Het NAYS.OS-project ontwikkelt zich onafhankelijk. Linux- Een distributie die volledig vanaf nul is opgebouwd vanuit de broncode en een eigen pakketbasis onderhoudt, zonder buildscripts van andere distributies over te nemen. Het project ontwikkelt zijn eigen toolkit, patchset en buildbeleid. Een ISO-image (603 MB) die is ontworpen voor installatie op virtuele machines (KVM, Proxmox, VMware, VirtualBox, enz.) is beschikbaar om te downloaden.
De software is gratis beschikbaar voor privΓ©- en commercieel gebruik, zonder apparaatbeperkingen. De licentieovereenkomst verbiedt "het wijzigen, aanpassen, vertalen, decompileren, demonteren of op andere wijze proberen de broncode te achterhalen, behalve zoals uitdrukkelijk toegestaan ββdoor de toepasselijke wetgeving of open-source licenties." Het verbiedt tevens "het overdragen, verkopen, verhuren, uitlenen, publiceren of op andere wijze verspreiden van de software zonder de schriftelijke toestemming van de auteursrechthebbende."
NICE.OS is gepositioneerd als een serversysteem met langdurige ondersteuning (LTS), geoptimaliseerd voor virtuele machines, cloudsystemen en edge-nodes. De kernel, compilers, kernbibliotheken en cryptografische stack zijn allemaal zo samengesteld dat ze voldoen aan uniforme eisen op het gebied van reproduceerbaarheid en beveiliging. Het project is opgenomen in het Russische softwareregister (registratie betekent dat het kan voldoen aan de eisen voor "nationale software" in de overheidssector en voor sommige zakelijke klanten).
Er worden twee benaderingen ondersteund: atomisch bijgewerkt (onveranderlijk, gebaseerd op OSTree) en klassieke RPM (dnf/dnf5). Bij de atomisch bijgewerkte benadering wordt de /usr-partitie alleen-lezen gemount, worden updates systeembreed toegepast, worden Btrfs-snapshots gebruikt om mislukte updates terug te draaien en worden basissysteemversies behandeld als artefacten die via de OSTree-repository kunnen worden beheerd en naar knooppunten kunnen worden gedistribueerd. De klassieke RPM-benadering maakt gebruik van pakketbeheer via dnf en dnf5, ondersteunt handmatige en automatische updates en biedt een console-installatieprogramma, "niceos-installer".
De distributie biedt een minimale en voorspelbare basis voor containers, waarin geen grafische omgeving aanwezig is, alleen basisservices worden gestart (systemd, netwerkhulpprogramma's, SSH, firewall op nftables/firewalld, basismonitoringhulpprogramma's) en alle applicatiesoftware wordt voorgesteld om te worden geΓ―nstalleerd in containers (Docker/Podman/Kubernetes) of als aparte services bovenop de basis.
OfficiΓ«le containerimages zijn beschikbaar op Docker Hub. Deze images zijn gebouwd op dezelfde minimale NiceOS Base, draaien als een gebruiker zonder beheerdersrechten, bevatten ingebouwde SBOM (CycloneDX/SPDX) en kwetsbaarheidsrapportage (Trivy, Grype), en zijn uitgerust met ingebouwde rapporten voor offline auditing direct binnen de container.
Er is ondersteuning voor binnenlandse cryptografie (een vooraf samengestelde en geteste stack voor diegenen die moeten voldoen aan de GOST-vereisten en -audits):
- GnuPG met GOST (GOST R 34.10-2012 en GOST R 34.11-2012), inclusief ondertekening, versleuteling en verificatie;
- OpenSSL met GOST - TLS- en CLI-hulpprogramma's met GOST-cryptografie;
- libksba/nettle β GOST-ondersteuning in CMS en X.509;
- OpenVPN Met GOST - een kant-en-klare server met GOST-code - is er een script dat de implementatie uitvoert. VPN (PKI, firewall, monitoring, integratie met Prometheus) in een paar minuten;
- Hulpprogramma's voor integriteitscontrole van GOST-hashes (gost12sum, profielen in openssl dgst, enz.).
Mogelijkheden om de beveiliging te verbeteren:
- SELinux standaard ingeschakeld;
- Er worden standaard beveiligingsvlaggen voor de build gebruikt (PIE, RELRO, SSP, FORTIFY_SOURCE, enz.);
- Integriteitscontrolescenario's zijn geΓ―mplementeerd (Secure Boot, IMA, AIDE met GOST-algoritmen);
- Elk RPM-pakket is ondertekend en er is een Zero-Trust PKI-model: standaard wordt alles wat de verificatie niet heeft doorstaan, niet vertrouwd.
- SBOM- en kwetsbaarheidsrapporten worden gegenereerd voor pakketten en images.
Functies voor virtuele en cloudsystemen:
- Ondersteuning voor gevoelige virtuele machines (AMD SEV-SNP, Intel TDX) is aangekondigd. Hulpprogramma's voor het attesteren van virtuele machines in dergelijke scenario's zijn beschikbaar.
- De officiΓ«le NICE.OS 5.2-image is beschikbaar op Yandex Cloud Marketplace als virtuele machine, die al Docker, glibc en Python 3.12 bevat; de distributie is geregistreerd in het Russische softwareregister.
- Op de Cloud.ru Marketplace wordt de distributie omschreven als "een minimalistisch Russisch besturingssysteem voor containers. Een image voor VM's, Docker en Kubernetes."
- Een aparte editie van NiceOS V is geoptimaliseerd voor hypervisors (Proxmox, VMware ESXi, KVM/QEMU, AWS/Yandex Cloud/Google Cloud, enz.), met een minimale set services en de nadruk op geautomatiseerde installaties via Kickstart/JSON.
Onder de gebruikte versies:
- Linux 6.13.x,
- GCC 14.3, Glibc 2.41,
- OpenSSL 3.5.1 (met extensies onder GOST),
- systemd 257, coreutils 9.6.
Bron: opennet.ru
