ProHoster > Blog > noticias de internet > NICE.OS es una distribución minimalista creada desde cero y optimizada para contenedores.

NICE.OS es una distribución minimalista creada desde cero y optimizada para contenedores.

El proyecto NICE.OS desarrolla una distribución Linux independiente, creada desde cero a partir del código fuente y con su propia base de paquetes, que no utiliza scripts de compilación de otras distribuciones. El proyecto desarrolla su propio kit de herramientas, conjunto de parches y política de compilación. Hay disponible una imagen ISO (603 MB) para descargar, diseñada para su instalación en máquinas virtuales (KVM, Proxmox, VMware, VirtualBox, etc.).

La distribución está disponible gratuitamente para uso privado y comercial, sin restricciones de dispositivo. El acuerdo de licencia prohíbe «modificar, adaptar, traducir, descompilar, desensamblar o intentar derivar el código fuente, salvo que lo permita expresamente la legislación aplicable o las licencias de código abierto». También prohíbe «transferir, vender, arrendar, prestar, publicar o distribuir el software sin el consentimiento por escrito del titular de los derechos de autor».

NICE.OS se posiciona como un sistema de servidor con soporte a largo plazo (LTS) optimizado para máquinas virtuales, sistemas en la nube y nodos perimetrales. El kernel, los compiladores, las bibliotecas principales y la pila de cifrado se ensamblan para cumplir con los requisitos unificados de reproducibilidad y seguridad. El proyecto está incluido en el registro de software ruso (el registro significa que puede cumplir con los requisitos de "software doméstico" en el sector público y para algunos clientes corporativos).

Se admiten dos enfoques: actualización atómica (inmutable, basada en OSTree) y RPM clásico (dnf/dnf5). En el enfoque de actualización atómica, la partición /usr se monta en modo de solo lectura, las actualizaciones se aplican a todo el sistema, se utilizan instantáneas de Btrfs para revertir las actualizaciones fallidas y las versiones base del sistema se tratan como artefactos que se pueden administrar e implementar en los nodos a través del repositorio de OSTree. El enfoque RPM clásico utiliza la gestión de paquetes mediante dnf y dnf5, admite actualizaciones manuales y automáticas, y proporciona un instalador de consola: "niceos-installer".

La distribución ofrece una base mínima y predecible para contenedores, en la que no hay un entorno gráfico, solo se lanzan servicios básicos (systemd, utilidades de red, SSH, firewall en nftables/firewalld, utilidades básicas de monitoreo) y se propone que todo el software de aplicación se instale en contenedores (Docker/Podman/Kubernetes) o como servicios separados sobre la base.

Las imágenes oficiales del contenedor están disponibles en Docker Hub. Estas imágenes se basan en la misma base mínima de NiceOS, se ejecutan como un usuario sin privilegios, incluyen SBOM integrado (CycloneDX/SPDX) e informes de vulnerabilidades (Trivy, Grype), y están equipadas con informes integrados para auditoría sin conexión directamente dentro del contenedor.

Hay soporte para criptografía doméstica (una pila preensamblada y probada para aquellos que necesitan requisitos y auditorías GOST):

  • GnuPG con GOST (GOST R 34.10-2012 y GOST R 34.11-2012), incluyendo firma, cifrado y verificación;
  • OpenSSL con GOST - Utilidades TLS y CLI con criptografía GOST;
  • libksba/nettle — soporte GOST en CMS y X.509;
  • OpenVPN con GOST es un servidor listo para usar con cifrado GOST. Incluye un script que implementa una VPN (PKI, firewall, monitorización e integración con Prometheus) en minutos.
  • Utilidades para el control de integridad de los hashes GOST (gost12sum, perfiles en openssl dgst, etc.).

Oportunidades para mejorar la seguridad:

  • SELinux está habilitado de forma predeterminada;
  • Se utilizan indicadores de protección de compilación estándar (PIE, RELRO, SSP, FORTIFY_SOURCE, etc.);
  • Se han implementado escenarios de control de integridad (Secure Boot, IMA, AIDE con algoritmos GOST);
  • Cada paquete RPM está firmado, existe un modelo PKI de confianza cero: por defecto, todo lo que no haya pasado la verificación no es confiable;
  • Se generan informes de SBOM y vulnerabilidad para paquetes e imágenes.

Características para sistemas virtuales y en la nube:

  • Se anuncia la compatibilidad con máquinas virtuales sensibles (AMD SEV-SNP, Intel TDX). Existen utilidades para la certificación de máquinas virtuales en estos casos.
  • La imagen oficial de NICE.OS 5.2 está disponible en Yandex Cloud Marketplace como una máquina virtual, que ya incluye Docker, glibc y Python 3.12; la distribución está marcada como parte del registro de software ruso;
  • En Cloud.ru Marketplace, la distribución se describe como "un sistema operativo minimalista ruso para contenedores. Una imagen para máquinas virtuales, Docker y Kubernetes".
  • Una edición separada de NiceOS V está optimizada para hipervisores (Proxmox, VMware ESXi, KVM/QEMU, AWS/Yandex Cloud/Google Cloud, etc.), con un conjunto mínimo de servicios y un énfasis en instalaciones automatizadas a través de Kickstart/JSON.

Entre las versiones utilizadas:

  • Linux 6.13.x,
  • GCC 14.3, Glibc 2.41,
  • OpenSSL 3.5.1 (con extensiones bajo GOST),
  • systemd 257, coreutils 9.6.

Fuente: opennet.ru

Añadir un comentario