Astra Linux. Краткий обзор возможностей

284

Дата: 25.09.2022 г.
Автор статьи: Сергей Забавников – Специалист по защите информации в Альтирикс Групп

Введение

Импортозамещение – тезис, наиболее кратко описывающий современную тенденцию на ИТ-рынке и, в частности, на рынке информационной безопасности в России. Разберем в данной статье такое решение как Astra Linux – лучший пример операционной системы, разрабатываемой в нашей стране. Скепсис по вопросам защищенности данной платформы и сложности миграции с Windows не обоснованы и вот почему:

  • Astra Linux единственная операционная система, соответствующая требованиям безопасности информации всех регуляторов рынка: Минобороны, ФСТЭК и ФСБ России;
  • поддерживает работу на всех популярных процессорных архитектурах;
  • поддерживается стабильно развивающейся Российской технологической компанией «Русбитех-Астра»;
  • уже сейчас повсеместно применяется не только в государственных информационных системах, в том числе в области защиты государственной тайны особой важности, но и в коммерческом секторе, например ведущим банком страны — Сбербанком;
  • проста в интеграции в разнообразной сетевой инфраструктуре, включающей такие операционные системы как: Cisco IOS, Linux, Windows;
  • проста для перехода рядовому пользователю и системному администратору благодаря сохранению преимуществ Windows и Linux в одной системе.

Операционная система, как очевидно из названия, семейства Linux/Unix-подобных, основана на Debian. В настоящее время применяется как классическое ядро generic, так и модифицированное ядро – hardened, последнее обеспечивает повышенные требования защищенности платформы. ГК Астра провела тщательный анализ наиболее применяемых рекомендаций проекта Kernel Self Protection Project (KSPP) и реализовала в своей защищенной платформе hardened, благодаря чему удалось добиться достаточно высокого уровень защищенности ядра без потери функциональности оного.

Разработчики Astra Linux постарались приблизить внешний вид операционной системы к образу Windows благодаря собственно разработанной графической оболочке Fly, не забыв и про более продвинутых пользователей, сохранив основные преимущества работы в Debian.

Глазами регулярного пользователя

С какими проблемами встретится регулярный пользователь, впервые запустивший Astra Linux?

Как правило, на этапе установки проблем не возникает, хотя в отдельных ситуациях могут не работать драйвера устройств ввода. Первое с чем столкнется человек – интерфейс Fly, собственной разработки ГК Astra. Графическая оболочка имеет простой не замысловатый вид, прослеживается дизайн иконографии Windows в стиле скевоморфизма, что благоприятно действует на адаптацию к новому интерфейсу. Менеджер файлов «fly-fm» сильно напоминает проводник из Windows. Весь графический функционал операционной системы русифицирован. После установки операционной системы не пришлось ничего дополнительно устанавливать, комплект поставки из коробки полностью закрывает начальные потребности. Базовый набор сервисов включает, но не ограничивается таким списком:

  • LibreOffice,
  • веб-браузеры Firefox и Chromium (в том числе Chromium-gost с повышенными требованиями защищенности),
  • почта thunderbird,
  • медиаплеер VLC,
  • камера,
  • сервис записи ISO образов,
  • векторный редактор Inkscape,
  • графический редактор GIMP,
  • 3D-моделирование Blender,
  • PDF Qpdfview,
  • калькулятор,
  • QApt – сервис для установки пакетов,
  • менеджер пакетов Synaptic.

Интерфейс рабочего стола Astra Linux

Начальный список скуден, но может быть значительно расширен. На официальном сайте присутствует список гарантированно поддерживаемого операционной системой программного обеспечения. Во время написания статьи нам удалось установить Microsoft Edge Insider Channels на Astra Linux, который корректно определился как сетевой сервис, хотя в списке поддерживаемого программного обеспечения он не значился. Как говорилось выше – ядро hardened не ограничивает список используемого ПО и Астру можно применять как еще один дистрибутив Debian.

Интерфейс рабочего стола пользователя Astra Linux с высокой целостностью

Также пользователь может использовать расширенный репозитории Debian, от чего операционная система, по сути, становится обычной Debian с графической оболочкой Fly. Благодаря чему Astra Linux способен работать с полным списком пакетов Debian, а также устанавливать пакеты с расширением .deb, что, однако, обесценивает весь труд разработчиков Astra Linux, которые позиционируют данную операционную систему как платформу повышенной защищенности.

В операционной системе реализована возможность управления всеми параметрами системы через Панель управления, что облегчает переход с Windows благодаря знакомому интерфейсу.

Панель управления Astra Linux

С точки зрения менеджмента файлов все хорошо, работают комбинации ctrl+C, ctrl+V, ctrl+X, но тут есть одно «но», реализованы не все комбинации горячих клавиши, ознакомиться с полным списком горячих клавиш можно в соответствующем разделе.

Менеджер файлов Astra Linux

С крайне подробным разбором Astra Linux можно ознакомится в статье группы Астра Линукс: https://habr.com/ru/company/astralinux/blog/470808/

Глазами системного администратора

Теперь рассмотрим вопрос с точки зрения системного администратора. В нашем случае применяется эмулятор терминала с расширенными возможностями «fly-term». По умолчанию используется текстовый редактор «Kate» с русским интерфейсом. Обратимся к справочному центру Astra Linux – современные версии операционной системы поддерживают возможность использования трёх (с учетом использования Astra Linux для мобильных устройств — четырех) способов конфигурации сети:

  • Служба NetworkManager – классическая, всем известная утилита для работы с сетевыми интерфейсами. При стандартной установке Astra Linux Common Edition эта служба и её графический интерфейс устанавливаются и запускаются автоматически и автоматически получают управление внешними сетевыми интерфейсами. Служба управляется с помощью команды «nmcli» или с помощью графического интерфейса «fly-admin-center».
  • Служба networking / resolvconf – при стандартной установке Astra Linux эта служба устанавливается и запускается автоматически, однако управление, имеющимися внешними сетевыми интерфейсами автоматически не получает, и формально управляет только интерфейсом локальной обратной петли (loopback).
  • Служба systemd-networkd / systemd-resolved – базирующиеся на идеологии systemd. При стандартной установке Astra Linux эти службы устанавливаются автоматически, но находятся в заблокированном состоянии, соответственно, не запускаются, и ничем не управляют.
  • Служба connman – служба и интерфейс командной строки для управления сетями в мобильных устройствах.

С настройкой сетей с помощью этих служб проблем не возникнет, такие команды как: «ping», «traceroute», «netstat», «lsof» также на месте. Статичные маршруты настраиваются в файле «/etc/network/if-up.d/routes». Общие настройки сетевых подключений находятся в папке «/etc/NetworkManager/system-connections» при использовании службы сетевых подключений «NetworkManger». Пользовательские данные хранятся в классическом разделе «etc/passwd», пароли хранятся в разделе «etc/shadow», группы пользователей хранятся в разделе «etc/group», тут никаких отличий от Debian подобных систем.

Попробуем развернуть Astra Linux по сети с использованием того же Astra Linux, на который установим DHCP-сервер и TFTP. Загрузка и установка будет проводиться с помощью PXE.

Для начала развернем DHCP сервер с использованием «isc-dhcp-server», управлять будем встроенной утилитой «fly-admin-dhcp».

Конфигурация DHCP-сервера в Astra Linux

Проверяем работоспособность DHCP-сервера:

Далее сконфигурируем TFTP с таким набором загрузочных файлов:

Проблем с установкой Astra Linux по сети не возникло, PXE без проблем обнаруживает установочные файлы. Возможна настройка установочного конфига, чтобы система устанавливалась в автоматизированном режиме.

По итогу, для системного администратора критичных проблем с переходом на Astra Linux не должно возникнуть.

Миграция с Windows, основные препятствия

Разберемся во всем многообразии изданий Astra Linux. Существует три уровня защищенности Astra Linux: Орел, Воронеж и Смоленск. А также два вида релиза: Special Edition и Common Edition. Основным отличием релизов будет то, что Special Edition основана на дистрибутиве Common Edition уровня Орел и включает в себя ряд принципиальных доработок для обеспечения соответствия требованиям руководящих документов по защите информации. Сейчас Common Edition выведена из продажи и закупка производится только по согласованию с вендором. Рассмотрим основные отличия трех уровней защищенности на примере Astra Linux версии 1.7 с их официального сайта:

Механизмы защиты информации Орел Воронеж Смоленск
Мандатный контроль целостности + +
Мандатное управление доступом +
Механизмы защиты СУБД и средств виртуализации + + +
Режим «киоск» — «белый» список разрешенных к запуску приложений + + +
Корректная работа с электронной подписью — отсутствие влияния на функционирование СКЗИ подтверждено ФСБ России + + +
Дополнительная изоляция компонентов виртуализации и контейнеров Docker (отдельный уровень целостности) + +
Динамический контроль целостности (замкнутая программная среда) + +
Регистрация событий безопасности + + +
Контроль подключения съемных машинных носителей информации + + +
Класс защищённости ГИС 3 класс 1 класс Любая конфиденциальная информация, в том числе гос. тайна «особой важности»
Уровень защищённости ИСПДн До 3 уровня включительно До 1 уровня включительно Любая конфиденциальная информация, в том числе гос. тайна «особой важности»

 

Перед любым ответственным за сетевую инфраструктуру специалистом далее встанут следующие вопросы: управление доменом, резервное копирование, средства работы с виртуализацией и многие-многие другие вопросы, которые нужно будет решить. Составим список программного обеспечения, позволяющего производить полностью аналогичные функции, что и в среднестатистической инфраструктуре, построенной на зарубежных продуктах.

Сервис Примеры зарубежных продуктов Продукты Astra
Сервер Клиент Сервер Клиент
Операционная система Windows Astra Linux
Контроллер домена Active Directory ALD Pro
Виртуализация Hyper-V / VMWare Microsoft VDI Брест Termidesk – Брест.VDI
Резервное копирование BackUp Server BackUp Windows RuBackup
Почта Exchange Outlook RuPost WorksPad / Thunderbird
Синхронизация и доступ к документам Облачные сервисы OneDrive OneDrive WorksPad
Быстрый доступ к прикладным системам Облачные сервисы / VDI Microsoft Teams WorksPad Assistant Platform WorksPad

 

Важным дополнением будет то, что продукты Astra не могут полностью покрыть все потребности на данный момент, но с доменом ALD возможно одностороннее доверие с AD.

Вариантов исполнения Astra Linux великое множество. Основными отличиями версий будет поддерживаемая процессорная архитектура, версия ядра Debian и совместимый репозиторий. Возможно применять операционную систему в качестве серверной платформы. Достаточно грамотно сконфигурировать список программных компонентов, отключив лишние параметры, которые лишний раз нагружают систему. Важным дополнением будет то, что на момент написания статьи, остаются упоминания про серверную версию «Ленинград», от которой разработчик отказывается ради универсальности платформы.

Теперь рассмотрим одно из самых интересных — на wiki.astralinux.ru есть раздел посвященный 17, 21 и 239 Приказам ФСТЭК, описывающий как Astra Linux закрывает те или иные меры. В данной статье опишем краткий список функций защиты, в следующих статьях будет более подробное описание некоторых.

Первым делом стоит упомянуть о самом главном – мандатных атрибутах. На данной платформе мандатное разграничение доступа и мандатный контроль целостности возведены в абсолют. Всем знакома система дискреционного разграничения доступа, но «никто никогда не работал с мандатными атрибутами», хотя в Windows они есть и активно используются. Большая часть комплекса средств защиты построена на MAC (англ. Mandatory access control). Для того, чтобы понять, как работает большинство механизмов защиты информации, потребуется отдельная статья с описанием настроек и зависимостей.

Перечислим остальные средства защиты информации, не зависящие от MAC:

Первое, что нас встречает при установке — возможность сделать защитное преобразование логического раздела — механизм LUKS, оно же — шифрование диска. Не отходя далеко от темы, можно сразу отметить, что в Astra Linux реализована система очистки памяти (как оперативной, так и долговременной). Также в системе реализована система регистрации событий безопасности, имеющая гибкие параметры настройки, вызываемая каждый раз при обращении пользователя к ресурсам системы. Не ушел стороной классический метод дискреционного управления доступом с известными параметрами «rwx». В Astra Linux также реализованы механизмы проверки целостности СЗИ и системы в целом, которые позволяют провести быстрый аудит используемых функций защиты информации и их работоспособности. Присутствуют средства надежного функционирования после сбоев системы – аналог средств восстановления Windows.

Одним из особенностей Астры будет добавление системы проверки электронной подписи (ЭП), позволяющей проверить пришедшие документы. Для подписи документов добавлена служба маркирования документов. Также в системе реализована замкнутая программная среда, которая не позволяет запускаться файлам и разделяемым библиотекам без ЭП. Изначально подписи есть только у пакетов и приложений, установленных из доверенного источника поставки программного обеспечения. Чтобы подписать электронной подписью собственные или скачанные из других репозиториев файлы или библиотеки нужно у ГК Астры запросить ключи для электронной подписи.

Еще один механизм, реализованный в Астра Линукс, это режим киоска или простым языком — белый список ПО, позволяющий ограничить перечень запускаемого используемого программного обеспечения.

Заключение

С точки зрения интерфейса и логики, система напоминает нам классический Windows,  а с точки зрения утилит, консоли, система похожа на Debian, что является огромным плюсом для системных администраторов и просто для продвинутых пользователей Linux систем. В заключение можно сказать, что система проста и открыта для простых пользователей, оставляет приятное впечатление. Очень интересно изучить комплекс средств защиты Astra Linux который мы и разберем в следующих статьях. В случае если вам необходимо провести пилот или полноценное развертывание операционной системы в своей корпоративной сети и вам трудно разобраться в особенностях платформы Astra Linux, вы можете обратиться к нам, и мы поможем вам решить этот вопрос.

В начало статьи ↑

Источники:

wiki.astralinux.ru

astralinux.ru

Похожие статьи

altirixgroup
Курс видеолекций. Positive Technologies Application Firewall

Наши специалисты разработали видеоинструкции по конфигурированию решения Positive Technologies Application Firewall.

Содержание занятия:

I. Информационная панель PT AF

6. Панель атаки

Смотреть видео

60
altirixgroup
Курс видеолекций. Positive Technologies Application Firewall

Наши специалисты разработали видеоинструкции по конфигурированию решения Positive Technologies Application Firewall.

Содержание занятия:

IV. Системные функции PT AF

3. Разное

Смотреть видео

53
altirixgroup
Курс видеолекций. Positive Technologies Application Firewall

Наши специалисты разработали видеоинструкции по конфигурированию решения Positive Technologies Application Firewall.

Содержание занятия:

II. Конфигурация PT AF

7. Сеть

Смотреть видео

63