NICE.OS là một bản phân phối tối giản được xây dựng từ đầu và tối ưu hóa cho container.

Dự án NAYS.OS đang được phát triển độc lập. Linux- Một bản phân phối được xây dựng hoàn toàn từ mã nguồn và duy trì kho gói phần mềm riêng, không sử dụng các tập lệnh xây dựng gói từ các bản phân phối khác. Dự án phát triển bộ công cụ, bộ vá lỗi và chính sách xây dựng riêng. Có sẵn ảnh ISO (603 MB) được thiết kế để cài đặt trên máy ảo (KVM, Proxmox, VMware, VirtualBox, v.v.) để tải xuống.

Phần mềm được phân phối miễn phí cho mục đích sử dụng cá nhân và thương mại, không có bất kỳ hạn chế nào về thiết bị. Thỏa thuận cấp phép nghiêm cấm "sửa đổi, điều chỉnh, dịch thuật, dịch ngược mã nguồn, tháo rời mã nguồn hoặc cố gắng tìm ra mã nguồn bằng bất kỳ cách nào khác, trừ khi được pháp luật hiện hành hoặc các giấy phép mã nguồn mở cho phép rõ ràng." Thỏa thuận này cũng nghiêm cấm "chuyển nhượng, bán, cho thuê, cho mượn, xuất bản hoặc phân phối phần mềm bằng bất kỳ cách nào khác mà không có sự đồng ý bằng văn bản của chủ sở hữu bản quyền."

NICE.OS được định vị là một hệ thống máy chủ hỗ trợ dài hạn (LTS) được tối ưu hóa cho... máy ảoHệ thống đám mây và các nút biên. Nhân hệ điều hành, trình biên dịch, thư viện cốt lõi và ngăn xếp mã hóa đều được lắp ráp để đáp ứng các yêu cầu về khả năng tái tạo và bảo mật đồng nhất. Dự án được đưa vào danh bạ phần mềm của Nga (việc đăng ký có nghĩa là nó đáp ứng các yêu cầu đối với "phần mềm nội địa" trong lĩnh vực chính phủ và đối với một số khách hàng doanh nghiệp).

Có hai phương pháp được hỗ trợ: cập nhật nguyên tử (bất biến, dựa trên OSTree) và RPM cổ điển (dnf/dnf5). Trong phương pháp cập nhật nguyên tử, phân vùng /usr được gắn kết ở chế độ chỉ đọc, các bản cập nhật được áp dụng trên toàn hệ thống, ảnh chụp nhanh Btrfs được sử dụng để hoàn tác các bản cập nhật không thành công, và các phiên bản hệ thống cơ bản được coi là các thành phần có thể được quản lý và triển khai đến các nút thông qua kho lưu trữ OSTree. Phương pháp RPM cổ điển sử dụng quản lý gói thông qua dnf và dnf5, hỗ trợ cập nhật thủ công và tự động, và cung cấp trình cài đặt dòng lệnh, "niceos-installer".

Bản phân phối này cung cấp một nền tảng tối thiểu và dễ dự đoán cho container, trong đó không có môi trường đồ họa, chỉ khởi chạy các dịch vụ cơ bản (systemd, tiện ích mạng, SSH, tường lửa trên nftables/firewalld, các tiện ích giám sát cơ bản), và tất cả phần mềm ứng dụng được đề xuất cài đặt trong container (Docker/Podman/Kubernetes) hoặc dưới dạng các dịch vụ riêng biệt trên nền tảng này.

Các ảnh container chính thức có sẵn trên Docker Hub. Những ảnh này được xây dựng trên cùng một nền tảng NiceOS tối thiểu, chạy với tư cách người dùng không có đặc quyền, bao gồm SBOM tích hợp sẵn (CycloneDX/SPDX) và báo cáo lỗ hổng (Trivy, Grype), đồng thời được trang bị các báo cáo tích hợp để kiểm tra ngoại tuyến trực tiếp bên trong container.

Có hỗ trợ cho mật mã nội địa (một bộ công cụ được lắp ráp sẵn và đã được kiểm thử dành cho những người cần đáp ứng các yêu cầu và kiểm toán của GOST):

  • GnuPG tuân thủ tiêu chuẩn GOST (GOST R 34.10-2012 và GOST R 34.11-2012), bao gồm chữ ký, mã hóa và xác minh;
  • OpenSSL với GOST - Các tiện ích TLS và CLI với mã hóa GOST;
  • libksba/nettle — Hỗ trợ GOST trong CMS và X.509;
  • OpenVPN Với GOST - một máy chủ được thiết lập sẵn với các mã GOST, có một kịch bản để triển khai. VPN (PKI, tường lửa, giám sát, tích hợp với Prometheus) chỉ trong vài phút;
  • Các tiện ích để kiểm soát tính toàn vẹn của hàm băm GOST (gost12sum, các cấu hình trong openssl dgst, v.v.).

Các cơ hội để cải thiện an ninh:

  • SELinux Được bật theo mặc định;
  • Các cờ bảo vệ bản dựng tiêu chuẩn được sử dụng (PIE, RELRO, SSP, FORTIFY_SOURCE, v.v.);
  • Các kịch bản kiểm soát tính toàn vẹn đã được triển khai (Khởi động an toàn, IMA, AIDE với thuật toán GOST);
  • Mỗi gói RPM đều được ký điện tử, áp dụng mô hình PKI không tin cậy (Zero-Trust PKI): theo mặc định, bất cứ thứ gì chưa được xác minh đều không được tin cậy;
  • Báo cáo SBOM và báo cáo lỗ hổng bảo mật được tạo cho các gói và ảnh hệ thống.

Các tính năng dành cho hệ thống ảo và điện toán đám mây:

  • Thông báo hỗ trợ cho các máy ảo nhạy cảm (AMD SEV-SNP, Intel TDX). Các tiện ích để xác thực máy ảo trong các trường hợp này cũng có sẵn.
  • Ảnh hệ điều hành NICE.OS 5.2 chính thức hiện có sẵn trên Yandex Cloud Marketplace dưới dạng máy ảo, đã bao gồm Docker, glibc và Python 3.12; bản phân phối này được đánh dấu là có trong kho phần mềm của Nga.
  • Trên Cloud.ru Marketplace, bản phân phối này được mô tả là "một hệ điều hành tối giản của Nga dành cho container. Một ảnh hệ điều hành dành cho máy ảo, Docker và Kubernetes."
  • Một phiên bản riêng biệt của NiceOS V được tối ưu hóa cho các hypervisor (Proxmox, VMware ESXi, KVM/QEMU, AWS/Yandex Cloud/Google Cloud, v.v.), với một tập hợp dịch vụ tối thiểu và tập trung vào cài đặt tự động thông qua Kickstart/JSON.

Trong số các phiên bản được sử dụng:

  • Linux 6.13.x,
  • GCC 14.3, Glibc 2.41,
  • OpenSSL 3.5.1 (với các phần mở rộng theo GOST),
  • systemd 257, coreutils 9.6.

Nguồn: opennet.ru

Mua dịch vụ lưu trữ đáng tin cậy cho các trang web có bảo vệ DDoS, máy chủ VPS VDS 🔥 Mua dịch vụ hosting website đáng tin cậy với bảo vệ DDoS, máy chủ VPS VDS | ProHoster