Обзор Astra Linux, операционной системы для спецслужб и силовиков
Пока американские санкции грозят Huawei, корпорация не дремлет. Судьба Android на борту её смартфонов пока не ясна, однако лэптопы для китайского рынка уже получили Deepin Linux.
Что будет дальше? Кажется, российский рынок тоже получил собственный дистрибутив: компания объявила о том, что серверные решения будут поставляться с Astra Linux на борту.
Что это такое?
Astra Linux — операционная система специального назначения на базе ядра Linux, созданная для комплексной защиты информации и построения защищённых автоматизированных систем.
Первоначальная разработка была организована для нужд российских силовиков, спецслужб и государственных органов. Для снижения порога входимости и популяризации релиз разделили на
Первая предназначена для рядовых пользователей и разработчиков. Вторая как раз и является «военной» ОС, соответствующей всем необходимым стандартам.
Важной особенностью Astra Linux стала защита ОС, используемых данных и программ: система обеспечивает степень защиты обрабатываемой информации до уровня государственной тайны «особой важности» включительно.
То есть даже самые важные документы не утекут, что подтверждает наличие сертификата Минобороны, ФСТЭК и ФСБ России. Даже «товарищ майор» без физического контакта с компьютером ничего не получит.
Включена в Единый реестр российских программ Минкомсвязи России, поэтому может использоваться для исполнения перехода приказа о переходе на отечественный софт в коммерческих и некоммерческих организациях.
Разработчикам системы в лице АО «НПО РусБИТех» удалось, по их словам, увязать законодательные требования Российской Федерации к операционным системам с «духом и требованиям лицензии GPL».
У Astra есть даже свой комплекс виртуализации. Похвально
Astra Linux неожиданно среди массы защищенных российских дистрибутивов оказалась самой удачливой: именно она станет основной для Министерства обороны.
Первые движения начались уже в 2018: тогда военные приняли решение об отказе от Windows в пользу Astra, а в этом году появились предсерийные варианты планшетов для использования в особо ответственных задачах (об этом расскажем ниже).
Основа Astra Linux и её варианты
Базовым дистрибутивом для Astra cтал Debian, что позволяет использовать стандартные пакеты для устновки на базе .deb.
Исходные коды к пользовательской версии ОС доступны на сайте разработчика. Доступ к исходникам продвинутых защищенных вариантов осуществляется по запросу.
Благодаря этому Astra стала «официально признанной» веткой Debian, а АО «НПО РусБИТех» заключило партнерское соглашение с The Linux Foundation и The Document Foundation.
Открытый исходный код, защита и нормальные программы? Реальность, если есть серьезные партнеры.
Система оптимизирована для всех существующих платформ, включая дистрибутивы для
- настольных компьютеров и ноутбуков х86/х64 («Смоленск» и «Орел»),
- ARM-платформ («Новороссийск»),
- процессоров «Эльбрус» («Ленинград»),
- отказоусточивых серверов с архитектурой IBM System z («Мурманск»),
- MIPS-систем («Севастополь»),
- POWER-систем («Керчь»).
Таким образом обеспечивается единая среда для разработки и эксплуатации одних и тех же пакетов на любых компьютерах, оборудовании и даже интегрированных решений. Унификация в таких случаях очень удобна.
Кроме того, в ходе реализации партнерского соглашения с Huawei, в феврале 2019 года оптимизированная версия дистрибутива была внедрена на Тяньваньской АЭС в серверных системах китайского партнера.
Как реализуется защита ОС?
Стартовое окно не выдает терминатора среди ОС
Astra Linux Special Edition рассматривает одного и того же пользователя в зависимости от действия как разных пользователей (так называемый «мандатный доступ») и создаёт для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.
Всего система использует 256 уровней доступа (от 0 до 255) и 64 категории доступа, разграничивающий допуск к различным операциям с файлами, файловой системой, стеком TCP/IP и многое другое.
Принятие решения о запрете или разрешении доступа пользователя или программы к файлу или его блоку принимается на основе типа операции (чтение/запись/исполнение) и шаблонного эталона безопасности на основе собственной запатентованной модели, распространяющейся на информационные потоки в системе.
Включающаяся в патент уникальная иерархия позволяет точно отличать пользователя от зловреда или несанкционированного управления извне и самостоятельно определять ОС скомпрометированные (несоответствующие правилам доступа) файлы и препятствовать доступу таким файлам или операциям к дистрибутиву и файловой системе.
Система контролирует каждый шаг программ
В Astra Linux отсутствует большая часть известных уязвимостей, которым подвержены операционные системы: зловреды не могут работать с памятью, встраиваться в код ОС или запускаться напрямую из сети.
В том случае, если исполняемый код скачивается, его запуск осуществляется в защищенной области памяти, который ограничивает доступ к данным и системе на всех уровнях.
Операционная система, её файлы и отдельные элементы хэшируются, протоколируются и сравниваются с эталонными, что позволяет полностью исключить подмену или изменение кода ОС.
Пользовательские режимы работы
После установки Astra готова к работе без предварительной настройки.
Для тех случаев, когда необходима дополнительная защита, возможно создание новых пользователей с определенными правами и запуск рабочих сессий во вложенном режиме (что-то вроде «окно-в-окне»).
Вложенная сессия
При этом вложенное содержимое полностью изолировано от операционной системы и может быть удалено вместе со всем активным содержимым, при этом пакеты вернутся в исходное состояние до работы.
Сессию можно завершать автоматически по таймеру, либо обычным путем.
Процесс установки: проще, чем Windows
Напрямую можно скачать только пользовательскую версию Common Edition, либо версию Special для разработчиков платформ x86–64 .
Для конечного пользователя большой разницы нет: прокаченная версия имеет необходимые для оборонки сертификаты, у Common их нет. Однако обе работают по общим принципам Astra Linux, реализовывая раздельный доступ согласно заложенным сценариям.
Процесс установки предельно прост и как две капли воды похож на прочие Linux-дистрибутивы.
Из серьезных отличий стоит отметить русскую документацию с картинками по установке и понятный русскоязычный интерфейс с выбором важных мелочей.
Среди прочих и те самые базовые элементы защиты, выделенные отдельным экраном предварительной настройки.
Установка проходит стабильно как на обычный жесткий диск, так и на виртуальную машину.
Для работы системы хватает даже одноядерного процессора с 512 Мб оперативной памяти и 30-гигабайтным накопителем. Комфортная работа предполагает наличие больше 1 Гб ОЗУ и поддержку современных инструкций вычислительных ядер.
Внешний вид: привыкать не придется
Внешний вид Astra Linux максимально г>оптимизирован для простых смертных. Даже загрузочный экран и меню «логин-пароль» привычны и просты.
Рабочий стол спроектирован на основе привычных Windows-интерфейсов, но по умолчанию использует множество особенностей macOS/Linux. Например, по умолчанию действием для запуска файла или программы стал однократный клик вместо двойного.
Пользователю предлагается 4 готовых рабочих стола, на каждом из которых сгруппирован набор значков для доступа к набору программ конкретного назначения.
Есть Win-образный «Пуск» в стилистике старых версий ОС с группировкой встроенных приложений по виду деятельности.
Настройка проводится как в фирменном терминале, так и с использованием графической оболочки через удобную панель управления с массой настроек.
Базовый набор программ: на все случаи жизни
Файл-менеджер наследует двухпанельную идеологию «Проводника» Windows, умеет монтировать архивы как папки и вычислять контрольные суммы, подтверждая целостность компонентов.
Браузер — Mozilla Firefox или Chromium в стандартном облачении для Debian. Скромно и со вкусом.
Редактором графики выступает GIMP, EasyPaint, Inkscape и ряд фирменных приложений для офисной работы с изображениями: сканирования, распознавания, создания скриншотов.
Офисным пакетом выбрали LibreOffice со словариком GoldenDict, а дополняют их просмотрщик qpdfviewer и текстовый редактор JuffEd.
Мультимедийные программы представлены VLC Media Pleer, QasMixer, Audacity, Clementine, guvcview.
В целом, система готова к офисному использованию и не требует установки дополнительных приложений, даже предоставляя определенные альтернативы.
Где брать софт?
Для установки приложений используется apt-get, но базовые приложения Debian требуют ручной установки либо добавки их размешения в список разрешенных репозиториев.
Устанавливается почти все, но ряд приложений потребует дополнительных разрешений или будет функционировать только внутри собственной папки расположения.
Запретов на использование каких-либо приложений нет: защита осуществляется на уровне операционной системы, поэтому ограничения не предусмотрены и подключить можно любой репозиторий. Аналогично с установкой из скаченных пакетов.
При необходимости можно установить и виртуальную машину (существует собственная разработка из состава Astra Dev.), и Wine для запуска Win-приложений.
Единственной проблемой для начинающих пользователей может стать отсутствие пропиетарных видеодрайверов для карт Nvidia. Но поддержка Open GL и Direct X идет из коробки.
При попытке программы совершить «лишнее» действие, например, самостоятельно обратившись к файловой системе вне собственного каталога, Astra предложит подтвердить его окном ввода пароля с подробностями операции.
Настройки и возможности
Полная русификация и удобный графический интерфейс позволяют производить любые настройки операционной системы, вплоть до тонкой отладки разрешений на то или иное действие.
Большая часть настроек не требует терминала и видима из-под пользовательской учетной записи. Работа с ними возможна по вводу соответствующего пароля.
Для выбора подготовлены готовые списки основных пользовательских настроек, вроде удобного изменения времени, способа переключения раскладки или действий системы при подключении того или иного устройства.
Отрезать компьютер от внешних ресурсов или перевести ПК в полностью защищенный режим можно из терминала.
Неудобство доставляет только странная реализация хоткеев: хотя они по умолчанию полностью повторяют аналоги из WIndows, в ряде случаев они перестают работать.
Например, Esc, закрывающий активное окно на рабочем столе или в активной программе, вдруг отказывает действовать в панели настроек.
Мобильные режимы работы
Планшетный режим
Особенно интересны дополнительные режимы работы Astra Linux, которые можно включить прямо на стартовом экране системы: «Планшетный режим» и «Мобильный режим».
И тот, и другой интерфейсы представляют собой базовую оболочку, оптимизированную для работы на сенсорных экранах больших и малых диагоналей соответственно.
Мобильный режим
Курсор в планшетном режиме невидим, кнопка закрытия приложений вынесена на панель задач. Полноэкранные приложения работают несколько иначе, файлы в файл-менеджере также выбираются по-другому. Однако, в удобном интерфейсе запустятся только встроенные в дистрибутив приложения.
Виджеты
Мобильный режим предлагает собственный «лаунчер» fly, напоминающий по внешнему виду и в использовании Android: сходные рабочие столы, логика работы виджетов, долгий тап для вызова меню.
Почему не китайский Deepin
Huawei отказалась от красивого Deepin в пользу Astra. Она надежнее
По всей видимости, Huawei будет использовать Astra для своих серверов в Европе, а так же планирует возможные продажи ноутбуков с Astra.
Почему, ведь Huawei и Honor для внутреннего рынка Китая оснащаются именно предустановленным Deepin?
Китайские разработчики имеют очень неплохой, красивый и удобный Deepin Linux, так же основанном на Debian с собственной средой Deepin Desktop Environment и набором утилит.
Однако в апреле 2018 Deepin Linux версии 15.5 был скомпрометирован шпионским программным обеспечением, замаскированным под стандартную утилиту из ядра системы.
Поэтому Россия стала для Huawei «третьей стороной», гарантом безопасности со стороны операционной системы.
Ощущения от использования Astra
Писать тексты, обрабатывать фотографии и работать с документацией можно
Для тех, кто использовал популярные дистрибутивы Linux, Windows или macOS, Astra Linux станет интуитивно понятной и не потребует сколько-то значимого времени для привыкания.
Интерфейс настолько приближен к существующим стандартам, что справится и бабушка. Аналогично собран набор базовых приложений: все они либо уже использовались пользователем, либо копируют интерфейсы других популярных приложений.
Ресурсов нужно немного
«Железо» определяет моментально, поэтому каких-либо проблем с установкой и запуском не предвится.
На данный момент среди аппаратных партнеров Astra Linux, предоставляющих необходимые данные для оптимизации системы, числятся все свободно продаваемые в России пользовательские и профессиональные решения.
Высшие строки на соответствующей странице занимают Acer, HP, Dell и множество других крупных поставщиков.
Основываясь на всем вышесказанном и собственном опыте, можно подтвердить: Astra полностью готова к массовому внедрению и может использоваться для любых задач.
Стоит ли попробовать?
Одна система для ВСЕХ платформ. Мечты сбываются
Другое дело, стоит ли устанавливать её сейчас? Как и любой уважающий себя Debian, Astra Linux может похвастаться довольно старым ядром и устаревшими репозиториями. Догнать Ubuntu у нее не получится.
Соответственно, даже для «линуксоида» Ubuntu-совместимые дистрибутивы предпочтительнее. А ещё лучше — свежие версии macOS и Windows (выбирать и комбинировать по вкусу).
Интересно использовать Astra в работе. Дома она не нужна
В отсутствии необходимости особой секретности хранимых данных и проводимых операций они быстрее и предлагают больше возможностей в любых сценариях.
Бэкдоры и удобство против старых версий программ с полной защитой? Каждый выбирает сам. Но с Astra не страшно, и довольно удобно.