Компанія ТОВ «РусБІТех-Астра» представила дистрибутив спеціального призначення Astra Linux Special Edition 1.8, який може застосовуватися для захисту конфіденційної інформації та державної таємниці до рівня особливої важливості. Дистрибутив заснований на пакетній базі Debian GNU/Linux і містить додаткові механізми безпеки, такі як власна система мандатного керування доступом, аудиту, контролю цілісності та справжності файлів (PARSEC), гарантоване видалення файлів, складання ядра з патчами для підвищення безпеки. Користувальне оточення побудоване на основі пропрієтарного середовища робочого столу Fly з компонентами, які використовують бібліотеку Qt.
Дистрибутив поширюється в рамках ліцензійної угоди, яка накладає низку обмежень на користувачів, зокрема, заборонені комерційне використання без укладання ліцензійного договору, декомпіляція та дизасемблювання продукту. Оригінальні, реалізовані спеціально для Astra Linux, алгоритми роботи та вихідні коди віднесені до категорії комерційної таємниці Користувачеві надається можливість відтворення лише одного екземпляра продукту на одному комп'ютері або віртуальній машині, а також дається право виготовлення лише однієї резервної копії носія з продуктом. Готові настановні складання поки що публічно не надаються, але доступні образи контейнерів і віртуальних машин.
Випуск успішно пройшов комплекс випробувань у системі сертифікації засобів захисту ФСТЕК Росії за першим, найвищому, рівнем довіри, тобто. може використовуватися для обробки інформації, яка становить державну таємницю «особливої важливості». У сертифікаті підтверджено відповідність вимогам безпеки до операційних систем, засобів віртуалізації та контейнеризації, а також до СУБД.
Основні зміни:
- Пакетну базу оновлено до Debian 12.
- На вибір запропоновано два пакети з ядром Linux, засновані на випусках 6.1 та 6.6. Ядро 6.1 поставляється із змінами та виправленнями від ІСП РАН і підтримуватиметься протягом усього життєвого циклу ОС. Ядро 6.6 належить до категорії з короткостроковим циклом супроводу.
- Запропоновано два окремі репозиторії: Main і Extended. Перший включає пакети, що пройшли повний цикл сертифікації, а другий містить засоби розробки, пакети для збирання репозиторію Main, а також додаткові прикладні та системні пакети.
- Задіяно новий інсталятор astra-installer, який запускається після завантаження системи в Live-режимі. Підтримується дистанційне керування установкою, використовуючи протокол VNC.
- Автоматизовано процес оновлення з гілки Astra Linux 1.7 до випуску 1.8 у разі проблем при оновленні можливий відкат до попереднього стану.
- Задіяно схему призначення передбачуваних імен мережевих інтерфейсів.
- До складу включено DHCP-сервер Kea.
- Інтерфейс для адміністрування системи fly-admin-smc замінений на інструмент astra-systemsettings, що надає доступ до різних модулів налаштувань. Серед іншого, інтегрований модуль для управління локальною безпековою політикою, що не вимагає запуску окремої програми fly-admin-smc. Також доступні модулі для керування користувачами, мандатного керування доступом, мандатного контролю цілісності, контролю цілісності файлів за цифровими підписами, налаштування системи аудиту, обліку накопичувачів, що підключаються, налаштування очищення пам'яті, включення режиму графічного кіоску, оцінки стану функцій безпеки.

- Реалізовано готові рекомендовані профілі налаштування засобів захисту інформації для різних сценаріїв використання. Раніше для відповідності різним класам захищеності систем пропонувалися інструкції з налаштування, які потребують ручної роботи адміністратора. У новій версії процес зміни налаштувань автоматизовано.
- Для динамічного контролю цілісності ПЗ додано можливість використання СКЗІ КриптоПро CSP та сертифікатів для перевірки цифрового підпису, випущених центром, що засвідчує.
- Запропоновано новий стиль оформлення Astra Proxima, який відображає сучасні тенденції побудови інтерфейсів, але зберігає звичний уклад і мінімалізм. Доступні чотири режими оформлення: світлий, темний, спрощений (без графічних ефектів) та службовий.

- Модернізовано та реструктуризовано меню додатків (передбачено можливість повернення класичного меню).
- Додано звукову тему «Зоряний мінімалізм», створену за участю Роскосмосу на основі звуків від реальних космічних об'єктів.
- Доданий пакет fly-dm-rdp для організації віддаленого підключення до системи протоколу RDP.
- У файловому менеджері fly-fm доданий редактор панелі інструментів та з'явилася можливість відображення вмонтованих мережевих ресурсів у панелі навігації. У двопанельному режимі реалізовано два незалежні один від одного адресні рядки.
- Пакет OpenSSL оновлено до версії 3.2.0.
- СУБД Tantor оновлено до кодової бази PostgreSQL 15 (раніше використовувався PostgreSQL 11) із доповненнями для захисту інформації та управління доступом. * У браузери Chromium, Chromium-gost та Firefox вбудований сертифікат посвідчувального центру Мінцифри РФ.
- Додано підтримку снапшотів віртуальних машин з UEFI, експорт/імпорт віртуальних машин зі снапшотами, створення резервних копій віртуальних машин за допомогою virtnbdbackup, об'єднання віртуальних машин у групи в virt-manager.
- У засобах для мандатного контролю цілісності реалізована можливість використання ієрархічного рівня цілісності, при якому корінь ФС і всі файлові об'єкти після установки мають нульову лінійну цілісність, а файловим об'єктам і процесам, що запускаються, можна призначити негативну лінійну цілісність.
- Додано можливість забезпечення контролю цілісності об'єктів файлової системи та deb-пакетів на основі шаблонів, що є списками файлів для перевірки за контрольними сумами.
- Додані нові привілеї: cap_perfmon (дозволяє використання систем моніторингу), cap_bpf (дозволяє деякі операції з BPF), cap_checkpoint_restore (дозволяє визначити PID, який виділяється наступному процесу, створеному всередині простору імен).
Джерело: opennet.ru


