Компания ООО “РусБИТех-Астра” представила дистрибутив специального назначения Astra Linux Special Edition 1.8, который может применяться для защиты конфиденциальной информации и государственной тайны до уровня “особой важности”. Дистрибутив основан на пакетной базе Debian GNU/Linux и содержит дополнительные механизмы обеспечения безопасности, такие как собственная система мандатного управления доступом, аудита, контроля целостности и подлинности файлов (PARSEC), гарантированное удаление файлов, сборка ядра с патчами для повышения безопасности. Пользовательское окружение построено на основе проприетарной среды рабочего стола Fly с компонентами, использующими библиотеку Qt.
Дистрибутив распространяется в рамках лицензионного соглашения, которое накладывает ряд ограничений на пользователей, в частности, запрещены коммерческое использование без заключения лицензионного договора, декомпиляция и дизассемблирование продукта. Оригинальные, реализованные специально для Astra Linux, алгоритмы работы и исходные коды отнесены к категории коммерческой тайны. Пользователю предоставляется возможность воспроизведения только одного экземпляра продукта на одном компьютере или виртуальной машине, а также даётся право на изготовление только одной резервной копии носителя с продуктом. Готовые сборки пока публично не предоcтавляются.
Выпуск успешно прошёл комплекс испытаний в системе сертификации средств защиты информации ФСТЭК России по первому, высочайшему, уровню доверия, т.е. может использоваться для обработки информации, составляющей государственную тайну «особой важности». В сертификате подтверждено соответствие требованиям по безопасности к операционным системам, средствам виртуализации и контейнеризации, а также к СУБД.
Основные изменения:
- Пакетная база обновлена до Debian 12.
- На выбор предложено два пакета с ядром Linux, основанные на выпусках 6.1 и 6.6. Ядро 6.1 поставляется с изменениями и исправлениями от ИСП РАН и будет поддерживаться на протяжении всего жизненного цикла ОС. Ядро 6.6 отнесено к категории с краткосрочным циклом сопровождения.
- Предложены два отдельных репозитория: Main и Extended. Первый включает пакеты, прошедшие полный цикл сертификации, а второй содержит средства разработки, пакеты для сборки репозитория Main, а также дополнительные прикладные и системные пакеты.
- Задействован новый инсталлятор astra-installer, который запускается после загрузки системы в Live-режиме. Поддерживается удалённое управление установкой, используя протокол VNC.
- Автоматизирован процесс обновления с ветки Astra Linux 1.7 до выпуска 1.8, в случае проблем при обновлении возможен откат к предыдущему состоянию.
- Задействована схема назначения предсказуемых имён сетевых интерфейсов.
- В состав включён DHCP-сервер Kea.
- Интерфейс для администрирования системы fly-admin-smc заменён на инструмент astra-systemsettings, предоставляющий доступ к различным модулям настроек. Среди прочего, интегрирован модуль для управления локальной политикой безопасности, не требующий запуска отдельной программы fly-admin-smc. Также доступны модули для управления пользователями, мандатного управления доступом, мандатного контроля целостности, контроля целостности файлов по цифровым подписям, настройки системы аудита, учёта подключаемых накопителей, настройки очистки памяти, включения режима графического киоска, оценки состояния функций безопасности.
- Реализованы готовые рекомендованные профили настройки средств защиты информации для различных сценариев использования. Ранее для соответствия различным классам защищённости систем предлагались инструкции по настройке, требующие ручной работы администратора. В новой версии процесс изменения настроек автоматизирован.
- Для динамического контроля целостности ПО добавлена возможность использования СКЗИ КриптоПро CSP и сертификатов для проверки цифровой подписи, выпущенных удостоверяющим центром.
- Предложен новый стиль оформления Astra Proxima, который отражает современные тенденции построения интерфейсов, но при этом сохраняет привычный уклад и минимализм. Доступны четыре режима оформления: светлый, тёмный, упрощённый (без графических эффектов) и служебный.
- Модернизировано и реструктуризировано меню приложений (предусмотрена возможность возвращения классического меню).
- Добавлена звуковая тема “Звездный минимализм”, созданная при участии Роскосмоса на основе звуков от реальных космических объектов.
- Добавлен пакет fly-dm-rdp для организации удалённого подключения к системе по протоколу RDP.
- В файловом менеджере fly-fm добавлен редактор панели инструментов и появилась возможность отображения примонтированных сетевых ресурсов в панели навигации. В двухпанельном режиме реализованы две независимые друг от друга адресные строки.
- Пакет OpenSSL обновлён до версии 3.2.0.
- СУБД Tantor обновлена до кодовой базы PostgreSQL 15 (ранее использовался PostgreSQL 11) с дополнениями для защиты информации и управления доступом.
* В браузеры Chromium, Chromium-gost и Firefox встроен сертификат удостоверяющего центра Минцифры РФ. - Добавлена поддержка снапшотов виртуальных машин с UEFI, экспорта/импорта виртуальных машин со снапшотами, создания резервных копий виртуальных машин при помощи virtnbdbackup, объединения виртуальных машин в группы в virt-manager.
- В средствах для мандатного контроля целостности реализована возможность использования иерархического уровня целостности, при котором корень ФС и все файловые объекты после установки имеют нулевую линейную целостность, а файловым объектам и запускаемым процессам можно назначить отрицательную линейную целостность.
- Добавлена возможность обеспечения контроля целостности объектов файловой системы и deb-пакетов на основе шаблонов, представляющих собой списки файлов для проверки по контрольным суммам.
- Добавлены новые привилегии: cap_perfmon (разрешает использование систем мониторинга), cap_bpf (разрешает некоторые операции с BPF), cap_checkpoint_restore (позволяет определить PID, который выделяется следующему процессу, созданному внутри пространства имён).