- Всё лучше и лучше. Очередное глобальное обновление российской ОС Astra Linux до версии 1.7.2.
- Ядерная защита в Astra Linux SE 1.6 и как ее включить. Ядро Hardened
- Ядро hardened в Astra Linux SE 1.6
- Включаем использование ядра hardened в Astra Linux SE 1.6
- Ядерная защита в Astra Linux SE 1.6 и как ее включить. Ядро Hardened
- Ядро hardened в Astra Linux SE 1.6
- Включаем использование ядра hardened в Astra Linux SE 1.6
Всё лучше и лучше. Очередное глобальное обновление российской ОС Astra Linux до версии 1.7.2.
Всем привет, отечественные разработчики софта и программного обеспечения в последнее время радуют новыми продуктами, а так же бурным развитием актуальных. Оно и понятно, политическая ситуация в мире, наконец-то заставила чиновников выделить средства на отечественных разработчиков и в целом начать процесс миграции на своё железо и ПО.
Я не раз писал о продукции АО «НПО РусБИТех», в частности об их операционной системе Astra Linux, которая является самой широко разрекламированной и оснащенной отечественной системой на данный момент. Astra единственная российская и одна из немногих операционных систем на ядре Linux, которая имеет собственное DE под названием Fly. (Desktop Environment, по русски — окружение рабочего стола с набор программ для работы с системой в графическом окружении). Своё DE удовольствие дорогое, порой развитие данного окружение занимает 8-10 лет, даже легендарная Ubuntu недавно отказалась от собственного DE Unity, компания Canonical финансового не потянула поддержку DE.
Зачем изобретать свой «велосипед»? Ведь есть готовые DE, такие как Gnome, Xfce или KDE. Это необходимое требование заказчиков, ведь изначально Astra разрабатывалась с 2009 года для госучреждений, МВД, ФСБ и МО России, а значит это защищенная система, где нет места для сторонних, свободных DE, где может быть огромное количество «дыр» в безопасности. Теперь к теме, недавно на мою Astra Linux 1.7.1 прилетело глобальное обновление до версии 1.7.2 в которой полно изменений и нововведений.
Изменений более сотни, все перечислять не буду, но обозначу некоторые, а именно: закрыто более 500 уязвимостей в различных программных компонентах, добавлено ядро Linux версии 5.15 (LTS) с поддержкой новых чипсетов от Intel и AMD и современных видеокарт. Ядро 5.15 вошло в двух вариантах — обычном (generic) и с усиленной защищенностью (hardened).
Наиболее значимые изменения: новый драйвер NTFS с поддержкой записи; поддержка механизма fs-verity в файловой системе Btrfs;
улучшена производительность файловых систем EXT4, XFS, OverlayFS и NFS;
добавлен новый системный вызов process mrelease для систем реагирования на нехватку памяти; добавлена поддержка EFI-разделов с нестандартным размещением таблиц GPT, добавлен пакет ca-certificates-local, содержащий сертификат удостоверяющего центра Минцифры России, улучшена синхронизация меток безопасности на файловых системах OCFS2 и Ceph.
Добавили новые инструменты в оснастку панели управления, так же немного улучшили интерфейс DE, перерисовали некоторые иконки рабочего стола, поменяли некоторые элементы аналога «пуск» и добавили с десяток оригинальных обоев с абстракцией и природы. Репозиторий тоже расширили, появились новые программы и даже по умолчанию завезли Яндекс.Браузер полноценный, не Beta. В 1.7.1 конкретно в моём случае, были проблемы с настройками драйверов Nvidia, не получалось настроить G-Sync, что приводило к разрывам картинки по горизонтали при просмотре фильмов или роликов с YouTube.
В 1.7.2 данная проблема исчезла, система корректно сохранила параметры Force composition pipeline c которыми были проблемы. Стоит отметить, система стала работать стабильнее с новым софтом, в частности в Steam. Я не часто играю на ПК, времени нет, но для эксперимента запустил через игровой клиент CyberPunk 2077 и проблем не было как и с еще 4-мя играми, которые были запущены для теста стабильной работы. Забегая вперед отмечу, что работа Port Proton на 1.7.2 тоже подтверждена, всё работает без нареканий, хотя при установки некоторых пакетов была ошибка, в общем поиграть в современные игрушки можно.
Итог: операционная система Astra Linux прошла долгий путь в 13 лет, от очень странной и неприглядной системы специального назначения, до практически национальной ОС. В условиях санкций, компания разработчик «НПО РусБИТех», увеличило численность программистов в несколько раз, что позволило подтянуть ОС до приличного уровня сделав её чуть ли не самой защищённой на рынке систем на ядре Linux, так же компания развивает облачные сервисы и даже ведёт работы над собственным СУБД. В общем работа по импортозамещению провалена не везде и в этом направлении есть достойные решения и надеюсь экспансия отечественного софта продолжиться несмотря ни на что.
# astra linux #импортозамещение #it-технологии #санкции против россии #техника #компьютеры #процессоры #российский софт #компьютерные игры
Ядерная защита в Astra Linux SE 1.6 и как ее включить. Ядро Hardened
Как защититься от ядерных эксплоитов эксплуатирующих уязвимости ядра Linux? Рассмотрим как это реализовано в отечественной ОС Astra Linux SE 1.6.
Многие из Вас слышали, а кто-то давно уже использует ОС Astra Linux SE 1.6 — отечественную операционную систему, сертифицированную по ФСБ, Минобороны и ФСТЭК России. На платформе Astra Linux развернуты и функционируют десятки информационных систем — как в государственных, так и в коммерческих структурах. На фоне определенного ажиотажа вокруг отечественных ОС и темы импортозамещения становится особенно актуально применение Astra Linux SE. Много слов сказано о безопасности этой операционной системы и большинство пользователей считают, что достаточно просто установить ОС Astra Linux и они получат безопасную среду для работы автоматически, ничего не настраивая. Конечно это не так. И в этой статье я расскажу об одном из основных компонентов комплекса средств защиты (КСЗ) — ядре hardened и покажу как нужно его использовать.
Ядро hardened в Astra Linux SE 1.6
Ядро hardened — это несколько изменений в компиляторе и ядре, которые увеличивают общую защищенность системы от взлома. Ядро hardened умеет блокировать массу потенциально опасных операций. В ОС Astra Linux SE 1.6 поставляется две версии ядра — это hardened и generic. Ядро hardened более компактное по размеру. Из него убраны многие компоненты, которые не используются для обычной работы, но могут использоваться для отладки. Так же в этом ядре присутствуют технологии, которые обеспечивают очистку информации стека ядра после системных вызовов. Это позволяет защититься от некоторых эксплоитов, которые нацелены на считывание неочищенной информации после системных вызовов.
На практике hardened ядро на несколько (2-3%) медленнее, чем ядро generic, но оно обеспечивает эффективную защиту от эксплоитов, которые нацелены на эксплуатацию уязвимостей ядра (ядерных эксплоитов).
Ограничения по работе с памятью в ядре hardened:
- запрет записи в область памяти, помеченную как исполняемая;
- запрет создания исполняемых областей памяти;
- запрет перемещения сегмента кода;
- запрет создания исполняемого стека;
- случайное распределение адресного пространства процесса;
- очистка остаточной информации из стека ядра после системных вызовов.
Включаем использование ядра hardened в Astra Linux SE 1.6
Включить использование ядра hardened можно во время установки Astra Linux SE 1.6 и позже, уже непосредственно в установленной ОС.
Во время установки Astra Linux SE 1.6 эта настройка делается в разделе «Дополнительные настройки ОС».
Для того, чтобы ОС по умолчанию загружала ядро hardened необходимо отметить параметр «Использовать по умолчанию ядро Hardened».
Так же, чтобы исключить возможность выбора пользователем варианта загрузки незащищенного ядра generic, необходимо в этом же разделе установить параметр «Запретить вывод меню загрузчика».
Если Вы не установите параметры описанные выше, и продолжите установку Astra Linux SE 1.6, то после установки ОС, во время загрузки, по умолчанию будет загружаться незащищенное ядро generic, а не hardened. Так же, с такими настройками, у пользователя будет возможность выбора ядра generic для загрузки.
Скорее всего, такая ситуация с загрузкой по умолчанию незащищенного ядра generic встретится у многих администраторов. Для того, чтобы настроить загрузку защищенного ядра hardened в уже установленной ОС, необходимо администратором (высокоцелостным root) в графическом интерфейсе открыть — «Панель управления — Система — Загрузчик GRUB2» и сделать следующие настройки:
- «Запись по умолчанию» — ядро hardened
- «Следующая запись станет загружаемой по умолчанию» — выбрать
- «Автоматически загружать запись по умолчанию после показа меню» — немедленно
После этих настроек, ОС будет сразу загружаться с защищенным ядром hardened, а возможность у пользователя выбрать для загрузки незащищенное ядро generic будет отсутствовать.
Ядерная защита в Astra Linux SE 1.6 и как ее включить. Ядро Hardened
Как защититься от ядерных эксплоитов эксплуатирующих уязвимости ядра Linux? Рассмотрим как это реализовано в отечественной ОС Astra Linux SE 1.6.
Многие из Вас слышали, а кто-то давно уже использует ОС Astra Linux SE 1.6 — отечественную операционную систему, сертифицированную по ФСБ, Минобороны и ФСТЭК России. На платформе Astra Linux развернуты и функционируют десятки информационных систем — как в государственных, так и в коммерческих структурах. На фоне определенного ажиотажа вокруг отечественных ОС и темы импортозамещения становится особенно актуально применение Astra Linux SE. Много слов сказано о безопасности этой операционной системы и большинство пользователей считают, что достаточно просто установить ОС Astra Linux и они получат безопасную среду для работы автоматически, ничего не настраивая. Конечно это не так. И в этой статье я расскажу об одном из основных компонентов комплекса средств защиты (КСЗ) — ядре hardened и покажу как нужно его использовать.
Ядро hardened в Astra Linux SE 1.6
Ядро hardened — это несколько изменений в компиляторе и ядре, которые увеличивают общую защищенность системы от взлома. Ядро hardened умеет блокировать массу потенциально опасных операций. В ОС Astra Linux SE 1.6 поставляется две версии ядра — это hardened и generic. Ядро hardened более компактное по размеру. Из него убраны многие компоненты, которые не используются для обычной работы, но могут использоваться для отладки. Так же в этом ядре присутствуют технологии, которые обеспечивают очистку информации стека ядра после системных вызовов. Это позволяет защититься от некоторых эксплоитов, которые нацелены на считывание неочищенной информации после системных вызовов.
На практике hardened ядро на несколько (2-3%) медленнее, чем ядро generic, но оно обеспечивает эффективную защиту от эксплоитов, которые нацелены на эксплуатацию уязвимостей ядра (ядерных эксплоитов).
Ограничения по работе с памятью в ядре hardened:
- запрет записи в область памяти, помеченную как исполняемая;
- запрет создания исполняемых областей памяти;
- запрет перемещения сегмента кода;
- запрет создания исполняемого стека;
- случайное распределение адресного пространства процесса;
- очистка остаточной информации из стека ядра после системных вызовов.
Включаем использование ядра hardened в Astra Linux SE 1.6
Включить использование ядра hardened можно во время установки Astra Linux SE 1.6 и позже, уже непосредственно в установленной ОС.
Во время установки Astra Linux SE 1.6 эта настройка делается в разделе «Дополнительные настройки ОС».
Для того, чтобы ОС по умолчанию загружала ядро hardened необходимо отметить параметр «Использовать по умолчанию ядро Hardened».
Так же, чтобы исключить возможность выбора пользователем варианта загрузки незащищенного ядра generic, необходимо в этом же разделе установить параметр «Запретить вывод меню загрузчика».
Если Вы не установите параметры описанные выше, и продолжите установку Astra Linux SE 1.6, то после установки ОС, во время загрузки, по умолчанию будет загружаться незащищенное ядро generic, а не hardened. Так же, с такими настройками, у пользователя будет возможность выбора ядра generic для загрузки.
Скорее всего, такая ситуация с загрузкой по умолчанию незащищенного ядра generic встретится у многих администраторов. Для того, чтобы настроить загрузку защищенного ядра hardened в уже установленной ОС, необходимо администратором (высокоцелостным root) в графическом интерфейсе открыть — «Панель управления — Система — Загрузчик GRUB2» и сделать следующие настройки:
- «Запись по умолчанию» — ядро hardened
- «Следующая запись станет загружаемой по умолчанию» — выбрать
- «Автоматически загружать запись по умолчанию после показа меню» — немедленно
После этих настроек, ОС будет сразу загружаться с защищенным ядром hardened, а возможность у пользователя выбрать для загрузки незащищенное ядро generic будет отсутствовать.