🥇НАЙС.ОС — минималистичный дистрибутив, собранный с нуля и оптимизированный для контейнеров

Проект НАЙС.ОС развивает самостоятельный Linux-дистрибутив, собираемый «с нуля» из исходного кода и поддерживающий собственную пакетную базу, не заимствующую сценарии сборки пакетов из других дистрибутивов. Проект развивает свой инструментарий, свой набор патчей и свою политику сборки. Для загрузки доступен iso-образ (603 МБ), ориентированный на установку на виртуальные машины (KVM, Proxmox, VMware, VirtualBox и др.).

Дистрибутив распространяется бесплатно для частного и коммерческого использования без ограничений на число устройств. При этом лицензионное соглашение запрещает «модифицировать, адаптировать, переводить, декомпилировать, дизассемблировать или иным образом пытаться получить исходный код, за исключением случаев, прямо разрешённых действующим законодательством или условиями лицензий открытых компонентов». Также запрещено «передавать, продавать, сдавать в аренду, предоставлять в пользование, публиковать или иным образом распространять программный продукт без письменного согласия правообладателя».

НАЙС.ОС позиционируется как серверная система с длительным сроком поддержки (LTS), оптимизированная для виртуальных машин, облачных систем и edge-узлов. Ядро, компиляторы, базовые библиотеки, крипто-стек — всё собрано под единые требования воспроизводимости и безопасности. Проект включён в реестр российского ПО (регистрация означает, что им можно закрывать требования по «отечественному ПО» в госсегменте и у части корпоративных заказчиков).

Поддерживается два подхода: атомарно обновляемый (immutable на базе OSTree) и классический RPM (dnf/dnf5). В атомарном варианте раздел /usr монтируется в режиме только для чтения, обновления применяются целиком для всей системы, для отката неудачных обновлений применяются Btrfs-снапшоты, версии базовой системы рассматриваются как артефакты, которыми можно управлять и раскатывать по узлам через OSTree-репозиторий. Классический RPM-вариант использует управление пакетами через dnf и dnf5, поддерживает ручные и автоматические обновления и предоставляет консольный установщик «niceos-installer».

Дистрибутив предлагает минимальную и предсказуемую базу для контейнеров, в которой нет графического окружения, запускаются только базовые сервисы (systemd, сетевые утилиты, SSH, firewall на nftables/firewalld, базовые мониторинговые утилиты, а всё прикладное ПО предлагается ставить в контейнерах (Docker/Podman/Kubernetes) или отдельными сервисами поверх базы.

На Docker Hub имеются официальные образы контейнернов. Подобные образы строятся на основе того же минимального NiceOS Base, работают от непривилегированного пользователя, содержат встроенные SBOM (CycloneDX/SPDX) и отчёты по уязвимостям (Trivy, Grype), снабжены встроенными отчётами для офлайн-аудита прямо внутри контейнера.

Имеется поддержка отечественной криптографии (собранный и протестированный стек для тех, кому нужны ГОСТ-требования и аудиты):

GnuPG с ГОСТ (ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012), включая подпись, шифрование и проверку;
OpenSSL с ГОСТ — TLS и утилиты CLI с ГОСТ-криптографией;
libksba/nettle — поддержка ГОСТ в CMS и X.509;
OpenVPN с ГОСТ — готовый сервер с ГОСТ-шифрами, есть скрипт, который разворачивает VPN (PKI, firewall, мониторинг, интеграция с Prometheus) за несколько минут;
Утилиты для контроля целостности на ГОСТ-хешах (gost12sum, профили в openssl dgst и т.п.).

Возможности для повышения безопасности:

SELinux включён по умолчанию;
Используются стандартные флаги защиты при сборке (PIE, RELRO, SSP, FORTIFY_SOURCE и т.д.);
Реализованы сценарии контроля целостности (Secure Boot, IMA, AIDE с ГОСТ-алгоритмами);
Каждый RPM-пакет подписан, есть модель Zero-Trust PKI: по умолчанию не доверяется тому, что не прошло проверку;
Для пакетов и образов генерируются SBOM и отчёты по уязвимостям.

Возможности для виртуальных и облачных систем:

Заявлена поддержка конфиденциальных виртуальных машин (AMD SEV-SNP, Intel TDX). Имеются утилиты для аттестации виртуальных машин в таких сценариях.
Официальный образ НАЙС.ОС 5.2 доступен в Yandex Cloud Marketplace как виртуальная машина, в состав которой уже входят Docker, glibc и Python 3.12; дистрибутив помечен как находящийся в реестре российского ПО;
В Cloud.ru Marketplace дистрибутив описан как «российская минималистичная ОС для контейнеров. Образ для VM, Docker и Kubernetes»;
Отдельная редакция NiceOS V оптимизирована под гипервизоры (Proxmox, VMware ESXi, KVM/QEMU, AWS/Yandex Cloud/Google Cloud и т.п.), с минимальным набором сервисов и акцентом на автоматизированные установки через Kickstart/JSON.

Среди используемых версий: