточенная под ВМ, CI/CD, шаблоны образов (OVA/QCOW2/AMI) и headless-режимы. Там же свой консольный установщик niceos-installer, который можно крутить в автоматизированных пайплайнах.

Смысл в том, что можно выбрать: либо максимально предсказуемую immutable-базу с OSTree, либо гибкую RPM-среду, где пакеты ставятся и удаляются «по-старому», но всё равно поверх единой минималистичной платформы.

Главная идея НАЙС.ОС — быть минимальной и предсказуемой базой для контейнеров, а не «универсальным десктопом». В типовой установке:

• нет графического окружения;
• стартуют только базовые сервисы (systemd, сетевые утилиты, SSH, firewall на nftables/firewalld, базовые мониторинговые утилиты);
• всё прикладное предполагается ставить в контейнерах (Docker/Podman/Kubernetes) или отдельными сервисами поверх базы.

Отсюда логично вытекают официальные контейнерные образы на Docker Hub:

• базовый образ: niceos/base-os
• рантаймы: niceos/openjdk21, niceos/openjdk25, niceos/redis, niceos/haproxy и др.

Организация на Docker Hub: https://hub.docker.com/u/niceos

К контейнерной экосистеме есть отдельный сайт/описание: https://nice-soft.com/ (nice-soft.com)

По задумке авторов, эти образы:

• строятся на базе того же минимального NiceOS Base;
• работают от непривилегированного пользователя;
• содержат встроенные SBOM (CycloneDX/SPDX) и отчёты по уязвимостям (Trivy, Grype), причём критичные CVE могут блокировать публикацию;
• снабжены встроенными отчётами для офлайн-аудита прямо внутри контейнера.

Отдельный блок — поддержка отечественной криптографии. В разделе загрузки явно указано, что ключевые компоненты собраны с поддержкой ГОСТ-алгоритмов:

• GnuPG с ГОСТ (ГОСТ Р 34.10–2012 и ГОСТ Р 34.11–2012), включая подпись, шифрование и проверку;
• OpenSSL с ГОСТ — TLS и утилиты CLI с ГОСТ-криптографией;
• libksba/nettle — поддержка ГОСТ в CMS и X.509;
• OpenVPN с ГОСТ — готовый сервер с ГОСТ-шифрами, есть скрипт, который разворачивает VPN (PKI, firewall, мониторинг, интеграция с Prometheus) за несколько минут;
• утилиты для контроля целостности на ГОСТ-хешах (gost12sum, профили в openssl dgst и т.п.).

Проект делает акцент на жёстком hardening и контроле цепочки поставки:

• SELinux включён по умолчанию;
• используются стандартные флаги защиты при сборке (PIE, RELRO, SSP, FORTIFY_SOURCE и т.д.);
• реализованы сценарии контроля целостности (Secure Boot, IMA, AIDE с ГОСТ-алгоритмами);
• каждый RPM подписан, есть модель Zero-Trust PKI: по умолчанию не доверяется тому, что не прошло проверку;
• для пакетов и образов генерируются SBOM и отчёты по уязвимостям.

Отдельная документация по безопасности и цепочке поставки доступна на сайте: https://niceos.ru/docs

Каталог пакетов (со списком версий, хешами GOST/SHA256 и описаниями) — на https://packages.niceos.ru/

Заточка под облака и ВМ

С точки зрения использования «из коробки», НАЙС.ОС ориентируется именно на виртуальные и облачные сценарии:

• официальный образ НАЙС.ОС 5.2 доступен в Yandex Cloud Marketplace как виртуальная машина, в состав которой уже входят Docker, glibc и Python 3.12; дистрибутив помечен как находящийся в реестре российского ПО; (yandex.cloud)
• в Cloud.ru Marketplace дистрибутив описан как «российская минималистичная ОС для контейнеров. Образ для VM, Docker и Kubernetes»; (Cloud.ru)
• отдельная редакция NiceOS V оптимизирована под гипервизоры (Proxmox, VMware ESXi, KVM/QEMU, AWS/Yandex Cloud/Google Cloud и т.п.), с минимальным набором сервисов и акцентом на автоматизированные установки через Kickstart/JSON.

Заявлена поддержка конфиденциальных виртуальных машин (AMD SEV-SNP, Intel TDX) и утилиты для аттестации ВМ в таких сценариях.

Тем, кто интересуется immutable-подходом (OSTree), контейнер-first-архитектурой и инфраструктурными дистрибутивами «не из большого зоопарка клонов», проект вполне можно покрутить в тестовых ВМ или в облаке и обсудить результаты в комментариях.