Как в астра линукс запретить очистку браузера

Как в Astra Linux настроить блокировку экрана

Всегда нужно думать о безопасности своих данных. Особенно это касается работы за компьютером в различных информационных системах, например, 1С. Так как мы живем в такое время где как говорится «Человек человеку волк». Поэтому оставляя свой компьютер нужно его обязательно блокировать и на всякий случай настроить автоматическую блокировку экрана при бездействии. Ведь вас могут срочно куда то позвать. Тем более что включить и настроить блокировку экрана очень просто. Сегодня хочу рассказать как все это можно сделать в российской операционной системе Astra Linux.

Я уже написал не одну статью на тему настройки и оптимизации ОС Astra Linux, вот самые интересные из них, рекомендую Вам с ними обязательно ознакомиться.

Включение и настройка блокировки экрана

Добраться до данных настроек очень просто, нужно на рабочем столе кликнуть ПКМ мыши и выбрать пункт «Свойства».

Как в Astra Linux настроить блокировку экрана

В открывшемся окне перейти в раздел «Блокировка». Дальше включить пункт «Блокировка экрана», указать время бездействия, я обычно ставлю минут 5. По желанию можно включить следующие пункты, «Монитор погашен», «Компьютер в режим сна», «Переключение на другую сессию». Так же рекомендую настроить задержку между попытками ввода пароля. И обязательно нужно включить пункт «Переход на другую консоль или сессию».

Включение и настройка блокировки экрана

Все это поможет избежать лишних проблем. Конечно вероятность того что кто-то из вредности или завести подойдет к вашему компьютеру во время вашего отсутствия и что-то скопирует, исправит или удалить очень мала. Но все же лучше обезопасить себя. Так же все это будет зависеть от вашего окружения, где вы работаете и т.д.

Astra блокировка : 2 комментария

серьезно? блог админа и показывает как отключить режим автоблокировки через gui в linux?
искал команды как вырубить это через bash для gui и для ssh

Астра, кмк, рассчитана на людей, перелезших с венды, потому и предлагается гуй.

Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux

Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки «имплантов» рекомендуется использование ПК в форм-факторе ноутбук или моноблок;

Исключить использование беспроводных периферийных устройств ввода (мыши, клавиатуры, тачпады и пр.);
Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth);
При необходимости использования WiFi — по возможности использовать для защиты данных сети VPN;

При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их;

При наличии на серверах «не доверенных» систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana — их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM;

Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он интегрирован в процессор) посредством установки обновления микропрограммы Intel Management Engine (производитель оборудования должен обеспечить данную возможность — это либо обновления BIOS, либо ПО для интеграции обновлений).
Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html.

После установки ОС

Использовать жёсткие диски, имеющие встроенную аппаратную защиту хранящихся данных от несанкционированного доступа, и включать эту аппаратную защиту;
Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;
При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации;
Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией Загрузка Astra Linux в SecureBoot режиме.

Обеспечение безопасности среды функционирования

При установке ОС

В разделе установщика «Настройка учётных записей пользователей и паролей» установить «взломостойкий» пароль для нового администратора;

В разделе установщика «Разметка дисков» выбрать метод разметки Вручную, а затем создать следующие отдельные дисковые разделы:
/
/boot
/home
/tmp
/var/tmp

Обязательно использовать при установке ОС защитное преобразование дисков, и по возможности исключить физический доступ к жесткому диску, на котором установлена ОС.

Отдельные дисковые разделы создавать в соответствии со следующими рекомендациями:

Без защитного преобразования .

Раздел /boot недопустимо размещать в LVM.

Рекомендуется выделить под этот раздел не менее 512МБ, предпочтительно 1GB.

(перед обновлением ядра перемонтировать в rw )

С защитным преобразованием.

С защитным преобразованием.
При размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.

С защитным преобразованием.
Монтирование возможно с опциями noexec, nodev, nosuid, однако использовать их следует с осторожностью:

включение опции noexec при установке ОС приведёт к невозможности установки, при необходимости эту опцию можно включить после установки;
использование опции noexec после установки может привести к неработоспособности части ПО (в частности, будет нарушена работа установщика пакетов dpkg);

В разделе установщика «Выбор программного обеспечения» включить установку следующих программных компонентов:

Средства фильтрации сетевых пакетов ufw;
Ядро hardened.При невозможности использования ядра hardened использовать при эксплуатации модуль lkrg ядра generic (см. Инструменты командной строки astra-safepolicy);

Для всех режимов работы (уровней защищенности) в разделе установщика «Дополнительные настройки ОС» включить следующие функции подсистемы безопасности:
1. Запрет вывода меню загрузчика — при включении данной функции будет запрещен вывод меню загрузчика GRUB 2. В процессе загрузки будет загружаться ядро ОС, выбранное по умолчанию;
2. Запрет трассировки ptrace — при включении данной функции будет исключена возможность трассировки и отладки выполнения программного кода;
3. Запрос пароля для команды sudo — при включении данной функции будет необходим ввод пароля при использовании механизма sudo;
4. Запрет установки бита исполнения — при включении данной функции будет активирован режим запрета установки бита исполнения, обеспечивающий предотвращение несанкционированного запуска исполняемых файлов и сценариев для командной оболочки. Установка пакетов программ, создающих в ФС файлы с битом исполнения, будет завершаться с ошибкой. Запрет не распространяется на привилегированного пользователя root ;
5. Запрет исполнения скриптов пользователя — при включении данной функции блокируется несанкционированное использование интерпретатора для выполнения кода напрямую из командной строки или из неименованного канала (pipe). При этом сценарии, написанные для этих интерпретаторов, выполняются в штатном режиме (у файла скрипта при этом должны быть выставлены права на выполнение). Запрет исполнения скриптов не распространяется на пользователей из группы astra-admin ;
6. Запрет исполнения макросов пользователя — при включении данной функции будет блокировано исполнение макросов в стандартных приложениях;
7. Запрет консоли — при включении данной функции будет блокирован консольный вход в систему для пользователя и запуск консоли из графического интерфейса сессии пользователя. Запрет не распространяется на пользователей из группы astra-admin ;
8. Системные ограничения ulimits — при включении данной функции будут активированы системные ограничения, установленные в файле /etc/security/limits.conf ;
Для уровня защищенности «Усиленный» в разделе установщика «Дополнительные настройки ОС» включить следующие функции подсистемы безопасности:
1. Мандатный контроль целостности — при включении данной функции будет активирован механизм мандатного контроля целостности;
2. Замкнутая программная среда — при включении данной функции будет активирован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF;
3. Очистка освобождаемой внешней памяти — при включении данной функции будет активирован режим очистки блоков файловой системы непосредственно при их освобождении, а также режим очистки разделов страничного обмена;
Для уровня защищенности «Максимальный» в разделе установщика «Дополнительные настройки ОС» включить следующую функцию подсистемы безопасности:
1. Мандатное управление доступом — при включении данной функции будет активирован механизм мандатного управления доступом;

Функции подсистемы безопасности могут быть включены и выключены в процессе эксплуатации ОС. Порядок включения и выключения описан в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

В разделе установщика «Установка системного загрузчика GRUB на жёсткий диск» установить «взломостойкий» пароль на загрузчик Grub. Пароль на загрузчик Grub может быть изменён в процессе эксплуатации ОС — см. Инструкция по смене пароля загрузчика.

После установки ОС (для всех уровней защищенности)

Изменение настроек политики учетной записи пользователя

В настройках политики учетной записи пользователя задать следующие значения:

минимальная длина пароля — 8 символов;
в пароле должны содержаться строчные, заглавные буквы и цифры;
максимальное количество дней между сменами пароля — 90 дней;
максимальное количество неудачных попыток — 6;

максимальное время, отведённое на вход — 1800 секунд.

Внести изменения в настройки политики учетной записи пользователя можно используя графическую утилиту fly-admin-smc. Для этого:

через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Безопасность — Политика безопасности (см. рис. ниже);

на боковой панели навигации выбрать пункт Политики учетной записи — Политика паролей — Сложность и выполнить следующие действия (см. рис. ниже):

в числовом поле Минимальная длина пароля — установить значение 8;
установить флаг Минимальное количество строчных букв в новом пароле;
установить флаг Минимальное количество заглавных букв в новом пароле;
установить флаг Минимальное количество цифр в новом пароле;

применить изменения — нажать комбинацию клавиш <Ctrl+S>;

на боковой панели навигации выбрать пункт Политики учетной записи — Политика паролей — Срок действия и выполнить следующие действия (см. рис. ниже):

установить флаг Минимальное количество дней между сменами пароля и в числовом поле задать значение «0 дней»;
установить флаг Максимальное количество дней между сменами пароля и в числовом поле задать значение «90 дней»;

применить изменения — нажать комбинацию клавиш <Ctrl+S>;

на боковой панели навигации выбрать пункт Политики учетной записи — Блокировка и выполнить действия (см. рис. ниже):

установить флаг Неуспешных попыток и в числовом поле задать значение 6;
установить флаг Период блокировки и в числовом поле задать значение «1800 секунд»;

применить изменения — нажать комбинацию клавиш <Ctrl+S>.

Кроме того, внести изменения в настройки политики паролей можно следующим образом:

в файле /etc/pam.d/common-password в строке password requisite pam cracklib.so установить значение minlen=8 и добавить параметры dcredit=-1, ucredit=-1 и lcredit=-1 ;
в файле /etc/login.defs для переменной PASS_MAX_DAYS установить значение 90 , для переменной LOGIN_RETRIES установить значение 6 и для переменной LOGIN_TIMEOUT установить значение 1800 .

Запретить повторное использование последних четырех паролей, откорректировав файл /etc/pam.d/common-password . Для этого в указанном файле в строке « . pam_unix.so » добавить параметр remember=4 ;

Настроить использование механизма sudo таким образом, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды. Для этого:

в терминале выполнить команду sudo visudo ;
в открывшемся файле /etc/sudoers добавить строку« Defaults timestamp_timeout=0 ».

Настройка блокировки экрана

Из соображений безопасности рекомендуется не использовать х ранитель экрана и обязать пользователей завершать открытую сессию при необходимости покинуть рабочее место .

Настроить блокировку экрана следующим образом:

через графический интерфейс запустить утилиту fly-admin-theme: Пуск — Панель управления — Рабочий стол — Оформление Fly (см. рис. ниже);

на боковой панели навигации выбрать пункт Блокировка и выполнить действия (см. рис. ниже):

в секции Блокировать экран:

в числовом поле справа от флага После бездействия задать значение 15 мин.;
снять флаг Компьютер в режиме сна;
снять флаг Переключение на другую сессию;

установить флаг Переход на другую консоль или сессию;
установить флаг Подключение программ из сети;

нажать на кнопку [Да].

Настройка межсетевого экрана

Включить и настроить межсетевой экран ufw в минимально необходимой конфигурации: по умолчанию все запрещено, кроме необходимых исключений.

Межсетевой экран ufw можно включить используя графическую утилиту gufw. Для этого:

через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Сеть — Настройка межсетевого экрана (см. рис. ниже);

в окне программы нажать на переключатель Статус (см. рис. ниже);

для управления правилами необходимо в окне программы нажать на кнопку [Правила] (см. рис. ниже).

Кроме того, включить м ежсетевой экран ufw можно, выполнив в терминале команду:

Для того чтобы просмотреть правила, добавленные по умолчанию, необходимо в терминале выполнить команду:

Блокировка интерпретатора bash (по возможности)

Блокировка интерпретаторов не распространяется на пользователей из группы astra-admin .

Блокировка интерпретатора bash может ограничить функционал некоторых программ и служб, не очевидным образом использующих bash, что приведет к нарушению штатной работы ОС.

После блокировки интерпретатора bash консольный вход пользователей с оболочкой bash будет невозможен.

Блокировку интерпретатора bash можно включить используя графическую утилиту fly-admin-smc. Для этого:

через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Безопасность — Политика безопасности;
на боковой панели навигации выбрать пункт Настройки безопасности — Политика консоли и интерпретаторов и на рабочей панели установить флаг Включить блокировку интерпретатора Bash для пользователей (см. рис. ниже);

применить изменения — нажать комбинацию клавиш <Ctrl+S>.

Кроме того, включить блокировку интерпретатора bash можно, выполнив в терминале команду:

Блокировка системных команд для пользователей

Включить блокировку запуска пользователями программ df, chattr , arp, ip.

Эти программы необходимо блокировать в случае, когда в одной ОС производится обработка информации разных уровней конфиденциальности, т.к. с их помощью можно организовать скрытый канал передачи информации между уровнями.

Программы блокируются для пользователей с помощью выставления на них прав доступа 750 (rwx r-x —) .

Для включения блокировки запуска пользователями указанных системных команд необходимо в терминале выполнить команду:

Системные параметры

Установить следующие ограничения:

Ограничение	Описание
Включение на файловой системе режима работы «только чтение»	После включения этого ограничения фактическое содержимое корневой ФС монтируется в overlay одновременно с ФС, хранящейся в памяти. Изменения файлов сохраняются только в памяти, а ФС на носителе остается без изменений. После перезагрузки все изменения теряются, и система каждый раз загружается в исходном состоянии. Данная функция может применяться в тех случаях, когда носитель, на котором расположена корневая ФС, аппаратно защищен от записи либо необходимо программно защитить его от изменений. Функционал overlay не касается файловых систем, хранящихся на отдельных разделах, отличных от корневого. Например, если каталог /home хранится на отдельном разделе или носителе, вносимые в него изменения будут сохраняться после перезагрузки. Для применения изменений требуется перезагрузка.
Запрет монтирования съемных носителей	После включения этого ограничения монтирование съемных носителей информации будет запрещено пользователям, входящим в группу floppy , при этом запрет не распространяется на пользователей из группы astra-admin . Ограничение вступает в действие немедленно.
Блокировка выключения компьютера пользователями	После включения этого ограничения права доступа к исполняемому файлу /bin/systemctl меняются на 750 (rwx — —) и меняются параметры в fly-dmrc . Команды systemctl могут выполняться только через механизм sudo . Также при включении инструмента блокируется возможность перезагрузки компьютера путем нажатия комбинации клавиш <Ctrl+Alt+Delete>. Ограничение вступает в действие немедленно.

Ограничения, указанные в таблице выше, можно установить, используя графическую утилиту fly-admin-smc. Для этого:

через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Безопасность — Политика безопасности;
на боковой панели навигации выбрать пункт Настройки безопасности — Системные параметры и на рабочей панели установить соответствующие флаги.

Кроме того, установить ограничения можно, выполнив соответствующую команду в терминале (см. таблицу ниже).

Ограничение	Команда
Включение на файловой системе режима работы «только чтение»	sudo astra-overlay enable
Запрет монтирования съемных носителей	sudo astra-mount-lock enable
Блокировка выключения компьютера пользователями	sudo astra-shutdown-lock enable

Проверка состояния функций подсистемы безопасности

Отображение состояний некоторых функций безопасности зависит от наличия в системе соответствующих пакетов.

Краткую сводку состояний функций безопасности можно просмотреть, используя графическую утилиту fly-admin-smc. Для этого:

через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Безопасность — Политика безопасности;
на боковой панели навигации выбрать пункт Монитор безопасности. Если функция безопасности включена, то в столбце Статус будет отображен символ ✓, а поле будет выделено зелёным цветом (см. рис ниже).

Кроме того, просмотреть краткую сводку состояний функций безопасности можно, выполнив в терминале команду:

ВКЛЮЧЕНО — функция безопасности включена. Включенное состояние означает повышенную безопасность, потенциально небезопасный функционал ОС запрещен;
ВЫКЛЮЧЕНО — функция безопасности выключена;
ВКЛЮЧАЕТСЯ — функция безопасности находится в процессе включения или будет включена после перезагрузки, но в настоящий момент еще не активна;
ВЫКЛЮЧАЕТСЯ — функция безопасности находится в процессе выключения или будет выключена после перезагрузки, но в настоящий момент еще активна.

После установки ОС (дополнительно на уровнях защищенности «Усиленный» и «Максимальный» )

Блокировка одновременной работы с разными уровнями конфиденциальности в пределах одной сессии

Если данная блокировка включена, то все пользователи, даже у которых есть привилегия PARSEC_CAP_SUMAC , не смогут использовать команду sumac . Для этого устанавливаются права доступа 000 на исполняемый файл sumac и библиотеку libsumacrunner.so .

Изменение режима блокировки вступает в действие немедленно.

Блокировку можно включить, используя графическую утилиту fly-admin-smc. Для этого:

через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Безопасность — Политика безопасности;
на боковой панели навигации выбрать пункт Настройки безопасности — Системные параметры и на рабочей панели установить флаг Блокировка одновременной работы с разными уровнями конфиденциальности в пределах одной сессии (см. рис. ниже);

применить изменения — нажать комбинацию клавиш <Ctrl+S>.

Кроме того, включить блокировку можно, выполнив в терминале команду:

Замкнутая программная среда

Инструменты замкнутой программной среды (ЗПС) предоставляют возможность внедрения цифровой подписи в исполняемые файлы формата ELF, входящие в состав устанавливаемого программного обеспечения (ПО), и в расширенные атрибуты файловой системы.

Механизм контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение реализован в модуле ядра ОС digsig_verif , который является не выгружаемым модулем ядра Linux и может функционировать в одном из следующих режимов:

исполняемым файлам и разделяемым библиотекам с неверной электронной подписью (ЭП), а также без ЭП загрузка на исполнение запрещается (штатный режим функционирования);
исполняемым файлам и разделяемым библиотекам с неверной ЭП, а также без ЭП загрузка на исполнение разрешается, при этом выдается сообщение об ошибке проверки ЭП (режим для проверки ЭП в ПО);
ЭП при загрузке исполняемых файлов и разделяемых библиотек не проверяется (отладочный режим для тестирования ПО).

Механизм контроля целостности файлов при их открытии на основе ЭП в расширенных атрибутах файловой системы также реализован в модуле ядра ОС digsig_verif и может функционировать в одном из следующих режимов:

запрещается открытие файлов, поставленных на контроль, с неверной ЭП или без ЭП;
открытие файлов, поставленных на контроль, с неверной ЭП или без ЭП разрешается, при этом выдается сообщение об ошибке проверки ЭП (режим для проверки ЭП в расширенных атрибутах файловой системы);
ЭП при открытии файлов не проверяется.

Очистка освобождаемой внешней памяти и области подкачки

Реализованный в ОС механизм очистки освобождаемой внешней памяти очищает неиспользуемые блоки ФС непосредственно при их освобождении, а также очищает разделы страничного обмена. Работа данного механизма снижает скорость выполнения операций удаления и усечения размера файла.

Данные любых удаляемых/урезаемых файлов в пределах заданной ФС предварительно очищаются путем перезаписи каждого байта в освобождаемой области предопределенной или псевдослучайной маскирующей последовательностью. В качестве предопределенной маскирующей последовательности используются четыре сигнатуры следующего вида: 11111111, 01010101, 10101010, 00000000 . При установке числа перезаписей больше четырех сигнатуры используются повторно. Например, при установке числа перезаписей, равного 6, последовательность сигнатур, используемых для перезаписи, имеет следующий вид: 11111111, 01010101, 10101010, 00000000, 11111111, 01010101 .

При включении очистки активных разделов страничного обмена возможно задать список разделов страничного обмена, для которых не выполняется очистка.

Очистку освобождаемой внешней памяти и области подкачки можно включить, используя графическую утилиту fly-admin-smc. Для этого:

через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Безопасность — Политика безопасности;
на боковой панели навигации выбрать пункт Настройки безопасности — Политика очистки памяти и на рабочей панели установить флаг О чистка разделов подкачки ;
для того чтобы задать исключение, необходимо на рабочей панели в секции Игнорировать разделы подкачки нажать на кнопку [+] и в открывшемся диалоговом окне указать раздел страничного обмена, для которого не должно выполнятся очистка;

на рабочей панели в секции Гарантированное удаление файлов и папок настроить механизм очистки (см. рис. ниже):

на рабочей панели в столбце Очистка выбрать один из режимов:

выключено — механизм очистки выключен;
сигнатура — очистка предопределенной маскирующей последовательностью;
случайно — очистка псевдослучайной маскирующей последовательностью;

применить изменения — нажать комбинацию клавиш <Ctrl+S>.

Для того чтобы включить очистку активных разделов страничного обмена, необходимо в терминале выполнить команду:

Чтобы задать список разделов страничного обмена, для которых не должна выполняться очистка, необходимо в конфигурационном файле /etc/parsec/swap_wiper.conf добавить параметр IGNORE, и через пробел перечислить исключаемые разделы страничного обмена.

Для того чтобы включить очистку освобождаемой внешней памяти, необходимо в терминале выполнить команду:

Для того, чтобы настроить способ очистки, необходимо скорректировать в конфигурационом файле /etc/fstab запись для раздела ФС, на котором требуется очищать блоки памяти при их освобождении, добавив в список параметров монтирования один из следующих параметров:

secdel — очистка предопределенной маскирующей последовательностью;
secdelrnd — очистка псевдослучайной маскирующей последовательностью;

При необходимости можно указать количество перезаписей. Например, при установке числа перезаписей, равного 6, в список параметров монтирования добавляется параметр secdelrnd=6 .

Мандатный контроль целостности

При включении мандатного контроля целостности (МКЦ) для системного параметра ядра parsec.max_ilev в загрузчике ОС устанавливается значение 63 — максимальный уровень целостности по умолчанию. Все процессы, начиная от init и до утилиты графического входа в систему fly-dm , будут запускаться на данном уровне целостности.

Графический сервер Xorg по умолчанию работает от имени учетной записи пользователя на выделенном уровне целостности 8.

Для правильного функционирования МКЦ при работе ОС при включении режима МКЦ автоматически включается МКЦ на корневой файловой системе и присваиваются атрибуты МКЦ (поддерживаются файловые системы ext2, ext3, ext4, XFS).

Объектам файловой системы присваиваются атрибуты МКЦ в соответствии с конфигурационным файлом /etc/parsec/fs-ilev.conf . В данном конфигурационном файле перечислены объекты файловой системы и их уровень целостности в формате: <level> <path>, где:

<level> — уровень целостности;
<path> — объект/объекты файловой системы или путь к ним.

Значения, присваиваемые уровню целостности <level> в конфигурационном файле, приведены в таблице ниже.

Явно заданный уровень. Может быть десятичным, восьмеричным, шестнадцатеричным или двоичным числом

Если в файле указаны несуществующие и не абсолютные пути, то они игнорируются. Корневому каталогу («/») уровень целостности не назначается.

После установки новых пакетов, а также в процессе работы ОС создаются новые файлы, например в /etc , которым атрибуты МКЦ автоматически не присваиваются.

Чтобы привести МКЦ файловой системы в соответствие конфигурационном файлу /etc/parsec/fs-ilev.conf , необходимо в терминале выполнить команду:

В процессе эксплуатации ОС

Для всех уровней защищенности

При возможности не использовать спящие режимы энергосбережения (т.н. сон, sleep, suspend-to-disk, hibernation, гибридный сон и пр.);

На компьютерах, введённых в домен, при наличии возможности, ограничить вход локальных пользователей, для это в файл /etc/parsec/parsec.conf внести следующие изменения:

закомментировать строку: login_local all # Вход локальных пользователей разрешен для всех;
раскомментировать строку: login_local no # Вход локальных пользователей запрещен для всех ;

В случае разрешения интерактивного входа суперпользователя root для предотвращения подбора его пароля необходимо заблокировать возможность его удаленного входа в ОС посредством включения PAM-модуля pam_securetty в файл сценария /etc/pam.d/common-auth . Для этого необходимо в «Primary block» в указанном файле первой строкой добавить:
auth required pam_securetty.so

Включить, при наличии возможности, режим системного киоска для каждого пользователя — см. Системный Киоск: пакет parsec-kiosk2 (ограничения пользователя);
Включить, при наличии возможности, режим графического киоска (ограниченный набор приложений) для каждого пользователя — см. Графический киоск.

Дополнительно на уровнях защищенности «Усиленный» и «Максимальный»

В случае необходимости использования мандатного управления доступом на сетевых дисках, их монтирование в файловую систему ОС должно осуществляться только с использованием файловой системы CIFS, поддерживающей расширенные (в т.ч. мандатные) атрибуты пользователей;

Использование файловой системы NFS для доступа к сетевым дискам возможно при выполнении следующих условий:

на сетевых дисках не используется мандатное управление доступом;
версия используемого протокола NFS не ниже 3.

не допускается отключение аутентификации (установка значения None параметра DefaultAuthType конфигурационном файле /etc/cups/cupsd.conf ) и внесение изменений в параметры политики PARSEC;

в режиме мандатного управления доступом конфигурационные параметры агента передачи электронной почты Exim и агента доставки электронной почты Dovecot не должны допускать отправку и прием сообщений электронной почты без аутентификации;

в конфигурационном файле кластера postgresql.conf для параметра enable_bitmapscan установить значение off и для параметра ac_ignore_socket_maclabel установить значение false ;

не допускается отключать аутентификацию субъектов доступа установкой в конфигурационном файле кластера pg_hba.conf режима trust (без аутентификации);

Не допускается отключение администратором системы расширения XPARSEC у Х-сервера (использование отладочной опции XPARSEC=Disable в конфигурационных файлах Х-сервера);

При использовании пакета qemu-guest-agent не допускать запуск программы qemu-ga от привилегированного пользователя (с уровнем целостности выше нуля) с параметром — m unix-listen и параметрами -p и -t, указывающими на файлы и сокеты, доступные непривилегированным субъектам доступа (т.е. процессам с уровнем целостности, равным нулю).

Условия применения программного обеспечения в ОС на уровнях защищенности «Усиленный» и «Максимальный»

Программное обеспечение (ПО), образующее совместно с ОС доверенную программную среду, должно применяться при соблюдении следующих условий:

Необходимость и корректность использования в ПО привилегий администратора, прикладного программного интерфейса подсистемы безопасности PARSEC, мандатных привилегий, функционирования в пространстве ядра или только на высоком уровне механизма мандатного контроля целостности должны быть обоснованы в документации на данное ПО;
ПО при обработке запросов пользователей не должно взаимодействовать с защищенной СУБД, установленной в ОС, от имени пользователя с привилегиями PARSEC_CAP_SETMAC и PARSEC_CAP_CHMAC , позволяющими изменять мандатные атрибуты защищаемых объектов в СУБД;
ПО, содержащее сетевые службы (программы, обрабатывающие запросы пользователей с применением протоколов стека TCP/IP), которые используют привилегии ( PARSEC_CAP_SETMAC и PARSEC_CAP_PRIV_SOCK ) и прикладной программный интерфейс подсистемы безопасности PARSEC, установленной в ОС, должно пройти сертификационные исследования, подтверждающие корректность реализации указанных служб;
Программный компонент RabbitMQ не допускается применять при одновременной обработке данных с различными уровнями конфиденциальности либо для обеспечения взаимодействия процессов с различными уровнями доступа;
Для ПО, использующего модуль wsgi_mod для Apache, установленной в ОС, в документации разработчика ПО должен быть определен перечень сценариев работы модуля wsgi_mod . При этом должны быть исключены сценарии работы wsgi_mod в режимах, предусматривающих работу вне контекста пользователя и изменяющих процесс аутентификации;
ПО, обрабатывающее одновременно данные с различными уровнями конфиденциальности, не должно использовать программные пакеты Erlang.

ПО, образующее совместно с ОС доверенную программную среду, не должно изменять алгоритм принятия решения о предоставлении доступа субъектов (пользователей) к объектам ОС и содержать скрытых или явных возможностей, позволяющих:

подменять файлы образа ядра vmlinuz-* , находящиеся в каталоге /boot , файлы модулей ядра, находящиеся в каталоге /lib/modules , и прочие файлы, входящие в состав ОС или стороннего ПО;
статически или динамически изменять таблицу системных вызовов и поля структуры типа security_operations и иных структур типа *security* ;
переопределять основной процесс ОС в конфигурационном файле загрузчика путём установки параметра init=<полный_путь_к_исполняемому_файлу> ;
изменять параметры аутентификации пользователей в конфигурационных файлах PAM-сценариев, находящихся в каталоге /etc/pam.d ;
устанавливать подгружаемые модули аутентификации (PAM-модули), определяющие мандатные атрибуты сессии пользователя с использованием функций API библиотеки libparsec-mac подсистемы безопасности PARSEC, имена которых начинаются с префиксов mac_set_, parsec_ или pdp_ ;
устанавливать PAM-модули, определяющие привилегии PARSEC сессии пользователя с использованием функций API библиотеки libparsec-cap подсистемы безопасности PARSEC, имена которых начинаются с префиксов mcap или parsec_ ;
устанавливать серверы печати, позволяющие осуществить вывод на печать документов в обход защищенного сервера печати, установленного в ОС;
устанавливать интерпретаторы команд, заменяющие интерпретаторы, установленные в ОС (bash, dash, PHP, Perl, Python, TCL, Ruby);
получать доступ к памяти других процессов ПО с использованием привилегии CAP_SYS_PTRACE и системного вызова ptrace ;
изменять системное время (если наличие возможностей по изменению времени не предусмотрено функциональным назначением ПО);
динамически изменять сегмент кода ядра ОС и использовать неэкспортируемые символы ядра ОС;
осуществлять доступ к файлу ctl файловой системы parsecfs посредством системного вызова ioctl , минуя системные функции API-библиотек libparsec-* .

Для управления авторизацией пользователей и обеспечения работы средств разграничения доступа в сервере гипертекстовой обработки данных Apache2 используется параметр AstraMode . Этот параметр может быть задан глобально в конфигурационном файле /etc/apache2/apache2.conf . По умолчанию режим включен, а параметр AstraMode не используется (закомментирован), что соответствует значению AstraMode on . Для отключения режима авторизации в конфигурационном файле /etc/apache2/apache2.conf следует добавить/изменить параметр на AstraMode off .

При отключенной авторизации пользователей Apache2 осуществляет все запросы к своим ресурсам посредством только одной системной учетной записи (по умолчанию www-data ), которая в случае настроенной политики мандатного контроля целостности имеет уровень целостности равный 1.

Как в астра линукс запретить очистку браузера

По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:

0 Уровень_0
1 Уровень_1
2 Уровень_2
3 Уровень_3

При необходимости, количество уровней конфиденциальности может быть увеличено до 255.

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатные атрибуты ->
Уровни целостности

Управление в консольном режиме:

Проверка состояния:

userlev
0 Уровень_0
1 Уровень_1
2 Уровень_2
3 Уровень_3
———

Режим Мандатного Контроля Целостности

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатный контроль целостности

Управление в консольном режиме:

Проверка состояния

cat /proc/cmdline | grep "parsec.max_ilev"

Режим Мандатного Контроля Целостности ФС

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Мандатный контроль целостности

Управление в консольном режиме

Режим ЗПС (замкнутой программной среды) в исполняемых файлах

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда
———

Блокировка консоли для пользователей

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности

Управление в консольном режиме

Проверка состояния

systemctl is-enabled astra-console-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
———

Блокировка интерпретаторов

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности

Управление в консольном режиме

Проверка состояния

systemctl is-enabled astra-interpreters-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
———

Блокировка макросов

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности

Управление в консольном режиме

Проверка состояния

systemctl is-enabled astra-macros-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
———

Блокировка трассировки ptrace

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

Управление в консольном режиме

Проверка состояния

systemctl is-enabled astra-ptrace-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
———

Гарантированное удаление файлов и папок

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памяти

Управление в консольном режиме

Добавить опцию монтирования secdel в файле /etc/fstab

Межсетевой экран ufw

Управление в графическом режиме

Управление в консольном режиме

Проверка состояния

ufw status
Status: active включен
Status: inactive выключен

Системные ограничения ulimits

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности

Управление в консольном режиме

Проверка состояния

systemctl is-enabled astra-ulimits-control
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка клавиш SysRq

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

Управление в консольном режиме

sysctl -w kernel.sysrq=0
sysctl -w kernel.sysrq=1

Проверка состояния

cat /proc/sys/kernel/sysrq
0 включен
1 выключен

Режим ЗПС (замкнутой программной среды) в расширенных атрибутах

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда

Графический киоск

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности

Системный киоск

Управление в графическом режиме с помощью графического инструмента fly-admin-kiosk:

Панель Управления -> Безопасность -> Системный киоск
———

Astra Linux «Орел» Common Edition: есть ли жизнь после Windows

Astra Linux — дериватив Debian, который был создан в рамках российской инициативы перехода на СПО. Существует несколько версий Astra Linux, одна из которых предназначена для общего, повседневного использования — Astra Linux «Орел» Common Edition. Российская операционка для всех — это по определению интересно, и я хочу рассказать об «Орле» с позиции человека, который ежедневно пользуется тремя операционными системами (Windows 10, Mac OS High Sierra и Fedora) и при этом последние 13 лет был верен Ubuntu. Опираясь на этот опыт, я рассмотрю систему с точки зрения установки, интерфейсов, ПО, базовых возможностей для разработчиков и удобства с разных ракурсов. Как покажет себя Astra Linux в сравнении с более распространенными системами? И сможет ли она заменить Windows дома?

Ставим Astra Linux

Установщик Astra Linux имеет большое сходство с установщиком Debian. Пожалуй, первый даже проще, так как большинство параметров фиксировано по умолчанию. Начинается все с общего лицензионного соглашения на фоне не слишком многоэтажной застройки. Возможно, даже в Орле.

Важный пункт в установке — это выбор софта, который идет по умолчанию с системой. Доступные опции покрывают стандартные офисные и рабочие потребности (для «неразработчиков»).

Также последним окном идет дополнительный набор настроек: блокировка интерпретаторов, консоли, трассировки, установки бита исполнения и т. д. Если эти слова вам ничего не говорят, лучше нигде галочки не проставлять. К тому же все это при необходимости можно настроить потом.

Система ставилась внутри виртуальной среды при скромных ресурсах (относительно современных систем). Нареканий по скорости и производительности не возникало. Конфигурация, на которой проходило тестирование, описана ниже.

Процедура установки обычная: монтируем iso-образ, инсталлируем через стандартный процесс установки системы и выжигаем GRUB загрузчик.

Система при загрузке нетребовательна к ресурсам — порядка 250-300 МБ RAM при запуске для десктопного режима.

Альтернативные варианты запуска: режим планшета и телефона

При входе в систему можно выбрать один из нескольких вариантов запуска: безопасный, десктоп, мобильный или планшетный.

Для работы на сенсорных устройствах можно включить экранную клавиатуру.

Посмотрим, что интересного в разных режимах. Десктопный — это обычный режим, где система похожа на Windows.

Планшетный режим подойдет для крупных сенсорных экранов. Помимо очевидных внешних отличий, которые можно увидеть на скриншоте ниже, здесь есть другие особенности интерфейса. Курсор в планшетном режиме невидим, кнопка закрытия приложений вынесена на панель задач. Полноэкранные приложения работают несколько иначе, файлы в файл-менеджере также выбираются по-другому.

Стоит упомянуть и мобильный режим — здесь все примерно так же, как в Android. Используется графическая среда Fly. В сенсорных режимах работает длительное касание, по которому можно вызвать контекстное меню. Мобильный режим потребляет несколько больше ресурсов по сравнению с десктопным и планшетным.

Наличие разных режимов работы — это удобно. Например, если вы используете планшет с подключаемой клавиатурой и, соответственно, сенсорные и несенсорные сценарии использования.

Обновление системы

Перед тем как начать пользоваться системой, ее нужно обновить. В основном репозитории Astra Linux 14 тысяч пакетов (стабильная, тестовая и экспериментальная ветка). Экспериментальная ветка в скором времени получит нестабильные обновления, поэтому будем тестировать ветку testing. Меняем репозиторий на testing.

Запускаем обновление репозитория и обновляем систему. Для этого жмем кнопку «Обновить» сверху слева, потом «Отметить все обновления», затем «Применить». Перезагружаемся.

Пользовательская политика

Новые пользователи создаются в системе через утилиту управления политикой безопасности.

По умолчанию предусмотрена функция удаленного входа (Панель управления — Система — Вход в систему).

Помимо обычной отдельной и удаленной сессии, можно запустить вложенную сессию (Пуск — Завершение работы — Сессия).

С первыми двумя все понятно. А вложенная сессия — это сессия, которая запускается в окне текущей сессии.

Сессии, кстати, можно завершать через отложенное время: не дожидаться окончания длительных операций, а просто настроить автоматическое выключение.

Интерфейс и стандартное ПО Astra Linux

Astra Linux Common Edition напоминает Debian, каким он был несколько лет назад. Заметно, что внешне Astra Linux Common Edition пытается приблизиться к Windows.

Навигация и работа с файловой системой ближе к Windows, чем к Linux. С образом системы прилагается стандартный набор ПО: офисное, работа с сетью, графика, музыка, видео. Системные настройки также сгруппированы в основном меню. По умолчанию доступно четыре экрана.

Как видно, в качестве офисного пакета в системе установлен LibreOffice

Панель управления схожа с Windows/Mac/etc и группирует основные настройки в одном месте.

Файл-менеджер имеет двухпанельный интерфейс и способен монтировать архивы как папки.

Файл-менеджер умеет вычислять контрольные суммы, в том числе по ГОСТ Р 34.11-2012.

В качестве стандартного браузера установлен Mozilla Firefox. Выглядит довольно аскетично, но при этом вполне адекватно. Для примера я открыл и полистал свежий Хабр. Страницы рендерятся, система не падает и не виснет.

Следующий тест — редактирование графики. Скачали картинку с заголовка статьи Хабра, попросили систему открыть ее в GIMP. Тут тоже ничего необычного.

И вот легким движением руки дописываем тест на КПДВ одной из статей. В принципе, здесь отличий от стандартных Linux-систем нет.

Попробуем выйти за пределы простых сценариев и поставить стандартные пакеты через apt-get.

После апдейта индексов:

Для теста установили python3-pip, zsh и прошли установку oh-my-zsh (с доп зависимостью git). Система отработала в штатном режиме.

Как видим, система хорошо показывает себя в рамках стандартных повседневных сценариев обычного пользователя. Если вы ожидаете увидеть здесь привычные для Debian/Ubuntu программы, то их придется ставить дополнительно, ручками (например, если вам нужны пакеты наподобие ack-grep — они ставятся через curl/sh). Можно добавить репозитории в sources.list и пользоваться привычным apt-get.

Собственные утилиты Astra Linux

Описанные выше инструменты — это всего лишь часть того, что доступно пользователям Astra Linux. Помимо этого, разработчики создали порядка ста дополнительных утилит, которые можно поставить через тот же репозиторий, который использовали для обновления системы.

Чтобы найти утилиты, достаточно провести поиск по слову «fly» — у всех нужных утилит такой префикс.

Рассказать обо всех приложениях в рамках одного обзора сложновато, так что мы выберем несколько полезных с точки зрения простого пользователя. Погодное приложение отображает прогноз в выбранных городах России, оно оптимизировано под российский регион.

Также имеется простая графическая утилита с несколькими фильтрами и настройками для поиска по файлам.

Есть собственная утилита контроля заряда батареи и различные режимы, переход к которым настраивается через таймер — выключение монитора, сон, гибернация.

Выбор исполняемых файлов для команд тоже обернули в графическую оболочку. К примеру, можно указать, какой именно «vi» выберет система при запуске команды.

Отдельной админской утилитой можно настроить, какие приложения стартанут при запуске системы.

Присутствует также мониторинг GPS/ГЛОНАСС, скорее полезный в телефоне/планшете (в которых обычно и присутствует соответствующий модуль).

Имеется и своя несложная PDF-читалка, для тестов запущена на книге Free Culture от Lawrence Lessig.

Обо всех утилитах Fly можно почитать в виртуальном туре по Astra Linux, в разделе «Помощь» на виртуальном рабочем столе.

Контраст с основными системами

С точки зрения интерфейса и логики элементов управления система скорее напоминает классический Windows XP, а временами — отдельные элементы Mac OS.

С точки зрения утилит, консоли и «железячной» части система похожа на классический Debian, что довольно неплохо и привычно тем же пользователям Ubuntu и Minted, хотя самым продвинутым будет не хватать привычного спектра пакетов из всех репозиториев.

Если накладывать свой опыт на портрет потенциальных пользователей, в отношении новой системы у меня создаются положительные ожидания. Основываясь на своем опыте работы с Windows/Mac, обычные пользователи смогут без проблем освоиться в Astra Linux Common Edition. А более продвинутые юзеры Linux с помощью стандартных unix-утилит настроят все, как им удобно.

Текущая версия Astra Linux основана на Debian 9.4, также в ней доступно свежее ядро из Debian 10 (4.19).

Конечно, существуют более новые версии Ubuntu, но есть один маленький, но значимый нюанс — они не LTS (Long Term Support). LTS-версии Ubuntu идут вровень с Astra Linux по версиям пакетов. Я взял данные по Astra Linux (сертифицированной Astra Linux Special Edition, чтобы было легче отследить даты выпуска версий ОС) из Wikipedia, сравнил со сроками выхода LTS-версий Ubuntu, и вот что получилось:

LTS релиз Ubuntu		Релиз Astra Linux Special Edition
Дата	Версия	Дата	Версия
17.04.2014	14.04 LTS	19.12.2014	1.4
21.04.2016	16.04 LTS	08.04.2016	1.5
26.04.2018	18.04 LTS	26.09.2018	1.6

Вердикт

Основные преимущества Astra Linux «Орел» Common Edition:

Не падает, не зависает, критичных глюков не замечено.
Удачно мимикрирует под интерфейсы Windows NT/XP.
Простота и удобство установки.
Низкие требования по ресурсам.
Предустановлено основное ПО: офисный пакет LibreOffice, графический редактор GIMP и т. д.
Большой набор дополнительных утилит.
Версии пакетов старее, чем у последних версий Ubuntu.
Свой репозиторий меньше, чем у Ubuntu и Debian.

Вместе с тем, для домашних пользователей сидеть на LTS-дистрибутиве, может, и не актуально, а для организаций — вполне нормальный вариант. Поэтому выбор разработчиков Astra Linux, нацеленных на корпоративный сегмент, понятен и логичен.

Что касается недостатков, то они, скорее, справедливы для тех, кто привык работать с Linux, так как внешне Astra Linux «Орел» гораздо ближе к Windows, чем к Linux.

Astra Linux «Орел» Common Edition выглядит как неплохая замена офисной версии Windows в рамках программы перехода на свободное программное обеспечение госорганов, а для домашнего использования она может показаться несколько консервативной.

От компании Astra Linux: мы постоянно общаемся с пользователями нашей операционной системы. Нам регулярно пишут о своих впечатлениях — не только те, кто недавно перешел на нашу ОС, но и пользователи, которые давно пользуются нашим ПО. Если у вас есть инсайты, которыми вы готовы поделиться и описать свои пользовательские впечатления от Астры — пишите в комментариях и в наших социальных сетя

Записки IT специалиста

Astra Linux 2.12 Orel — избавляемся от стереотипов о российском ПО

Автор: Уваров А.С.
26.05.2019

Хорошо говорить об отечественном ПО у нас почему-то не принято. Да, многие образцы ведомственных программ представляют шедевры криворукости, но это не повод мазать всю отрасль одной краской. Сегодня существует определенный ажиотаж вокруг отечественной ОС и темы импортозамещения. Если отбросить отсюда всю информационную мишуру, то мы не видим в данной затее ничего плохого, особенно если речь идет об информационных структурах государственных и силовых ведомств. Сегодня мы решили рассмотреть отечественную ОС Astra Linux, недавно получившую допуск для работы с данными высшей степени секретности.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

В отличие от недавно рассмотренного нами Эльбруса, который был выложен в виде мало к чему пригодного полуфабриката, Astra Linux является завершенным коммерческим продуктом. Существуют две основных редакции ОС: общего назначения ( Common Edition) — релиз «Орел» и специального назначения (Special Edition) — релиз «Смоленск». Понятно, что все доступы и сертификаты имеет ОС специального назначения и просто так получить ее не представляется возможным, в то же время «Орел» доступен всем желающим и бесплатен для некоммерческого применения.

Чтобы сразу пресечь спекуляции по поводу платного Linux, скажем, что свободное ПО не ставит знак равенства с бесплатным. Хотя мы и считаем, что финансирование отечественной ОС должно производиться государством, коммерческая модель здесь тоже имеет место и если деньги за систему пойдут отечественным разработчикам — ничего плохого в этом не будет. Тем более основные заказчики Astra Linux — это силовые ведомства, а там свои методы финансирования и взаимоотношений с подрядчиками.

С учетом того, что Astra Linux в полной мере поддерживает отечественную криптографию, цена лицензии на ОС общего назначения не так уж велика.

Но не будем долго растекаться мыслью по дереву, а собственными глазами посмотрим на продукт отечественных разработчиков. Astra Linux основан на базе Debian, поэтому уже становится понятно, что нам следует ожидать и как должна работать данная ОС. Debian — хорошая система, стабильная, с большим набором ПО и документации, а также наиболее свободная из основных дистрибутивов (никакая зарубежная корпорация за ней не стоит), поэтому ее выбор за основу вполне обоснован.

Инсталлятор представляет собой стандартный инсталлятор Debian, поэтому мы не будем подробно на нем останавливаться, все привычно и понятно. Сразу обратим внимание на предлагаемый выбор ПО, а именно на графическую оболочку Fly, которая является собственной разработкой. Это сразу ставит Astra Linux несколько особняком от других дистрибутивов на базе Debain, собственными графическими оболочками могут похвастаться немногие из них.

Что касается набора ПО, то для рабочей станции он достаточно сбалансирован, а что-то специализированное всегда можно поставить отдельно, специалисты обычно знают, что им нужно, а простому пользователю обилие «непонятных» пакетов ни к чему.

Отдельно предлагается ряд специфичных настроек, скажем, возможность использовать ядро Hardened, включающее в себя дополнительные настройки безопасности или возможность использовать службу ALD (Astra Linux Directory). Про нее следует сказать отдельно, это не очередная свободная реализация Active Directory, а полностью самостоятельная разработка с прицелом на создание собственной доменной системы. Процитируем разработчиков:

При разработке ALD задача имитации контроллера домена Microsft Windows не решалась. Таким образом, включение машины ОС Microsft Windows в домен ALD штатными средствами ОС Microsft Windows невозможно. Установив в ОС Microsft Windows клиента MIT Kerberos вы сможете получить билеты Kerberos на сервере ALD. Далее вы получите доступ к серверам печати, СУБД, WEB и электронной почты в сеансе с нулевыми мандатными атрибутами. Если вам необходимо получать доступ к ресурсам серверов, работающих под управлением Astra Linux, в ненулевом мандатном контексте, то вам необходимо самостоятельно разработать клиента ALD под Microsft Windows.

Может показаться, что разработчики изобретают очередной велосипед, но это не так, обычные, «гражданские» системы, в том числе и Active Directory, применяют дискреционное (избирательное) управление доступом. Это предполагает, что у каждого объекта системы есть свой владелец, который и устанавливает права доступа к нему, также может быть суперпользователь (Администратор, root и т.д.) который может изменить владельца и права доступа к любому объекту.

В структурах с конфиденциальной и секретной информацией применяется иной подход — мандатное (принудительное) управление доступом, основанное на имеющихся у субъекта уровнях доступа.

Простой пример: допустим Василий на некоторое время был переведен в отдел A, получил на файловом сервере свою папку и работал в ней с документами, потом вернулся в отдел B. При избирательном доступе Василий потеряет доступ к папкам отдела А, но сохранит доступ к собственной папке и файлам, так как является их владельцем. При мандатном доступе, покинув отдел А от потеряет право доступа к документам с отметкой «для служебного использования», в том числе и к тем, что он создал.

Astra Linux Directory как раз представляет реализацию домена с мандатной системой и никоим образом не заменяет и не подменяет Active Directory, представляя систему с принципиально иным подходом к разграничению прав доступа.

В остальном процесс установки ничем не отличается от Debian и каких-либо затруднений не вызывает. Окно входа в систему выполнено достаточно аккуратно, преимущественно в плоском стиле, в строгой цветовой гамме.

После входа в систему нас встречает рабочий стол. От былой аляповатости не осталось и следа, все строго и выверено. И если встречать по одежке, то здесь у Astra Linux все хорошо, а сам рабочий стол чем-то напоминает KDE и Windows одновременно, представляя собой классическое рабочее пространство, что не должно вызвать сложностей с его освоением.

Меню Пуск также выполнено в классическом стиле и ему не хватает интерактивного поиска, но в остальном впечатления только приятные. Набор прикладного софта преимущественно стандартный, входящий в актуальный Debain, подобран хорошо и закрывает большинство потребностей пользователя из коробки.

Терминал также собственный, с поддержкой вкладок, вкладки можно называть по собственному усмотрению, что весьма удобно. Также система имеет собственные репозитории, выше на скриншоте мы как раз запустили процесс обновления.

Файловый менеджер довольно прост, на уровне простых оболочек вроде XFCE или LXDE, но понятен и удобен в работе.

Но есть и интересные «фишки» вроде двухпанельного режима:

Также обращает внимание довольно скромное потребление системных ресурсов, на виртуальной машине с 2 ГБ памяти Astra Linux чувствует себя достаточно комфортно.

В качестве офисного пакета используется LibreOffice с плоской темой, отлично вписываясь в общий вид системы, некоторое недоумение вызвал только калькулятор. Нет, он очень крутой, но большинству этого не надо.

Даже если говорить за себя, то такой калькулятор нам нужен, но не на каждый день. Тем более что в репозиториях мы нашли более привычный вариант:

Игры и Linux до сих пор остаются в напряженных отношениях, так и здесь, в комплекте идет пару простейших игр типа сапера, древняя стратегия и неожиданно для себя мы обнаружили достаточно неплохой платформер, на обеде в офисе будет чем заняться.

Панель управления также несет в себе сильное влияние Windows и в данном случае это хорошо, пользователь получает более-менее привычные инструменты, что позволяет решать многие задачи просто по аналогии.

Скажем настройка автозагрузки:

Или переменных окружения:

Понятные русские описания опций заслуживают отдельного внимания. Вроде бы мелочь, но из таких мелочей и складывается впечатление о продукте.

Одним из недостатков системы некоторые обозреватели ставят отсутствие магазина приложений. Да это так, и это можно было бы записать в недостаток, если бы не четкое позиционирование данной системы для государственных и силовых учреждений. Спросите любого системного администратора что он думает о магазине в Windows 10, узнаете много интересного, скорее всего в непечатной форме. Исходя из этого, отсутствие магазина становится не столь критичным. Нужное ПО установит администратор, а у пользователей будет меньше соблазнов.

Из графических инструментов доступен привычный Synaptic и простая утилита для обновления:

Второй из озвучиваемых недостатков — слабая поддержка Samba из коробки. Действительно, ее нужно настраивать руками. Хотя, учитывая стремление разработчиков к собственной экосистеме со своим доменом, это выглядит вполне обоснованным. Там, где будет применяться Astra Linux, особенно специальный выпуск, взаимодействие с Windows машинами будет далеко не самой главной задачей, а скорее наоборот.

Ну а при необходимости нормальный администратор все быстро настроит, Samba она везде одинаковая. Также можно скачать из репозитория графический инструмент управления, который поможет быстро расшарить папку.

В целом же система очень приятна, как по внешнему виду, так по комфорту работы. Существенных недостатков мы не обнаружили, а описанные выше явно притянуты за уши, особенно если учитывать назначение системы.

Так как у нас система общего назначения, то попробуем установить что-нибудь со стороны, для этого выпуска это вполне допустимо, в отличии от систем специального назначения. Попробуем скачать и установить Google Chrome. Никаких проблем у нас при этом не возникло, а все зависимости подтянулись из собственных репозиториев дистрибутива.

Как видим, система не ставит никаких палок в колеса и позволяет без проблем ставить сторонние пакеты, подключать сторонние репозитории и вам доступны все возможности экосистемы Debian.

Но мы пошли дальше, попробовав установить клиентскую часть 1С:Предприятие, что не вызвало у нас ни малейших затруднений.

За все время работы в Astra Linux у нас не возникло каких-либо серьезных проблем. По большинству ощущений это все тот же Debain, если вы умеете работать с ним или его производными, то и с Astra проблем не возникнет. Но в тоже время Astra Linux не просто еще один Debian, многие пакеты, такие как SSH, OpenVPN, веб-сервера скомпилированы с поддержкой отечественной криптографии, что важно для определенных сфер применения.

В заключение хочется сказать, что Astra Linux нам понравился. Это хорошая отечественная система с довольно специфичными областями применения, но в тоже время она выглядит очень достойно и в качестве дистрибутива общего назначения. И особенно приятно, что она идет против всех сложившихся стереотипов о российском ПО, представляя пример отличного современного дистрибутива с собственной графической оболочкой и внимательным подходом к мелочам.

Дополнительные материалы:

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Astra Linux политика учетных записей

Astra Linux неплохая альтернатива от отечественных разработчиков. Если вам необходимо заменить Windows, на неё стоит обязательно обратить внимание. Сам пользовался, ставил в качестве рабочих станции. В обоих случаях показала себя неплохо. Поэтому решил написать несколько статей, небольших инструкций так сказать, по работе с данной ОС. Сегодня рассмотрим политику безопасности.

По умолчанию в Astra Linux полита настроена не достаточно строго. Например, пароль должен содержать не менее 8 символов, причем можно использовать только цифры. Также только после 8 не успешных попыток ввода пароля учетная запись заблокируется. В наше время политика должна быть настроена намного строже.

Системный администратор помни безопасность превыше всего!

Как настроить политику учетных записей

Для того чтобы изменить параметры блокировки, а так же сложность и срок действия паролей необходимо зайти в «Политику безопасности».

Astra политика безопасности

Тут нас интересует раздел «Политики учетной записи». Начнем с пункта «Блокировка». Советую изменить количество попыток на 3. Также выставить период блокировки минимум 15 минут.

Astra Linux блокировка учетных записей

Дальше открываем раздел «Политика паролей» и переходим во вкладку «Сложность». Минимальные требования к паролям это минимум 6 символов содержащие буквы в разных регистрах и цифры.

Админ ни когда не используй простые пароли тиап Qwe123, Qaz123 и тому подобные.

Политика паролей Astra Linux

Пароли должны обновляться хотя бы один раз в месяц.

срок действия пароля Astra Linux

На следующей вкладке можно создать шаблоны устаревания.

Шаблоны Astra Linux

Вводим имя шаблона и заполняем остальные поля.

Astra Linux шаблон политик

Большинство системных администраторов не уделяют особое внимания политикам безопасности. Особенно это касается начинающих, которые делают всем одинаковые пароли Qwe123 без ограничения срока. Потом плачут, как так взломали пароль, зашифровали диск украли важную инфу и требуют выкуп.

Всего этого можно очень легко избежать если соблюдать минимальные требования безопасности, в 2020 году это очень актуальна. Так как очень много злоумышленников появилось. Которые без особого труда подберут пароль.

Системный администратор помни пароли должны быть сложными, желательно быть сгенерированными автоматически и меняться раз в месяц!

Руководство администратора (КСЗ) ОС «Astra Linux Special Edition»

Операционная системы (ОС) специального назначения «Astra Linux Special Edition» предназначена для построения автоматизированных систем в защищенном исполнении, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну с грифом не выше «совершенно секретно».

Комплекс средств защиты (КСЗ, подсистема безопасности PARSEC) предназначен для реализации функций ОС по защите информации от НСД и предоставления администратору безопасности информации средств управления функционированием КСЗ.

В состав КСЗ входят следующие основные подсистемы:

модули подсистемы безопасности PARSEC, входящие в состав ядра ОС;
библиотеки;
утилиты безопасности;
подсистема протоколирования (регистрации);
модули аутентификации;
графическая подсистема;
консольный вход в систему;
средства контроля целостности;
средства восстановления;
средства разграничения доступа к подключаемым устройствам;
средства разграничения доступа к виртуальным машинам.

КСЗ обеспечивает реализацию следующих функций ОС по защите информации от НСД:

идентификацию и аутентификацию;
дискреционное управление доступом;
мандатное управление доступом;
регистрацию событий безопасности;
ограничение программной среды;
изоляцию процессов;
защиту памяти;
контроль целостности;
обеспечение надежного функционирования;
фильтрацию сетевого потока;
маркировку документов;
защиту среды виртуализации;
контроль подключения съемных машинных носителей информации.

Перечень эксплуатационной документации, с которыми необходимо ознакомиться администратору

Операционная системы специального назначения «Astra Linux Special Edition». Руководство администратора, часть 1. РУСБ 10015-01 95 01-1;
Операционная системы специального назначения «Astra Linux Special Edition». Руководство администратора, часть 2. РУСБ 10015-01 95 01-2;
Операционная системы специального назначения «Astra Linux Special Edition». Руководство по комплексу средств защиты информации, часть 1. РУСБ 10015-01 97 01-1;
Операционная системы специального назначения «Astra Linux Special Edition». Руководство по комплексу средств защиты информации, часть 2. РУСБ 10015-01 97 01-2;
Операционная системы специального назначения «Astra Linux Special Edition». Руководство пользователя. РУСБ 10015-01 93 01;

Подготовка к работе

Состав и содержание дистрибутивного носителя данных представлен в таблице

Путь расположения и название дистрибутива	Назначение
smolensk-1.6-20.06.2018_15.56.gost	Файл с контрольной суммой образа ОС специального назначения «Astra Linux Special Edition» созданой с использованием алгоритма gost
smolensk-1.6-20.06.2018_15.56.iso	Образ ОС специального назначения «Astra Linux Special Edition».
smolensk-1.6-20.06.2018_15.56.md5	Файл с контрольной суммой образа ОС специального назначения «Astra Linux Special Edition» созданой с использованием алгоритма md5

DVD-диск с дистрибутивом ОС содержит все необходимые файлы для выполнения полной или частичной установки на жесткий диск целевого компьютера, имеющего устройство чтения DVD-дисков. ОС можно также установить с USB-накопителя или по сети.

Установка с DVD-диска (запуск программы установки)

Выполнение программы установки ОС начинается с ее запуска, а затем, после выбора во входном меню конкретных параметров пользовательского интерфейса, начинается работа самой программы в интерактивном или автоматическом режимах.

В самом начале загрузки программы установки на экране монитора появляется логотип ОС, меню, переключатель «Русский» – «English» (для изменения языка меню). Меню программы установки содержит следующие пункты:

1) «Графическая установка»;

3) «Режим восстановления».

В нижней части экрана приведен список функциональных клавиш, подключающих дополнительные возможности программы установки:

Чтобы начать установку ОС, следует выбрать пункт «Графическая установка» или «Установка» с помощью клавиш со стрелками на клавиатуре и нажать <Enter> для запуска программы. Произойдет переход к программе установки в графическом или в текстовом режиме, соответственно.

Пункт «Режим восстановления» запускает ОС в текстовом режиме непосредственно

с DVD-диска с дистрибутивом ОС для использования при восстановлении нарушенной работоспособности уже установленной ОС.

После этого на экране будет показана командная строка загрузки, и можно будет ввести дополнительные параметры.

Программа установки в графическом и в текстовом режимах имеет одинаковую функциональность, т. к. в обоих случаях используются одни и те же модули, т. е. отличаются они только на уровне пользовательского интерфейса.

Для программы установки в графическом режиме требуется 1 ГБ свободного пространства на диске.

Графическая установка и первичная настройка

Для графической установки ОС необходимо:

загрузить программу установки ОС с носителя;
выбрать настройки программы установки и оборудования;
активировать подключение к сети Ethernet;
создать учетную запись и пароль пользователя;
настроить время;
создать и смонтировать дисковые разделы, на которые будет установлена ОС;
выбрать и установить необходимое программное обеспечение (ПО). После установки базовой системы предоставляется возможность (при необходимости) выбрать дополнительное ПО для установки:
базовые средства;
рабочий стол Fly;
приложения для работы с сенсорным экраном;
средства работы в сети;
офисные средства;
СУБД;
средства удаленного доступа SSH;
защищенный web-сервер;
средства виртуализации;
средства мультимедиа;
служба ALD;
выбрать и установить (при необходимости) дополнительные настройки безопасности ОС;
установить и настроить системный загрузчик Grub;
загрузить установленную ОС в первый раз.

«Дополнительные настройки ОС» оставить настройки по умолчанию.

Описание дополнительных функции безопасности ОС:

1) «Включить режим замкнутой программной среды»

При выборе данного пункта будет включен механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF (см. РУСБ.10015-01 97 01-1);

2) «Запретить установку бита исполнения»

При выборе данного пункта будет включен режим запрета установки бита исполнения, обеспечивающий предотвращение несанкционированного создания пользователями или непреднамеренного создания администратором исполняемых сценариев для командной оболочки (см. РУСБ.10015-01 97 01-1);

3) «Использовать по умолчанию ядро Hardened»

При выборе данного пункта будет обеспечено использование средств ограничения доступа к страницам памяти (см. РУСБ.10015-01 97 01-1);

4) «Запретить вывод меню загрузчика»

При выборе данного пункта будет запрещен вывод меню загрузчика Grub. В процессе загрузки будет загружаться ядро ОС, выбранное по умолчанию;

5) «Включить очистку разделов страничного обмена»

При выборе данного пункта будет включен режим очистки памяти разделов подкачки swap (см. РУСБ.10015-01 97 01-1);

6) «Включить очистку освобождаемых областей для EXT-разделов»

При выборе данного пункта будет включен режим очистки блоков ФС непосредственно при их освобождении (см. РУСБ.10015-01 97 01-1);

7) «Включить блокировку консоли»

При выборе данного пункта будет блокирован консольный вход в систему для пользователя и запуск консоли из графического интерфейса сессии пользователя (см. РУСБ.10015-01 97 01-1);

8) «Включить блокировку интерпретаторов»

При выборе данного пункта будет блокировано интерактивное использование интерпретаторов (см. РУСБ.10015-01 97 01-1);

9) «Включить межсетевой экран ufw»

При выборе данного пункта будет включен межсетевой экран ufw и запущена фильтрация сетевых пакетов в соответствии с заданными настройками (см. РУСБ.10015-01 97 01-1);

10) «Включить системные ограничения ulimits»

При выборе данного пункта будут включены системные ограничения, установленные

файле /etc/security/limits.conf (см. РУСБ.10015-01 97 01-1);

11) «Отключить возможность трассировки ptrace»

При выборе данного пункта будет отключена возможность трассировки и отладки выполнения программного кода (см. РУСБ.10015-01 97 01-1);

12) «Отключить автоматическую настройку сети»

При выборе данного пункта будет отключена автоматическая настройка сети в процессе установки ОС;

13) «Установить 32-х битный загрузчик»

При выборе данного пункта из системы будет удален 64-х битный загрузчик EFI и установлен 32-х битный загрузчик EFI.

ВНИМАНИЕ! Выбор данной опции при установке на 64-х битную вычислительную машину с поддержкой EFI может привести к тому, что установленная система не загрузится.

Описание операций (Управление работой)

Описание программы «Управление политикой безопасности» (fly-admin-smc)

Программа предназначена для управления политикой безопасности (ПБ), а также управления единым пространством пользователя (ЕПП). В частности, позволяет управлять:

пользователями, группами, настройками и атрибутами: мандатным разграничением доступа (МРД) пользователя, параметрами протоколирования, привилегиями, политикой срока действия пароля, политикой блокировки;
базами данных Parsec (аудитом, мандатными атрибутами и привилегиями);
политикой создания пользователей;
настройками безопасности (устанавливать параметры монтирования для очистки блоков памяти при их освобождении, настраивать очистку разделов страничного обмена при выключении системы);
параметрами подключения внешних устройств (учитывать носители и управлять их принадлежностью, протоколированием и мандатными атрибутам.

При работе с политиками безопасности программа выполняет те же действия, что консольная утилита ald-admin. Запускается в режиме администратора. Для вызова привилегированных действий запрашивается авторизация.

Главное окно программы содержит меню (Меню), панель инструментов (Панель инструментов) и боковую панель для навигации по дереву настроек ПБ (Панель навигации) с рабочей панелью справа.

Главное окно программы

Меню программы содержит следующие пункты:

«Файл»:
«Выход» — работа программы завершается;
«Правка» — пунктами подменю добавляется/удаляется раздел в дереве настроек ПБ на боковой панели «Элементы» (Панель навигации), а также изменяются соответствующие ему значения параметров настройки:
«Обновить» — содержимое панелей обновляется;
«Удалить» (активируется при выделении раздела) — появляется окно с запросом на подтверждение удаления. После подтверждения или отмены окно закрывается и раздел, соответственно, удаляется или не удаляется;
«Создать» (активируется при выделении раздела или объединения разделов) — позволяет создать новый раздел, а также рабочую панель с элементами настройки этого нового раздела. На панели «Свойства» появляется новая форма или вспомогательное окно для установки необходимых параметров;
«Применить» — установленные настройки применяются;
«Отмена» — отмена изменения настроек;

«Настройки»:

«Плагины» — открывается окно «Плагины и модули», во вкладках «Плагины» и «Модули» которого отображаются, соответственно, загружаемые плагины и модули, а в строке «Путь» отображается маршрутное имя каталога с файлами для их хранения. Управляющие элементы:
[Изменить] — открывается диалоговое окно для установки нового имени каталога с файлами для хранения. После подтверждения или отмены окно закрывается, и новое имя каталога, соответственно, устанавливается или не устанавливается;
[Закрыть] — окно закрывается;

«Содержание» — вызов окна справки;
«О программе…» — вызов окна с краткой информацией о программе.

На панели инструментов располагаются подвижные панели с кнопками быстрой навигации по дереву функциональных категорий данных на боковой панели ([Перейти к родительскому элементу дерева], [Перейти к первому дочернему элементу дерева], [Перейти к предыдущему или родительскому элементу дерева], [Перейти к следующему элементу дерева]), кнопками, которые повторяют аналогичные пункты меню «Правка» (см. Меню) и выпадающим списком для установки фильтра отображения категорий данный на рабочей панели.

Щелчком правой кнопки мыши на панели меню или на панели инструментов открывается контекстное меню с флагами установки показа на панели инструментов соответствующих подвижных панелей с этими кнопками.

Настройки политики безопасности по своему функциональному и смысловому значению объединяются в группы и структурно организуются в дереве настроек ПБ, которое отображается на боковой панели навигации: «Аудит», «Группы», «Мандатные атрибуты», «Замкнутая программная среда», «Мандатные атрибуты», «Мандатный контроль целостности», «Монитор безопасности», «Настройки безопасности», «Политики учетной записи», «Пользователи», «Привилегии» и «Устройства и правила».

Щелчком левой кнопки мыши на знаке в вершине дерева или щелчком левой кнопки мыши на названии вершины эта вершина разворачивается, если была свернута и, наоборот, сворачивается, если была развернута. После разворачивания вершины появляются названия разделов и/или сводов разделов, входящих в эту вершину. Для оперативного перемещения по дереву используются кнопки панели инструментов (см. Панель инструментов).

Терминальная вершина дерева настроек политики безопасности называется разделом, а нетерминальная вершина — сводом разделов. Раздел или свод разделов выделяется щелчком левой кнопки мыши на нем. После выделения справа на появляется соответствующая форма рабочей панели с элементами для настройки соответствующих параметров ПБ. При наведении курсора на элемент управления появляется подсказка. Значения параметров устанавливаются в режиме администратора.

Описание разделов программы «Управление политикой безопасности» (fly-admin-smc)

Панель «Настройки аудита». Рабочая панель содержит вкладки :

Панель «Настройки аудита»

«По умолчанию» — настройки аудита по умолчанию:

«Настройка аудита по умолчанию» — флаг включения аудита по умолчанию;
«Аудит успехов» и «Аудит отказов» — список флагов включения регистрации событий в журнале операций, в случае их, соответственно, успешного и неуспешного выполнения. Флаг переключается щелчком левой кнопки мыши на нем.

В дерево навигации настроек политики безопасности в «Аудит» входят также своды разделов «Группы» и «Пользователи» с персональными настройками аудита, соответственно, групп и пользователей. При выделении свода разделов активируется соответствующая вкладка на рабочей панели.

При выделении любого раздела, входящего в «Группы» или «Пользователи», на рабочей панели отображаются персональные настройки аудита соответствующей группы или пользователя.

Настройки политики безопасности для групп пользователей. На рабочей панели в табличном виде отображается список групп пользователей.

Столбцы: «Наименование» (со значком порядка сортировки справа) — имя группы; «Gid» — идентификационный номер группы; «Системная» — отметка для системных групп.

Двойным щелчком левой кнопки мыши на названии группы в таблице открывается раздел этой группы в дереве навигации, а на рабочей панели появляются вкладки:

вкладка «Общие»:

«Имя» — отображается имя члена группы;
«UID» — отображается идентификационный номер члена группы;
«GECOS» — отображается информация из учетной записи члена группы;
«Системный» — отметка для членов системных групп;
кнопки управления списком (внизу):
[Добавить] — открывается окно со списком пользователей. Элемент списка выделяется щелчком левой кнопки мыши на нем. [Да] — окно закрывается, и имя выделенного пользователя отображается в поле «Пользователи», [Отмена] — окно закрывается;
[Удалить из группы]) — выделенный в поле «Имя» элемент удаляется;

Настройки политики безопасности

Для работы с подсистемой протоколированием имеется ряд графических утилит, которые могут быть использованы для настройки параметров регистрации событий и просмотра протоколов:

fly-admin-smc («Управление политикой безопасности») — управление протоколированием, привилегиями и мандатными атрибутами пользователей, работа с пользователями и группами;
fly-admin-viewaudit («Журнал безопасности») — выборочный просмотр протоколов аудита.
Для настройки протоколирования перейдите в рабочую панель Аудит à Настройки аудита à вкладка «По умолчанию»

Выставите флаги настроек согласно таблице 8:

Таблица 8. Значения настроек аудита.

Разряд	Ключ	Событие	Успех	Отказ
16	w	Net	Нет флага	флаг
15	e	Rename	Нет флага	Флаг
14	h	Chroot	флаг	Флаг
13	p	Cap	Нет флага	Флаг
12	m	Mac	Нет флага	Флаг
11	r	Acl	Нет флага	Флаг
10	a	Audit	Нет флага	Флаг
9	g	Gid	Нет флага	Флаг
8	i	Uid	Нет флага	Флаг
7	l	Module	Нет флага	Флаг
6	t	Mount	флаг	Флаг
5	n	Chown	Нет флага	Флаг
4	d	Chmod	Нет флага	Флаг
3	u	Delete	Нет флага	Флаг
2	x	Exec	Нет флага	Флаг
1	c	Crate	Нет флага	Флаг
0	o	open	Нет флага	Флаг

Замкнутая программная среда

Настройки замкнутой программной среды. Рабочая панель содержит вкладки:

«Настройки»- настройки замкнутой системной среда;
«Ключи» — настройка ключей:
[Создать новый ключ] — открывается окно «Создание ключа» со строками ввода имени, адреса электронной почты (EMail) и комментария и кнопками управления: [Да] — настройки для создания ключа сохраняются и окно закрывается: [Отмена] — окно закрывается;
[Открывать утилиту управления ключами] — открывается окно программы «Управление ключами — KGpg» (графический интерфейс к программе GnuPG — мощной утилите шифрования, которая позволяет шифровать и расшифровывать файлы и электронные письма, обеспечивая безопасную связь);
в табличном виде отображается список ключей шифрования (имя ключа, размер, тип и дата изменения);
«Подпись» — настройка подписи.
флаги «Подпись в бинарные файлы» и «Подпись в расширенные атрибуты» — включают режим подписи, соответственно, в бинарные файлы и в расширенные атрибуты;

[Подписать], активируется тогда, когда в дереве ФС (отображается внизу кнопки) флагом выделен файл(ы) и установлен флаг «Подпись в бинарные файлы» и/или «Подпись в расширенные атрибуты» (слева от кнопки) — открывается окно «Выбор ключа»:

«Выберите ключ» — выпадающий список для установки ключа;
[Создать новый ключ] — открывается окно «Создание ключа» со строками ввода имени, адреса электронной почты (EMail) и комментария и кнопками управления: [Да] — настройки для создания ключа сохраняются и окно закрывается: [Отмена] — окно закрывается;
[Открывать утилиту управления ключами] — открывается окно программы «Управление ключами — KGpg» (графический интерфейс к программе GnuPG — мощной утилите шифрования, которая позволяет шифровать и расшифровывать файлы и электронные письма, обеспечивая безопасную связь);

На панели навигации в настройки ПБ «Замкнутая программная среда» входят разделы «Ключи» и «Подпись». При выделении раздела активируется соответствующая вкладка на рабочей панели.

Настройка замкнутой программной среды в АИС «ВЕБС» не требуется.

Мандатное управление доступом и целостностью. Рабочая панель содержит вкладки:

«Категории» — категории МРД;
«Уровни целостности» — уровни целостности МРД;
«Уровни конфиденциальности» (рис. 56) — уровни МРД.

Вкладки содержит элементы для настройки, соответственно, категорий, уровней целостности и конфиденциальности. На вкладке в табличном виде отображается список содержащихся элементов. В столбцах отображается: разряд (для категорий) или уровень (для уровней целостности и конфиденциальности) и наименование отображаемого элемента.

Мандатный контроль целостности

Настройка мандатного контроля целостности. Рабочая панель содержит элементы управления:

флаг «Подсистема Мандатного Контроля Целостности» — включает подсистему мандатного контроля целостности (МКЦ). При включении МКЦ устанавливается параметр ядра max_ilevв /etc/default/grub. Для установки МКЦ для ФС следует включить флаг «Мандатный контроль целостности» сконфигурировать рабочую среду пользователей и только потом установить высокую целостность на ФС. При стирании параметра ядра parsec.max_ilev из /etc/default/grub с ФС снимается высокий уровень целостности. При отключении мандатного контроля целостности отключается блокировка интерпретаторов;
«Максимальный уровень целостности» — в числовом поле устанавливается максимальный уровень целостности;
флаги «Установить максимальный уровень целостности пользователям из группы astra-admin» — включает установку максимального уровня целостности пользователям из группы astra-admin;
[Установить] и [Снять] — установленный уровень целостности на выделенные объекты ФС, соответственно, устанавливается или снимается;
[Уровень целостности] — из списка устанавливается уровень целостности;
дерево ФС (вершина разворачивается щелчком любой кнопки мыши на знаке вершины) — слева от элемента ФС располагается флаг выделения этого элемента.

На рабочей панели отображается монитор безопасности.

Монитор безопасности

Группа настроек включает:

свод разделов «Параметры ядра» c текущими параметрами ядра (sysctl). Рабочая панель содержит вкладки:
«Текущие параметры» — табличном виде для каждого элемента (параметра) отображаются ключ, значение, источник;
«Шаблоны»- в табличном виде для каждого элемента (шаблона) отображаются наименование, путь, метка принадлежность к системному элементу.

Двойным щелчком левой кнопки мыши на названии шаблона на рабочей панели отображается соответствующая выделенному шаблону вкладка (рис. 61) с информацией о ключах и значениях, а в дереве навигации открываются разделы с шаблонами.

раздел «Политика консоли и интерпретаторов» — рабочая панель содержит настройки политики консоли: флаги включения блокировки консоли для пользователей, не входящих в группу astra-console, и блокировки интерпретаторов, а также кнопку для перехода к управлению группой astra-console;
раздел «Политика очистки памяти» — рабочая панель содержит настройки политики очистки памяти:

раздел «Политика очистки памяти»

флаг «Очистка разделов подкачки» — включает очистку разделов подкачки и активирует поле ввод «Игнорировать раздел подкачки» для установки тех разделов подкачки, которые не подлежат очистке;
«Гарантированное удаление файлов и папок» — в табличном виде представлен список разделов устройств для безопасного удаления. Столбцы: «Устройство» — наименование раздела устройства, «Точка монтирования» — точка монтирования, «Тип» — тип файловой системы, «Очистка» — флаг включения безопасного удаления и «Количество»
раздел «Системные параметры» — рабочая панель содержит флаги включение системных параметров безопасности: запрета установки бита исполнения, блокировки макросов, блокировки трассировки ptrace, блокировки одновременной работы с разными уровнями sumac, включения системных ограничений ulimits, блокировки выключения/перезагрузки ПК для пользователей и блокировки системных команд для пользователей.

раздел «Системные параметры»

Значения параметров настроек безопасности представлены в таблице .

Настройка	Параметры
Параметры ядра	По умолчанию
Политика консоли и интерпретаторов	По умолчанию
Настройка очистки памяти	/dev/sda1, /, ext4, сигнатура, 1
Системный параметры	По умолчанию

Политики учетной записи

Группа настроек включает:

раздел «Блокировка» — политика блокировки учетной записи: настройки pam_tally. Рабочая панель содержит элементы настройки:

раздел «Блокировка»

флаг «Индивидуальные настройки» — разрешает использование индивидуальных настроек;
флаг «Не сбрасывать счетчик» — отменяет сброс счетчика;
флаг «Не использовать счетчик для пользователя с uid=0» — отменяет счетчик для суперпользователя;
«Неуспешных попыток» — в числовом поле устанавливается максимально допустимое количество некорректных попыток входа пользователя в систему (неудачных попыток ввода пароля) до автоматической блокировка учетной записи;
«Период блокироваки (секунды)» — в числовом поле устанавливается продолжительность (в сек.) запрета на повторный вход в систему после неуспешного входа;
«Период разблокировки (секунды)» — в числовом поле устанавливается период времени (в сек.) по истечение которого отменяется автоматическая блокировка, установленная после достижения максимального количества неудачных попыток входа.
свод разделов «Политики паролей» (рис. 66) содержит:

свод разделов «Политики паролей»

раздел «Сложность» — вкладка «Сложность» рабочей панели содержит элементы настройки:
флаг «Проверка имени пользователя» — включает проверку имени пользователя;
флаг «Проверка GECOS» — включает проверку информации из учетной записи пользователя;
флаг «Применять для пользователя root» — включает применение для суперпользователя;
«Минимальное длина пароля пароля» — в числовом поле устанавливается минимальная длина пароля;
флаг «Минимальное количество строчных букв в новом пароле» — активирует числовое поля для установки минимального количества строчных букв в новом пароле;
флаг «Минимальное количество заглавных букв в новом пароле» — активирует числовое поля для установки минимального количества заглавных букв в новом пароле;
флаг «Минимальное количество цифр в новом пароле» — активирует числовое поля для установки минимального количества цифр в новом пароле;
флаг «Минимальное количество других символов в новом пароле» — активирует числовое поля для установки минимального количества других символов в новом пароле;
раздел «Срок действия» — вкладка «Срок действия» рабочей панели содержит элементы настройки:

раздел «Срок действия»

флаг «Минимальное количество дней между сменами пароля» — активирует числовое поля для установки минимального количества дней для смены пароля;
флаг «Максимальное количество дней между сменами пароля» — активирует числовое поля для установки максимального количества дней для смены пароля;
флаг «Число дней выдачи предупреждения до смены пароля» — активирует числовое поля для установки количества дней для выдачи предупреждения до смены пароля;
флаг «Число дней неактивности после устаревания пароля до блокировки учетной записи» — активирует числовое поля для установки числа дней неактивности поле устаревания пароля до блокировки учетной записи;
флаг «Срок действия учетной записи» — активирует числовое поля для установки срока действия учетной записи;
[Импорт из шаблона] — открывается окно для установки шаблона политики пароля и последующего импорта параметров из установленного шаблона;
свод разделов «Шаблоны устаревания» — в табличном виде отображается список установленных шаблонов политики пароля. Двойным щелчком левой кнопки мыши на названии шаблона в таблице открываются разделы с шаблонами в дереве навигации, а на рабочей панели отображается соответствующая выделенному шаблону вкладка с информацией о значениях настроек.
раздел «Политика создания пользователей» (рис. 24) — параметры политики пользователей берутся из конфигурационного файла /etc/adduser.conf консольной утилиты adduser. Изменение политики проводит к изменению политики, определяемой утилитой adduser. Рабочая панель содержит элементы настройки:
«Дом. каталог» — строка ввода маршрутного имени домашнего каталога пользователя;
«Каталог шаблонов» — строка ввода маршрутного имени каталога шаблонов;
«Оболочка» — строка ввода маршрутного имени каталога с оболочкой;
«Первичная группа» — из выпадающего списка устанавливается первичная группа пользователя;
флаг «Создавать новую пользовательскую группу» — включает создание новой пользовательской группы;
флаг «Добавлять пользователя в дополнительные группы» — включает добавление пользователя в дополнительные группы;
поле «Дополнительные группы» — в табличном виде отображается список дополнительных групп. Щелчком кнопки мыши на строке элемент списка выделяется. [Добавить] и [Удалить] (внизу) — пользователь, соответственно, добавляется в или исключается из выделенной группы.

Параметры настроек политики учетной записи, представлены в таблице

Настройки ПБ для пользователей. На рабочей панели в табличном виде отображается список пользователей. Столбцы: «Наименование» (со значком порядка сортировки справа) — имя пользователя; «UID» — идентификационный номер пользователя; «GECOS» — информация из учетной записи пользователя; «Группа» — группа пользователя; «Системная» — отметка для системных групп; «Дом.каталог» — домашний каталог пользователя; «Оболочка» — имя оболочки.

Двойным щелчком левой кнопки мыши на имени пользователя в таблице открывается раздел этого пользователя в дереве навигации, а на рабочей панели появляются вкладки c элементами настройки:

вкладка «Общие» (см. рис. 69):

«Имя» и «UID» — отображается имя и идентификационный номер пользователя;
«Первичная группа» — из выпадающего списка устанавливается первичная группа пользователя;
«Дом. каталог» — строка ввода маршрутного имени домашнего каталога пользователя;
флаг «Переместить» — включает перенос содержимого домашнего каталога пользователя при изменении имени домашнего каталога;
«Оболочка» — строка ввода маршрутного имени каталога с оболочкой;
поле «Пароль»: [Изменить] — открывается окно для ввода нового пароля с последующим его подтверждением. После подтверждения или отмены окно закрывается и новый пароль, соответственно, устанавливается или не устанавливается. Флаг «Печать» — включает отображение учетной карточки пользователя с возможностью ее печати;
флаг «GECOS» — строка ввода информации из учетной записи пользователя. […] (справа) — открывается окно для заполнения отдельных полей учетной записи с информацией о пользователе. После подтверждения или отмены окно закрывается и новый информация о пользователе, соответственно, устанавливается или не устанавливается;

вкладка «Аудит»:

вкладка «Аудит» astra

флаг «Настройка аудита по умолчанию» — включает настройки аудита по умолчанию;
«Аудит успехов» и «Аудит отказов» — список флагов включения регистрации событий, в случае их, соответственно, успешного и неуспешного выполнения пользователем. Флаг переключается щелчком левой кнопки мыши на знаке слева от него.
вкладка «Привилегии»:
«Linux привилегии:» и «Parsec привилегии:» — отображается список флагов включения, соответственно, Linux-и Parsec-привилегий для пользователя (Флаги включения Linux- и Parsec-привилегий). Флаг переключается щелчком левой кнопки мыши на знаке слева от него.
«МРД» (мандатное разграничение доступа) (рис. 73):
«Минимальный уровень:» — из выпадающего списка «Конфиденциальность» устанавливается минимальный уровень мандатного доступа, а из списка «Целостность» — минимальный уровень целостности;
«Максимальный уровень:» — из выпадающего списка «Конфиденциальность» устанавливается максимальный уровень мандатного доступа, а из списка «Целостность» — максимальный уровень целостности;
поле «Категории» — в табличном виде отображаются категории и их атрибуты. Флагами включается минимальный и максимальный уровень категории;
«Срок действия» (рис. 74):
флаг «Минимальное количество дней между сменой пароля» — включает числовое поле для установки минимального количества дней между сменой пароля;
флаг «Максимальное количество дней между сменой пароля» — включает числовое поле для установки максимального количества дней между сменой пароля;
флаг «Число дней выдачи предупреждения до смены пароля» — включает числовое поле для установки числа дней выдачи предупреждения до смены пароля;
флаг «Число дней неактивности после устаревания пароля до блокировки учетной записи» — включает числовое поле для установки числа дней неактивности после устаревания пароля до блокировки учетной записи;
флаг «Срок действия учетной записи пользователя» — включает календарь для установки срока действия учетной записи пользователя;
[Импорт из шаблона] — открывается окно для установки шаблона политики пароля и последующего импорта параметров из установленного шаблона;
вкладка «Графический киоск Fly» — позволяет ограничивать доступность для запуска программ локальным пользователям.

Настройка режима киоска осуществляется администратором на максимальном уровне мандатного контроля целостности, установленного в ОС. Элементы управления:

флаг «Режим киоска графического киоска Fly» — включает режим киоска при работе с приложениями из списка. Если в списке одно приложение, то режим киоска включается при работе с этим приложением. Если в списке несколько приложений, то запускается Рабочий стол с этими приложениями. Все доступные каталоги, ярлыки и т.д. устанавливаются в соответствии с предоставленным доступом;
«Разрешенные приложения» — список приложений для запуска в режиме киоска. Элемент списка выделяется щелчком мыши на нем. Кнопки управления для формирования списка: [Добавить] (внизу и справа) — открывается окно для установки имени программы. После подтверждения или отмены окно закрывается и имя программы, соответственно, появляется или не появляется в списке. [Удалить] — программа, выделенная в списке, удаляется;
[Системный киоск] — запускается программа «Системный киоск» (управление ограничением среды).

Настройки политики безопасности для пользователей с персональными привилегиями. На рабочей панели отображается список пользователей с персональными привилегиями.

Для каждого пользователя с персональными привилегиями указывается: «Linux» и «Parsec» — списки флагов включения, соответственно, Linux-и Parsec-привилегий (Флаги включения Linux- и Parsec-привилегий). Флаг переключается щелчком левой кнопки мыши на знаке слева от него.

Параметры настроек раздела «Привилегии» оставить по умолчанию.

Устройства и правила

Настройки ограничения на правила и размещения устройств. Рабочая панель содержит вкладки:

«Устройства» — в табличном виде для устройств отображаются ограничения на размещение. Двойным щелчком на элементе таблице на рабочей панели отображаются настройки

Рабочая панель «Устройства»

«Наименование» — отображается наименование устройства;
флаг «Включено» — включает ограничения на размещение устройства;
вкладка «Общие»:
поля «Пользователь», «Группа», «Остальные» содержат выпадающий список для установки пользователя (Пользователь), группы (Группа) и флаги с правами доступа на чтение, запись и выполнение, соответственно для пользователя, группы и остальных;

поле «Свойства» — список свойств (атрибутов) в табличном виде. Столбцы: «Наименование», «Ключ», «Операция», «Значение». Элемент таблицы выделяется щелчком левой кнопки мыши на нем. Кнопки управления списком (внизу):

[Импорт] — импорт свойств;
[Добавить] — свойство добавляется;
[Удалить] — свойство удаляется;
[Очистить] — записи свойства в выделенном элементе в таблице исчезают;

вкладка «Аудит»:

Двойным щелчком на элементе таблице на рабочей панели отображаются настройки:

«Наименование» — отображается наименование устройства;
флаг «Включено» — включает правила ограничения;
поле «Свойства» — список свойств (атрибутов) в табличном виде. Столбцы: «Наименование», «Ключ», «Операция», «Значение». Элемент таблицы выделяется щелчком левой кнопки мыши на нем. Кнопки управления списком (внизу):
[Импорт] — импорт свойств;
[Добавить] — свойство добавляется;
[Удалить] — свойство удаляется;
[Очистить] — записи свойства в выделенном элементе в таблице исчезают;
поле «Описание» — краткий комментарий.

Параметры настроек устройств представлены в таблице:

Устройства (Общие)
Права	Согласно матрице доступа
МРД	По умолчанию
Аудит	Выставить все галки
Правила	По умолчанию

Описание Linux- и Parsec-привилегий

«cap_chown» — игнорировать ограничения по изменению прав на владение флагом со стороны пользователя или группы;
«cap_dac_ovveride» — игнорировать права доступа к файлу;
«cap_dac_read_search» — игнорировать права на чтение или поиск файла или каталога;
«cap_fowner» — игнорировать проверки прав на владение файлом;
«cap_fsetid» — игнорировать ограничения по установке флагов setuidи setgidдля файлов;
«cap_kill» — обходить проверки ограничений при генерировании сигналов;
«cap_setgid» — игнорировать ограничения на манипуляции с правами процесса, относящимися к группе пользователей;
«cap_setuid» — игнорировать ограничения на манипуляции с правами процесса, относящимися к пользователю;
«cap_setpcap» — разрешить манипуляции с привилегиями других процессов;
«cap_cap_linux_immutable» — разрешить модификацию постоянных файлов и файлов «только для записи» в файловых системах Ext2и Ext3;
«cap_net_bind_service» — разрешить привязку сокетов TCP/IPк портам ниже 1024;
«cap_net_broadcast» — разрешить широковещательную и многоадресную рассылку;
«cap_net_admin» — разрешить общее сетевое администрирование;
«cap_net_raw» — разрешить использование сокетов RAWи PACKET;
«cap_ipc_lock» — разрешить блокировку страницы и совместно используемых блоков памяти;
«cap_ipc_owner» — пропускать проверку владельца при межпроцессном взаимодействии;
«cap_sys_module» — разрешить загрузку и выгрузку модулей ядра;
«cap_sys_rawio» — разрешить доступ к портам ввода и вывода с помощью системных вызовов ioperm()и iopl();
«cap_sys_chroot» — разрешить вызов chroot;
«cap_sys_ptrace» — разрешить вызов ptrace()для любого процесса;
«cap_sys_pacct» — разрешить настройку процессорного учета;
«cap_sys_admin» — разрешить общее системное администрирование;
«cap_sys_boot» — разрешить вызов reboot();
«cap_sys_nice» — пропустить проверку прав доступа для системных вызовов nice(), setpriority()и позволить создавать процессы реального времени;
«cap_sys_resource» — разрешить поднятие лимитов на ресурсы;
«cap_sys_time» — разрешить манипуляцию с часами и часами реального времени;
«cap_sys_tty_config» — разрешить настроку терминала и применение системного вызова vhangup();
«cap_mknode» — разрешить привилегированные операции mknode();
«cap_lease» — разрешить блокировку «аренда файла»;
«cap_audit_write» — разрешить запись в журнал аудита ядра;
«cap_audit_control» — разрешить контроль аудита ядра;
«cap_setfcap» — разрешить установку привилегий файлов.

Флаги включения Parsec-привилегий:

«parsec_cap_file_cap» — право устанавливать привилегии на файлы;
«parsec_cap_audit» — право управления политикой аудита;
«parsec_cap_setmac» — разрешает изменить мандатную метку и установить другие привилегии;
«parsec_cap_chmac» — дает право менять мандатные метки файлов;
«parsec_cap_ignmaclvl» — право игнорировать мандатную политику по уровням;
«parsec_cap_ignmaccat» — право игнорировать мандатную политику по категориям;
«parsec_cap_sig» — позволяет посылать сигналы процессам, игнорируя дискреционные и мандатные права;
«parsec_cap_update_atime» — право изменять время доступа к файлу;
«parsec_cap_priv_sock» — позволяет создавать привилегированный сокет и менять его мандатную метку. Привилегированный сокет позволяет осуществлять сетевое взаимодействие, игнорируя мандатную политику;
«parsec_cap_readsearch» — позволяет игнорировать мандатную политику при чтении и поиске файлов (но не при записи);
«parsec_cap_cap» — право устанавливать привилегии на файлы;
«parsec_cap_mac_sock» — возможность смены мандатной точки соединения.

Аварийные ситуации

Исправление ошибок на диске

После сбоя питания может появится надпись при загрузке:

/dev/sda1: UNEXPECTED INCONSISTENCY: RUN fsck MANUALLY.

(i.e., without -a or -p options)

fsck died with exit status 4

Для решения проблемы потребуется провести проверку диска вручную, для этого:

Вставить установочный диск
Загрузиться с оптического диска
Выбрать режим Восстановления

Выбрать режим Восстановления astra

Пройти первичную настройку:

Принять лицензионное соглашение;
Выбрать раскладку клавиатуры;
Указать имя компьютера;
Указать часовой пояс;
В окне выбора устройства, выбрать пункт: «Не использовать корневую файловую систему»;
Запустить оболочку в рабочей среде программы установки;
Запустить интерпретатор;
Выполнить:

fsck.ext4 -p -f -c /dev/sdaX (где sdaХ корневой раздел)

После проверки нажать Ctrl-D, вынуть оптический диск и перезагрузить машину.

Сброс счетчика неудачных попыток входа

В случае, если пароль известен:

Чтобы обнулить счётчик неудачных попыток входа для пользователя из группы astra-admin необходимо выполнить следующие шаги:

1) Перезагрузить машину;

2) Дождаться появления меню загрузчика и нажать клавишу «e»;

меню загрузчика astra

3) На запрос «Введите имя пользователя» ввести root;

4) На запрос пароля нужно ввести пароль для загрузчика (Пароль задаётся во время установки ОС, в самом конце);

5) В появившейся загрузочной записи нужно отредактировать сточку, начинающуюся со слова linux (на скриншоте отмечена галкой). В этой строчке нужно удалить «ro quiet splash» (подчёркнуто на скриншоте) и дописать в конец: «init=/bin/bash»;

загрузочной записи

6) Нажмите F10, чтобы загрузить систему и дождитесь такого приглашения командной строки:

7) Т.к. файловая система доступна только для чтения, чтобы иметь возможность сбросить счётчик неудачных попыток входа, нужно выполнить команду: mount -o rw,remount /

8) Для сброса счётчика выполните команду: faillog -r

9) Перезагрузите машину.

Другой способ обнулить счётчик неудачных попыток входа для пользователя из группы astra-admins:

1) Загрузить с установочного диска ОС СН «Astra Linux Special Edition» и выбрать «Режим восстановления»

2) Выбрать устройство, используемое в качестве корневой системы. (/dev/sda1 к примеру).

Как в астра линукс запретить очистку браузера

При разработке ALD задача имитации контроллера домена Microsft Windows не решалась. Таким образом, включение машины ОС Microsft Windows в домен ALD штатными средствами ОС Microsft Windows невозможно. Установив в ОС Microsft Windows клиента MIT Kerberos вы сможете получить билеты Kerberos на сервере ALD. Далее вы получите доступ к серверам печати, СУБД, WEB и электронной почты в сеансе с нулевыми мандатными атрибутами. Если вам необходимо получать доступ к ресурсам серверов, работающих под управлением Astra Linux, в ненулевом мандатном контексте, то вам необходимо самостоятельно разработать клиента ALD под Microsft Windows.

Файловый менеджер довольно прост, на уровне простых оболочек вроде XFCE или LXDE, но понятен и удобен в работе.

Но есть и интересные «фишки» вроде двухпанельного режима:

Скажем настройка автозагрузки:

Или переменных окружения:

Из графических инструментов доступен привычный Synaptic и простая утилита для обновления:

Дополнительные материалы:

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

На чем сегодня работает Сбербанк и госорганы – обзор российской ОС Astra Linux

Звезда пленительного счастья или очередная черная дыра?

На днях Сбербанк объявил, что платформы сервиса «СберПро» теперь работают под управлением отечественной операционной системы Astra Linux. Изначально она создавалась в основном для использования в госорганах, а теперь становится заменой иностранных продуктов и для бизнес-предприятий. Рассказываем про плюсы и минусы двух ее версий.

Истоки «Астры»

Первые разговоры о российских аналогах западных систем пошли в стране еще в начале 2000-ных. Во времена кризиса 2008 года проблема импортозамещения уже стояла перед предприятиями, что в итоге вылилось в несколько крупных разработок. Одной из них была операционная система Astra Linux, базирующаяся на ядре свободно распространяемого «Линукса» (разработанного за границей, но это уже другая история).

Изначально система создавалась АО «НПО РусБИТех» для «оборонки» и предназначалась для комплексной защиты информации в целях силовых структур. Для этого уровень защиты информации, обрабатываемой ОС, был максимально высоким: вплоть до государственной тайны особой важности. В 2009 году она прошла сертификацию в Минобороны и ФСБ и смогла использоваться на самых защищенных военных и правительственных объектах.

Служащие ВС РФ за компьютерами, оснащенными Astra Linux (фото – минобороны.рф)

Стабильная работа – важнейший фактор для работы подобных операционных систем, возможно, поэтому вместо разработки собственных решений была использована база ОС с открытым кодом Linux. В отличие от Windows и MacOS, такая база позволяет собирать собственный дистрибутив, который управляется и настраивается конечным владельцем по своему усмотрению.

В качестве исходной ОС использовался дистрибутив Debian Linux, на тот момент считавшийся одним из самых стабильных и надежных. Astra Linux называется «официально признанной веткой» этого дистрибутива (как таковых признанных веток у Linux нет, но разработчики Debian признают существование Astra, что и отражено в статье по ссылке). Разработчик заявляет, что лицензионные соглашения на ОС разработаны в соответствии с законами Российской Федерации, но при этом «не противоречат духу и требованиям лицензии GPL».

Во второй половине 2010-х операционка попала в тренд импортозамещения и начала активно продвигать себя не только как продукт для государственных нужд. В частности, вышла версия универсальной ОС для персональных компьютеров. Кроме государственных предприятий «Астра» попала и на рабочие станции таких компаний как «Газпром», «РЖД» и теперь «Сбербанк». В 2018 году было заявлено, что Astra Linux адаптирована под российские процессоры «Эльбрус».

Astra Linux на российском ПК с иностранным монитором

Так что к лету 2022 года российская операционная система подошла с внушительным списком клиентов. Это не новодел и не наскоро собранный дистрибутив для импортозамещения в краткие сроки, а вполне себе рабочий инструмент, проверенный временем. Вопрос только в том, насколько этот инструмент хорош сам по себе. Давайте узнаем это, познакомившись с «внутренностями» продукта подробнее.

Astra Linux для рядового пользователя

Возвращаясь к новости про «Сбербанк», можно отметить, что холдинг предполагает работу не только конечных устройств, но и серверов под управлением «Астры», а это уже куда более серьезный переход. Российская ОС имеет серверную версию, которая используется для управления комплексами, системами и рабочими станциями.

Кроме того, дистрибутивы делятся на версии Common Edition и Special Edition. Первая представляет собой версию для «простого пользователя» (в рекламных материалах преподносится как версия для среднего и малого бизнеса). Вторая – уже обеспечивает необходимую защиту информации вплоть до уровня «Совершенно секретно» и предназначается для правительственных и других крупных организаций.

Версии ОС называются в честь российских городов-героев, например на 2022 год Common Edition именуется как «Орел», а Special Edition как «Смоленск».

На официальном сайте именно версия Special Edition выдается на главном экране «Продукты»

Нам будет интереснее познакомиться с версией для применения в домашних условиях. Тем более что сегодня Astra Linux называют альтернативой ОС Windows. Дистрибутив можно купить у партнеров компании, либо скачать на сайте компании или на одном из сайтов, найденных по соответствующему поисковому запросу. Скачать дистрибутив без лицензии можно бесплатно, но обновление, поддержка и доступ к официальным сервисам осуществляется на платной основе.

На официальном сайте найти ссылку на скачивание удалось далеко не сразу. Информация о Common Edition нашлась только на странице описания Special Edition после долгого скроллинга. На всякий случай дадим прямую ссылку на скачивание Astra Linux с официального сайта. Стоимость лицензии варьируется для каждого партнера/продавца. В частности, здесь удалось найти базовую за 4200 р. с поддержкой на год. Special Edition в базовом варианте можно купить за 8500 р. с поддержкой на 12 месяцев.

Разработчики сообщают о совместимости продукта с более чем тремя сотнями моделей отечественных и иностранных аппаратных устройств. Кроме того, утверждается, что система поддерживает все современные сетевые карты (а ей потребуется доступ в интернет во время установки и подключения). Минимальные системные требования: 1 ГБ ОЗУ и 4 ГБ на жестком диске, что достаточно адекватно для сегодняшних решений.

Начало установки Astra Linux Common Edition «Орел»

Установщик «Астры» имеет графический интерфейс, что делает его удобным для пользователя-новичка (в базовом варианте дистрибутивы «Линукса» не предполагают GUI). По внешнему виду он похож на установщик Debian, на котором и основан, но проще за счет отсутствия многих сложных параметров настройки.

Отзвуки «военного происхождения» можно увидеть уже на экране установки системы, например, по фразе «Операционная система общего назначения». Также мы видим изображение некоего микрорайона, возможно, как раз в Орле. В дальнейшем вам предстоит поработать еще с несколькими экранами, на которых настроить:

параметры клавиатуры (это делается и в Windows);
ПО, включаемое в систему по умолчанию – игры, поддержку сенсорного экрана, СУБД и так далее;
представление компьютера в сетях – название, параметры доступа и т.п.;
учетные записи и пароли к ним;
разметку жесткого диска;
системные параметры, характерные для ОС Linux (можно не использовать, если вы не слишком опытны в таких настройках).

Подробно ознакомиться с инструкцией по установке можно на официальном сайте ОС. После нее вам будет доступен рабочий стол системы и возможность наконец познакомиться с тем, что она собой представляет.

Рабочий стол Astra Linux

Графический интерфейс ОС неслабо напоминает Windows. Впрочем, если мы говорим об импортозамещении, то логично использовать именно знакомый большинству пользователей GUI.

Вы на Windows сидите? А если прикрою? – уже почти не шутка

Настройки Astra Linux производятся в панели управления (ее можно увидеть в меню «Пуск» на скриншоте выше) или через специальный терминал, характерный для Debian. Последнее предполагает базовые знания ОС Linux.

Панель управления для настройки операционной системы. Fly – это графический рабочий стол для Linux-систем

По умолчанию есть многие базовые приложения для комфортной работы, а также браузер Mozilla Firefox. Остальные программы можно установить дополнительно. Для этого в Debian используется утилита apt-get (установщик пакетов для работы в командной строке), но есть способ проще. В системе предустановлен менеджер пакетов Synaptic, с помощью которого вы увидите уже установленные пакеты программ и приложений, и сможете добавить свои.

Например, для установки популярного текстового редактора Emacs вам нужно будет найти его по названию в глобальной среде, отметить для установки и распаковать в Astra Linux. Как это сделать, вы можете увидеть в галерее ниже:

Устанавливаем редактор emacs на Astra Linux через Synaptic. Установленные пакеты в списке отмечаются зеленым квадратиком

Для работы с системой вам предстоит ознакомиться с тем, что такое Linux и какие приложения могут в нем работать. Почти для всех Windows-приложений есть аналоги, в которых еще нужно разобраться или хотя бы понять, какие вам доступны альтернативы.

Пользователи, впрочем, отмечают некоторую «бедность» репозитория Astra по сравнению с Debian и популярной Ubuntu. В отзывах о продукте говорится даже, что 30 % команд для Debian в российской версии работать не будут. Также говорится, что отечественная ОС больше подойдет для организаций, а не для рядового пользователя (этот термин опять отдает какой-то военной окраской). Тем не менее, у разработчика есть даже официальная инструкция о том, как установить на «Астру» Steam для получения компьютерных игр с этой популярнейшей платформы.

Что есть в системе по умолчанию:

Базовый набор необходимых приложений, включая офисные (LibreOffice).
Возможности для настройки системы и ее внешнего вида.
Доступ в интернет (поддержка сетевых карт, предустановленный браузер) для закачки новых приложений и получения необходимых инструкций.
Графический интерфейс, похожий на Windows.
Возможности переключиться на планшетную и мобильную версии (поддержка сенсорных экранов).
Файловый менеджер.

Что касается ощущения от работы, то в обзорах можно увидеть такое распространенное мнение:

Критично ли это для простого пользователя, который ранее работал только с Windows? Скорее всего, нет. Большинство пользователей не знают всех возможностей иностранной операционной системы, поэтому и в работе с «Астрой» вряд ли будут требовательны. Но вывод однозначен: прежде чем начинать работу, стоит немного изучить возможности Linux с графической средой.

Система для госорганов и корпораций

Теперь, когда мы разобрались с Common Edition, можно уделить внимание и корпоративным версиям с дополнительными возможностями.

Вряд ли эти отзывы писали продавцы лицензий на Windows. С другой стороны, с 2021 года система успела обновиться

Среди пользователей также можно встретить распространенное мнение, что ОС Astra Linux можно использовать только в рамках импортозамещения, если на рынке не будет ничего другого. Для госкомпаний работа с ней может стать вынужденным решением, даже при наличии рабочих иностранных аналогов, если будет выпущено постановление о переходе на отечественные ОС.

Непонятно, что входит в стоимость лицензии, жалуются пользователи. Зато можно примерно прикинуть цены на Astra Linux для корпоративного сегмента

Несмотря на невыигрышное для Astra Linux сравнение его с оригинальным Debian в плане репозитория, объем его все же выше, чем у многих других отечественных систем (ROSA, Title, RED OS и др.). Так что для корпоративного сегмента в нем можно найти всё что нужно для работы.

Разработчики обновляют и протоколы безопасности, например, последняя версия ОС получила раздельные механизмы защиты данных – теперь они работают независимо друг от друга и позволяют обеспечить необходимый контроль целостности программной среды. Система также получила возможность гарантированного удаления данных, чтобы исключить возможность их восстановления злоумышленниками.

В Astra Linux также работает механизм мандатного разграничения доступа. Если говорить простыми словами, то это система защиты, обеспечивающая доступ субъектов (пользователи/приложения и т.п.) к объектам (файлы/сайты/директории/части БД) на множестве различных уровней безопасности, которые невозможно «перемешать» между собой. Сама суть механизма не нова, но именно реализация произведена разработчиками «РусБИТех», и это одна из редких полностью отечественных доработок безопасности Linux-систем (чаще всего используются стандартные модификации SELinux – встроенной системы безопасности).

Естественно, что особое внимание уделяется и безопасности работы в интернете. Мандатное разграничение работает и здесь.

Страница из презентации Astra Linux, посвященная безопасной работе в сети

Последнее масштабное обновление ОС обещает стабильную, быструю и безопасную работу для предприятий любого уровня секретности. Есть отдельные негативные отзывы, но в целом работу в Astra Linux для госсектора можно назвать отвечающей современным требованиям.

Как заявляют разработчики, Astra Linux Special Edition 1.7 (она же «Смоленск») успешно прошла сертификацию СЗИ ФСТЭК России по самому высокому уровню доверия. Она официально полностью соответствует «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», а также «Требованиям безопасности информации к операционным системам» и «Профилю защиты операционных систем типа А первого класса защиты. ИТ.ОС.А1.ПЗ».

Таким образом, если не для «рядового пользователя», то для «подразделений» корпоративного сегмента система должна подойти неплохо.

Начался тест «Авроры» – первой российской операционной системы для смартфонов. Что о ней известно?

Astra Linux: что нужно знать о правах доступа

Линукс – достаточно популярная операционная система. Она более сложная, чем Windows (Unix), но обеспечивает надежную защиту информации. Рядовые пользователи должны хорошенько постараться, чтобы научиться работать с ней на уровне «профи».

Управление системой и доступом к диску Линукс – через командную строку. Важно грамотно предоставлять права на файлы и папки Linux, чтобы не допустить ошибок в работе с системой.

В данной статье будут раскрыты основы управления правами доступа к диску в Линукс. Информация позволит научиться управлять системой и новичкам, и продвинутым пользователям соответствующей ОС, которым текущие знания кажутся недостаточными. Руководство подойдет для Astra, Ubuntu и других Linux.

Основы управления

Для того, чтобы получить доступ к файлам, нужно использовать разнообразные разрешения. Они назначаются трем компонентам:

файлу;
группе;
иному объекту.

Если хотите изменить или задать атрибуты, внести корректировки в права – необходимо освоить работу с консолью. Это – встроенный исполняемый файл, где можно задать и поменять различные компоненты системы. Называется терминалом. С помощью него происходит управление системой.

Права манипулирования на файлы и директории

Права доступа к файлам в операционной системе Linux – то, что может помешать использовать документы пользователю. Прежде чем задавать права, стоит обратить внимание на следующие команды:

Sudo. Это – права суперпользователя, «настройка без ограничений», полные права. Используется перед командой, написанной в терминале, если нужно выступить администратором. Многие программы и операции включают исключительно через суперпользователя, иначе запустить их не удается. Это – root права. Пример – нужно обновить список пакетов в ОС Ubuntu. Для этого используется команда sudo: apt-get update. Далее предстоит указать пароль администратора.
Sudo Su. Средство перевода терминала в режим суперпользователя. Каждая введенная команда получает права администратора. Помогает работать с файлами и утилитами без постоянной корректировки, а также ввода пароля от учетной записи.
Sugo gksudo. Запуск графических программ от имени администратора. В Windows со включением проще – для загрузки в меню есть отдельная кнопка. Форма представления команды: sudo gksudo имя_документа.
Sudo !! – запуск предыдущей команды от имени администратора (с полными правами доступа в файлу или папке). Используется тогда, когда предыдущая попытка запуска не увенчалась успехом. Позволяет ускорить процесс без ввода большого количества символов.
Команда Chmod – позволяет выставить права доступа к выбранному файлу. Применяется только с набором аргументов. Позволяет взаимодействовать как с пользовательскими данными, так и системными файлами. Нужна, чтобы выдавать (выставить) и изменять прежние параметры. По умолчанию большая часть системных файлов защищена.
Chown. Настройка пользователя. Указывает имя того, кто может запускать файл или папку. Формат: chown имя учетной записи.

Изменение прав в Linux и смена содержимого – это не трудно, как и возможность удалить лишний документ. Главное – получить доступ к файловым компонентам системы. После – производить замену и выставлять новые атрибуты (значения).

Отображение владельца

Линукс – система, где у каждого файла и директории выставляются два владельца – конкретный пользователь и группа. Они устанавливаются, когда создается новый компонент.

Пользователь, который занимается созданием файла – это непосредственный владелец. Им же становится первичная группа, в которую включен user. Оболочка проверяет, есть ли у «клиента» права доступа к файлу или каталогу.

Соответствующий процесс смотрим следующим образом:

Оболочка проверяет, является ли пользователь владельцем документа, к которому запрашивается доступ. При положительном результате анализ прекращается. Выполняется «установка соединения» — пользователь может работать далее.
Если человек – не владелец файла или папки, оболочка проверяет, является ли он участником группы, у которой есть соответствующее разрешение. Если да – доступ открыт.
Если user – это не владелец и не участник «группы собственников», он получит права к файловым элементам «других пользователей».

Посмотреть текущие назначения владельца поможет команда IS –l. Она показывает пользователя и group владельца.

Через IS можно отобразить владельца файлов в соответствующем каталоге. Полезно, если нужно получить список (создать) всех документов в системе, для которых user или его группа – «собственники».

Чтобы создать соответствующее действие, используется find. Поможет аргумент find -user. Далее через пробел происходит выставление имени пользователя/группы.

Изменение владельца

Просмотр владельца документа в Linux – это легко. Можно настроить права доступа к файлам и папкам операционной системы, диску. Элементарная команда – это изменение владельца. Для этого применяется chown.

Она имеет разные атрибуты (опции). Сама полезная – -R. Доступна для большинства команд управления файлами и папками в Linux. Дает возможность рекурсивно устанавливать владельца. Можно установить владельца текущего каталога и всего, что расположено ниже.

Изменение владельца группы

В Linux посмотреть права на файл (file) не составляет никакого труда. И изменить владельца группы – тоже. Для этого предусматриваются два подхода:

команда chown;
применение специальной команды chgrp.

Во второй ситуации перед названием группы нужно поставить значок «точка» или «двоеточие». –R в chown позволяет рекурсивно менять владельца group.

Владелец по умолчанию

Грамотное распределение прав пользователя в Ubuntu, Astra и других Linux уберегает содержимое файлов в случае опасности. Оно не дает ему изменяться. Поэтому Линукс – одна из самых безопасных Unix систем.

Чтобы настройка прав доступа прошла успешно, нужно не только хорошо освоиться в «обычных» (стандартных) командах, но и разобраться с понятием владельца и группы файла, и контентного документа «по умолчанию». Сменить «собственника» администратор сможет в несколько кликов.

Владелец файла по умолчанию – тот, кто изначально создает соответствующую документацию. Система присваивает ему статус автоматически. Основной группой обычно является та, что прописана в etc/passwd в виде «ключевой».

Если пользователь выступает членом нескольких групп, он может изменить эффективную основную. Для этого необходимо использовать команду groups.

Текущий пользователь хочет поменять эффективную первичную группу.
Linda использует команду newgrp, после которой указано имя группы. Это – название «собственников».
После выполнения команды первичная группа остается активной до тех пор, пока не будет введена exit. Второй вариант – полноценный выход из системы.

Для того, чтобы использовать при управлении файлами и папками, а также правами доступа к ним через newgrp, клиент должен быть членом той группы, которая обозначается как «первичная».

Можно не только видеть «главных» пользователей и заменить их при необходимости. Linux в качестве прав предоставляет возможность корректировки пароля для первичной группы. Сменить password помогает команда gpasswd.

Манипулирование основными правами

Linux с системой разрешений и правами доступа появилась в 1970-х годах. Тогда базовые возможности были сильно ограничены. Соответствующая операционная система использует три разрешения, которые можно применять к файлам и каталогам.

О понятии чтения, записи и выполнения

Три ключевых разрешения позволяют читать, записывать и выполнять файлы. Результат соответствующих прав отличается от применения к файлам или каталогам. Если речь идет о документе, то его можно открыть для чтения. Клиент сможет прочитать содержимое. Но не факт, что компьютер способен открыть документ, чтобы выполнить с ним какие-то манипуляции.

Программный файл, который требует доступ к библиотеке, должен иметь право на то, чтобы «посмотреть» соответствующий каталог. Наследования у Linux нет. Именно поэтому приходится использовать право на чтение.

Если разрешить запись, клиент сможет вносить в документ корректировки. А именно – изменять содержимое файла. Создавать или удалять новые документы, а также изменять права доступа к файлу соответствующая «команда» не предоставляет возможности.

Чтобы воспользоваться правом осуществлять запись, нужно предоставить разрешение (права доступа) к каталогу Linux, где проводятся корректировки. Соответствующее разрешение позволяет создавать и удалять новые подкаталоги.

Разрешение на выполнение – то, что помогает обрабатывать документ и реализовывать его. Выполнение файла никогда не устанавливается по умолчанию. Его нужно установить самостоятельно. Благодаря такому подходу Linux является одной из самых защищенных от вирусов ОС.

Выше – таблица, которая означает обобщение использования основных разрешений.

Применение chmod

Chmod g– команда, которая позволяет проверить права доступа, а также внести в них изменения. Дает возможность работать с разрешениями для:

пользователей (users);
группы (group);
других (others).

Используется в двух режимах – абсолютном и относительном. В первом установка основных разрешений – это три цифры (числа):

Read – чтение. Использует 4.
Write. Запись в документ или директорию. Для реализации используется 2.
Execute. Разрешает выполнить операцию. Для использования нужно указать 1.

Когда настраиваем разрешения, нужно рассчитать необходимое значение. Чтобы установить чтение, запись и выполнение для пользователя, а также чтение и выполнение для группы, чтение и выполнение для других, нужно использовать chmod так:

Эта запись влияет на все права. Если работать нужно только с текущими разрешениями, стоит использовать chmod в относительном режиме. Предусматривает три индикатора. Они нужны для указания того, что требуется выполнить:

Сначала прописывается тот, для кого устанавливаются права. Выбор между u, g, o – пользователем, группой и другими соответственно.
Администратор определяет оператор для того, чтобы провести удаление или добавить разрешения из текущего режима. Можно установить их абсолютно.
Использовать r, w, x (права rwx) для того, чтобы указать, какие права (разрешения) нужно установить.

Стоит также запомнить следующее:

r – право на чтение файлов и папок (directory);
w – право на изменение содержимого (запись – только корректировка, но не удаление);
x – право на исполнение файла (позволяет выполнить команду, прописанную в документе).

Изменение прав доступа (rwx) относительно файлов и папок несколько отличается. Об этом должен помнить каждый. Но получение доступа на файл или директорию – это достаточно легко для любого администратора.

В чем отличие прав

Таблица ниже поможет лучше разобраться в том, что делает то или иное разрешение относительно файлов и директорий:

Тип права	Файлы	Папки
r	Просмотр содержимого	Можно прочитать содержимое всего каталога
w	Изменение содержимого документа	Можно изменять содержимое каталога – писать и удалять имеющиеся объекты
x	Запуск файла на выполнение	Дает возможность зайти в каталог и обратиться к его файлам

А вот – таблица, которая пригодится при работе с chmod и попытках изменить права в Linux:

Тип права	Файл	Директория
—	Сделать ничего нельзя	Доступ к каталогу и его подкаталогам находится под запретом
r-	Можно читать содержимое	Разрешено читать содержимое всей папки
rw —	Допустимо видеть и изменять состав файла	Предусматривается возможность добавлять, удалять и изменять документы в директории
rwx	Дают возможность читать, изменять и выполнять объект	Можно входить в каталог и вносить изменения в его документы
r-x	Чтение, выполнение	Посещение каталога, чтение его содержимого. Удаление и добавление файлов не разрешается
-x	Выполнить, если документ является двоичным	Выполнение двоичного файла, который ему известен. Зайти или прочесть каталог не получится – эти команды запрещены

Если нужно выдать права доступа к файлам в Linux или задать те или иные принципы управления, можно использовать перечисленные «параметры» chmod. Но есть и другие важные компоненты манипулирования.

Базовые команды

Чтобы проверить доступ, а также выставить необходимые права к файловым данным и папкам, поменять имя владельца, создать новый документ и не только в Linux используется консоль и определенные команды.

Вот то, что поможет задать вектор работы при использовании консоли:

Clear. Такие команды включают очистку всего, что написано в консоли.
History. Дает проверить ранее введенные команды. Проверку может проводить любой пользователь.
Whatsis. Такие команды включают описание устанавливаемого приложения.
Man. Показывает полные руководства к выбранным утилитам/командам.

Просмотр соответствующей информации позволит проверить данные, а также разрешить к ним доступ тем или иным пользователям при необходимости.

Просто о сложном — примеры

Выдать (выставить), а также сменить и посмотреть права доступа можно, хорошо разобравшись в примерах выше. Далее рассмотрим получше chmod и chown.

Для того, чтобы посмотреть права для владельца, нужно перейти в директории в консоль и вызвать команду ls -l. Выглядеть это будет так:

Слева – права доступа соответствующих документов/директорий. Чтобы посмотреть, какие пользователи могут читать конкретный файл, используется форма is -l имя_документа. Смена «названия» позволяет переключаться между просмотром имен файлов и тех, кто может ими пользоваться.

Узнать права доступа на директорию и файлы рекурсивно внутри каталога дает команда: Is –RI или Is RI имя_папки.

Среди всех существующих команд просмотр права на файл Linux – самый простой. Владелец файла может выполнять с ним разные операции.

Изучение – как быстро освоить

Выдать или изменить права доступа в Unix системах не так трудно. Символьная запись команд достаточно простая. Здесь – туториал, рассказывающий о том, как посмотреть права доступа в ОС Linux.

Лучше разобраться в этом помогут дистанционные образовательные компьютерные курсы. В конце обучения пользователь освоит инновационную IT-профессию и получит электронный сертификат.

Как удалить программу 1с на Astra Linux?

Друзья приветствую! В Линукс Астра (так же как и в других Deb системах) перед обновлением версии платформы 1с обязательным требованием является полное удаление предыдущих версий пакетов.

Сегодня покажу, как это делается в Astra Linux Орел. Вычищать систему будем через терминал или через менеджер пакетов Synaptic.

Новичкам будет удобнее начинать через Пуск — Панель управления — Менеджер пакетов Synaptic…

Через «Поиск» находим (по наименованию) нужную программу 1с (как правило будет найдено несколько пакетов). Можно воспользоваться другими фильтрами отбора — на тот случай, если пакеты были устновлены с ошибками. Используйте различные фильтры.

Далее, нужно отметить найденные пакеты правой кнопкой мыши. Можно отмечать по одному, но для автоматического удаления всех связанных пакетов лучше выбрать «Отметить для полного удаления»:

Остается применить выбранные операции.

В нашем случае выбираем только «1c-enterprise»; другие пакеты если не знаете для чего он нужен — лучше не трогать!

Скорее всего пакеты удаляться не все — если службы 1с были запущены. Далее действуем через терминал.

Как удалить программу 1с в linux Астра через терминал?

Обязательно закроем графический менеджер пакетов Synaptic. Для начала нужно проверить наличие установленных /оставшихся пакетов в системе. Для этого воспользуемся командой:

где dpkg -l вывод списка установленных программ;
| grep 1c-enterprise поиск в списке нужного пакета и вывод информации на экран (утилита grep);

В нашем случае мы видим один оставшийся пакет — сервер 1с:

Для удаления всех пакетов сразу через терминал можно использовать команду:

где dpkg —purge утилита вычищает выбранные пакеты из системы (параметр purge).

Важный момент, друзья! Если Вы решили удалить 1с пользуясь только терминалом, тогда сначала выводим список ВСЕХ установленных в систему пакетов уже знакомой нам командой:

sudo dpkg -l | grep 1c-enterprise*

А затем перечисляем ВСЕ пакеты СНИЗУ в ВВЕРХ через пробел (используем «копировать» «вставить»):

sudo dpkg —purge 1c-enterprise83-ws-nls 1c-enterprise83-ws 1c-enterprise83-server-nls 1c-enterprise83-server 1c-enterprise83-crs 1c- enterprise83-common-nls 1c-enterprise83-common 1c-enterprise83-client-nls 1c-enterprise83-client

Где находится кэш 1с 8.3 на сервере Linux и как его очистить?

Все? Еще нет; в тяжелых случаях если 1с не запускается после установки новой платформы иногда нужно удалять данные кэша предыдущей версии а так же список установленных информационных бах (НЕ сами базы). Это добро находится в домашней папке пользователя, от имени которого осуществляется вход.

Папки эти как правило скрыты и не видны пользователю . Чтобы их увидеть запустим файловый менеджер Midnight Commander с правами суперпользователя:

По пути /Home/Пользователь находим нужные папки и удаляем их:

Весь кеш, список баз данных будут удалены. Базы придется переписать заново. Впрочем при неполадках можно удалять содержимое этих папок выборочно. Базы данных не удаляем! После всех манипуляций по очистке можно устанавливать новую платформу 1с для Linux.

Этими способами можно удалить любые пакеты установленые в систему — не только 1с. Удачи!

Руководство администратора (КСЗ) ОС «Astra Linux Special Edition»

В состав КСЗ входят следующие основные подсистемы:

модули подсистемы безопасности PARSEC, входящие в состав ядра ОС;
библиотеки;
утилиты безопасности;
подсистема протоколирования (регистрации);
модули аутентификации;
графическая подсистема;
консольный вход в систему;
средства контроля целостности;
средства восстановления;
средства разграничения доступа к подключаемым устройствам;
средства разграничения доступа к виртуальным машинам.

КСЗ обеспечивает реализацию следующих функций ОС по защите информации от НСД:

идентификацию и аутентификацию;
дискреционное управление доступом;
мандатное управление доступом;
регистрацию событий безопасности;
ограничение программной среды;
изоляцию процессов;
защиту памяти;
контроль целостности;
обеспечение надежного функционирования;
фильтрацию сетевого потока;
маркировку документов;
защиту среды виртуализации;
контроль подключения съемных машинных носителей информации.

Перечень эксплуатационной документации, с которыми необходимо ознакомиться администратору

Операционная системы специального назначения «Astra Linux Special Edition». Руководство администратора, часть 1. РУСБ 10015-01 95 01-1;
Операционная системы специального назначения «Astra Linux Special Edition». Руководство администратора, часть 2. РУСБ 10015-01 95 01-2;
Операционная системы специального назначения «Astra Linux Special Edition». Руководство по комплексу средств защиты информации, часть 1. РУСБ 10015-01 97 01-1;
Операционная системы специального назначения «Astra Linux Special Edition». Руководство по комплексу средств защиты информации, часть 2. РУСБ 10015-01 97 01-2;
Операционная системы специального назначения «Astra Linux Special Edition». Руководство пользователя. РУСБ 10015-01 93 01;

Подготовка к работе

Состав и содержание дистрибутивного носителя данных представлен в таблице

Путь расположения и название дистрибутива	Назначение
smolensk-1.6-20.06.2018_15.56.gost	Файл с контрольной суммой образа ОС специального назначения «Astra Linux Special Edition» созданой с использованием алгоритма gost
smolensk-1.6-20.06.2018_15.56.iso	Образ ОС специального назначения «Astra Linux Special Edition».
smolensk-1.6-20.06.2018_15.56.md5	Файл с контрольной суммой образа ОС специального назначения «Astra Linux Special Edition» созданой с использованием алгоритма md5

Установка с DVD-диска (запуск программы установки)

1) «Графическая установка»;

3) «Режим восстановления».

В нижней части экрана приведен список функциональных клавиш, подключающих дополнительные возможности программы установки:

Пункт «Режим восстановления» запускает ОС в текстовом режиме непосредственно

Для программы установки в графическом режиме требуется 1 ГБ свободного пространства на диске.

Графическая установка и первичная настройка

Для графической установки ОС необходимо:

загрузить программу установки ОС с носителя;
выбрать настройки программы установки и оборудования;
активировать подключение к сети Ethernet;
создать учетную запись и пароль пользователя;
настроить время;
создать и смонтировать дисковые разделы, на которые будет установлена ОС;
выбрать и установить необходимое программное обеспечение (ПО). После установки базовой системы предоставляется возможность (при необходимости) выбрать дополнительное ПО для установки:
базовые средства;
рабочий стол Fly;
приложения для работы с сенсорным экраном;
средства работы в сети;
офисные средства;
СУБД;
средства удаленного доступа SSH;
защищенный web-сервер;
средства виртуализации;
средства мультимедиа;
служба ALD;
выбрать и установить (при необходимости) дополнительные настройки безопасности ОС;
установить и настроить системный загрузчик Grub;
загрузить установленную ОС в первый раз.

«Дополнительные настройки ОС» оставить настройки по умолчанию.

Описание дополнительных функции безопасности ОС:

1) «Включить режим замкнутой программной среды»

2) «Запретить установку бита исполнения»

3) «Использовать по умолчанию ядро Hardened»

4) «Запретить вывод меню загрузчика»

5) «Включить очистку разделов страничного обмена»

При выборе данного пункта будет включен режим очистки памяти разделов подкачки swap (см. РУСБ.10015-01 97 01-1);

6) «Включить очистку освобождаемых областей для EXT-разделов»

7) «Включить блокировку консоли»

8) «Включить блокировку интерпретаторов»

9) «Включить межсетевой экран ufw»

10) «Включить системные ограничения ulimits»

При выборе данного пункта будут включены системные ограничения, установленные

файле /etc/security/limits.conf (см. РУСБ.10015-01 97 01-1);

11) «Отключить возможность трассировки ptrace»

12) «Отключить автоматическую настройку сети»

При выборе данного пункта будет отключена автоматическая настройка сети в процессе установки ОС;

13) «Установить 32-х битный загрузчик»

При выборе данного пункта из системы будет удален 64-х битный загрузчик EFI и установлен 32-х битный загрузчик EFI.

Описание операций (Управление работой)

Описание программы «Управление политикой безопасности» (fly-admin-smc)

пользователями, группами, настройками и атрибутами: мандатным разграничением доступа (МРД) пользователя, параметрами протоколирования, привилегиями, политикой срока действия пароля, политикой блокировки;
базами данных Parsec (аудитом, мандатными атрибутами и привилегиями);
политикой создания пользователей;
настройками безопасности (устанавливать параметры монтирования для очистки блоков памяти при их освобождении, настраивать очистку разделов страничного обмена при выключении системы);
параметрами подключения внешних устройств (учитывать носители и управлять их принадлежностью, протоколированием и мандатными атрибутам.

Главное окно программы

Меню программы содержит следующие пункты:

«Файл»:
«Выход» — работа программы завершается;
«Правка» — пунктами подменю добавляется/удаляется раздел в дереве настроек ПБ на боковой панели «Элементы» (Панель навигации), а также изменяются соответствующие ему значения параметров настройки:
«Обновить» — содержимое панелей обновляется;
«Удалить» (активируется при выделении раздела) — появляется окно с запросом на подтверждение удаления. После подтверждения или отмены окно закрывается и раздел, соответственно, удаляется или не удаляется;
«Создать» (активируется при выделении раздела или объединения разделов) — позволяет создать новый раздел, а также рабочую панель с элементами настройки этого нового раздела. На панели «Свойства» появляется новая форма или вспомогательное окно для установки необходимых параметров;
«Применить» — установленные настройки применяются;
«Отмена» — отмена изменения настроек;

«Настройки»:

«Плагины» — открывается окно «Плагины и модули», во вкладках «Плагины» и «Модули» которого отображаются, соответственно, загружаемые плагины и модули, а в строке «Путь» отображается маршрутное имя каталога с файлами для их хранения. Управляющие элементы:
[Изменить] — открывается диалоговое окно для установки нового имени каталога с файлами для хранения. После подтверждения или отмены окно закрывается, и новое имя каталога, соответственно, устанавливается или не устанавливается;
[Закрыть] — окно закрывается;

«Содержание» — вызов окна справки;
«О программе…» — вызов окна с краткой информацией о программе.

Описание разделов программы «Управление политикой безопасности» (fly-admin-smc)

Панель «Настройки аудита». Рабочая панель содержит вкладки :

Панель «Настройки аудита»

«По умолчанию» — настройки аудита по умолчанию:

«Настройка аудита по умолчанию» — флаг включения аудита по умолчанию;
«Аудит успехов» и «Аудит отказов» — список флагов включения регистрации событий в журнале операций, в случае их, соответственно, успешного и неуспешного выполнения. Флаг переключается щелчком левой кнопки мыши на нем.

вкладка «Общие»:

«Имя» — отображается имя члена группы;
«UID» — отображается идентификационный номер члена группы;
«GECOS» — отображается информация из учетной записи члена группы;
«Системный» — отметка для членов системных групп;
кнопки управления списком (внизу):
[Добавить] — открывается окно со списком пользователей. Элемент списка выделяется щелчком левой кнопки мыши на нем. [Да] — окно закрывается, и имя выделенного пользователя отображается в поле «Пользователи», [Отмена] — окно закрывается;
[Удалить из группы]) — выделенный в поле «Имя» элемент удаляется;

Настройки политики безопасности

fly-admin-smc («Управление политикой безопасности») — управление протоколированием, привилегиями и мандатными атрибутами пользователей, работа с пользователями и группами;
fly-admin-viewaudit («Журнал безопасности») — выборочный просмотр протоколов аудита.
Для настройки протоколирования перейдите в рабочую панель Аудит à Настройки аудита à вкладка «По умолчанию»

Выставите флаги настроек согласно таблице 8:

Таблица 8. Значения настроек аудита.

Разряд	Ключ	Событие	Успех	Отказ
16	w	Net	Нет флага	флаг
15	e	Rename	Нет флага	Флаг
14	h	Chroot	флаг	Флаг
13	p	Cap	Нет флага	Флаг
12	m	Mac	Нет флага	Флаг
11	r	Acl	Нет флага	Флаг
10	a	Audit	Нет флага	Флаг
9	g	Gid	Нет флага	Флаг
8	i	Uid	Нет флага	Флаг
7	l	Module	Нет флага	Флаг
6	t	Mount	флаг	Флаг
5	n	Chown	Нет флага	Флаг
4	d	Chmod	Нет флага	Флаг
3	u	Delete	Нет флага	Флаг
2	x	Exec	Нет флага	Флаг
1	c	Crate	Нет флага	Флаг
0	o	open	Нет флага	Флаг

Замкнутая программная среда

Настройки замкнутой программной среды. Рабочая панель содержит вкладки:

«Настройки»- настройки замкнутой системной среда;
«Ключи» — настройка ключей:
[Создать новый ключ] — открывается окно «Создание ключа» со строками ввода имени, адреса электронной почты (EMail) и комментария и кнопками управления: [Да] — настройки для создания ключа сохраняются и окно закрывается: [Отмена] — окно закрывается;
[Открывать утилиту управления ключами] — открывается окно программы «Управление ключами — KGpg» (графический интерфейс к программе GnuPG — мощной утилите шифрования, которая позволяет шифровать и расшифровывать файлы и электронные письма, обеспечивая безопасную связь);
в табличном виде отображается список ключей шифрования (имя ключа, размер, тип и дата изменения);
«Подпись» — настройка подписи.
флаги «Подпись в бинарные файлы» и «Подпись в расширенные атрибуты» — включают режим подписи, соответственно, в бинарные файлы и в расширенные атрибуты;

«Выберите ключ» — выпадающий список для установки ключа;
[Создать новый ключ] — открывается окно «Создание ключа» со строками ввода имени, адреса электронной почты (EMail) и комментария и кнопками управления: [Да] — настройки для создания ключа сохраняются и окно закрывается: [Отмена] — окно закрывается;
[Открывать утилиту управления ключами] — открывается окно программы «Управление ключами — KGpg» (графический интерфейс к программе GnuPG — мощной утилите шифрования, которая позволяет шифровать и расшифровывать файлы и электронные письма, обеспечивая безопасную связь);

Настройка замкнутой программной среды в АИС «ВЕБС» не требуется.

Мандатное управление доступом и целостностью. Рабочая панель содержит вкладки:

«Категории» — категории МРД;
«Уровни целостности» — уровни целостности МРД;
«Уровни конфиденциальности» (рис. 56) — уровни МРД.

Мандатный контроль целостности

Настройка мандатного контроля целостности. Рабочая панель содержит элементы управления:

флаг «Подсистема Мандатного Контроля Целостности» — включает подсистему мандатного контроля целостности (МКЦ). При включении МКЦ устанавливается параметр ядра max_ilevв /etc/default/grub. Для установки МКЦ для ФС следует включить флаг «Мандатный контроль целостности» сконфигурировать рабочую среду пользователей и только потом установить высокую целостность на ФС. При стирании параметра ядра parsec.max_ilev из /etc/default/grub с ФС снимается высокий уровень целостности. При отключении мандатного контроля целостности отключается блокировка интерпретаторов;
«Максимальный уровень целостности» — в числовом поле устанавливается максимальный уровень целостности;
флаги «Установить максимальный уровень целостности пользователям из группы astra-admin» — включает установку максимального уровня целостности пользователям из группы astra-admin;
[Установить] и [Снять] — установленный уровень целостности на выделенные объекты ФС, соответственно, устанавливается или снимается;
[Уровень целостности] — из списка устанавливается уровень целостности;
дерево ФС (вершина разворачивается щелчком любой кнопки мыши на знаке вершины) — слева от элемента ФС располагается флаг выделения этого элемента.

На рабочей панели отображается монитор безопасности.

Монитор безопасности

Группа настроек включает:

свод разделов «Параметры ядра» c текущими параметрами ядра (sysctl). Рабочая панель содержит вкладки:
«Текущие параметры» — табличном виде для каждого элемента (параметра) отображаются ключ, значение, источник;
«Шаблоны»- в табличном виде для каждого элемента (шаблона) отображаются наименование, путь, метка принадлежность к системному элементу.

раздел «Политика консоли и интерпретаторов» — рабочая панель содержит настройки политики консоли: флаги включения блокировки консоли для пользователей, не входящих в группу astra-console, и блокировки интерпретаторов, а также кнопку для перехода к управлению группой astra-console;
раздел «Политика очистки памяти» — рабочая панель содержит настройки политики очистки памяти:

раздел «Политика очистки памяти»

флаг «Очистка разделов подкачки» — включает очистку разделов подкачки и активирует поле ввод «Игнорировать раздел подкачки» для установки тех разделов подкачки, которые не подлежат очистке;
«Гарантированное удаление файлов и папок» — в табличном виде представлен список разделов устройств для безопасного удаления. Столбцы: «Устройство» — наименование раздела устройства, «Точка монтирования» — точка монтирования, «Тип» — тип файловой системы, «Очистка» — флаг включения безопасного удаления и «Количество»
раздел «Системные параметры» — рабочая панель содержит флаги включение системных параметров безопасности: запрета установки бита исполнения, блокировки макросов, блокировки трассировки ptrace, блокировки одновременной работы с разными уровнями sumac, включения системных ограничений ulimits, блокировки выключения/перезагрузки ПК для пользователей и блокировки системных команд для пользователей.

раздел «Системные параметры»

Значения параметров настроек безопасности представлены в таблице .

Настройка	Параметры
Параметры ядра	По умолчанию
Политика консоли и интерпретаторов	По умолчанию
Настройка очистки памяти	/dev/sda1, /, ext4, сигнатура, 1
Системный параметры	По умолчанию

Политики учетной записи

Группа настроек включает:

раздел «Блокировка» — политика блокировки учетной записи: настройки pam_tally. Рабочая панель содержит элементы настройки:

раздел «Блокировка»

флаг «Индивидуальные настройки» — разрешает использование индивидуальных настроек;
флаг «Не сбрасывать счетчик» — отменяет сброс счетчика;
флаг «Не использовать счетчик для пользователя с uid=0» — отменяет счетчик для суперпользователя;
«Неуспешных попыток» — в числовом поле устанавливается максимально допустимое количество некорректных попыток входа пользователя в систему (неудачных попыток ввода пароля) до автоматической блокировка учетной записи;
«Период блокироваки (секунды)» — в числовом поле устанавливается продолжительность (в сек.) запрета на повторный вход в систему после неуспешного входа;
«Период разблокировки (секунды)» — в числовом поле устанавливается период времени (в сек.) по истечение которого отменяется автоматическая блокировка, установленная после достижения максимального количества неудачных попыток входа.
свод разделов «Политики паролей» (рис. 66) содержит:

свод разделов «Политики паролей»

раздел «Сложность» — вкладка «Сложность» рабочей панели содержит элементы настройки:
флаг «Проверка имени пользователя» — включает проверку имени пользователя;
флаг «Проверка GECOS» — включает проверку информации из учетной записи пользователя;
флаг «Применять для пользователя root» — включает применение для суперпользователя;
«Минимальное длина пароля пароля» — в числовом поле устанавливается минимальная длина пароля;
флаг «Минимальное количество строчных букв в новом пароле» — активирует числовое поля для установки минимального количества строчных букв в новом пароле;
флаг «Минимальное количество заглавных букв в новом пароле» — активирует числовое поля для установки минимального количества заглавных букв в новом пароле;
флаг «Минимальное количество цифр в новом пароле» — активирует числовое поля для установки минимального количества цифр в новом пароле;
флаг «Минимальное количество других символов в новом пароле» — активирует числовое поля для установки минимального количества других символов в новом пароле;
раздел «Срок действия» — вкладка «Срок действия» рабочей панели содержит элементы настройки:

раздел «Срок действия»

флаг «Минимальное количество дней между сменами пароля» — активирует числовое поля для установки минимального количества дней для смены пароля;
флаг «Максимальное количество дней между сменами пароля» — активирует числовое поля для установки максимального количества дней для смены пароля;
флаг «Число дней выдачи предупреждения до смены пароля» — активирует числовое поля для установки количества дней для выдачи предупреждения до смены пароля;
флаг «Число дней неактивности после устаревания пароля до блокировки учетной записи» — активирует числовое поля для установки числа дней неактивности поле устаревания пароля до блокировки учетной записи;
флаг «Срок действия учетной записи» — активирует числовое поля для установки срока действия учетной записи;
[Импорт из шаблона] — открывается окно для установки шаблона политики пароля и последующего импорта параметров из установленного шаблона;
свод разделов «Шаблоны устаревания» — в табличном виде отображается список установленных шаблонов политики пароля. Двойным щелчком левой кнопки мыши на названии шаблона в таблице открываются разделы с шаблонами в дереве навигации, а на рабочей панели отображается соответствующая выделенному шаблону вкладка с информацией о значениях настроек.
раздел «Политика создания пользователей» (рис. 24) — параметры политики пользователей берутся из конфигурационного файла /etc/adduser.conf консольной утилиты adduser. Изменение политики проводит к изменению политики, определяемой утилитой adduser. Рабочая панель содержит элементы настройки:
«Дом. каталог» — строка ввода маршрутного имени домашнего каталога пользователя;
«Каталог шаблонов» — строка ввода маршрутного имени каталога шаблонов;
«Оболочка» — строка ввода маршрутного имени каталога с оболочкой;
«Первичная группа» — из выпадающего списка устанавливается первичная группа пользователя;
флаг «Создавать новую пользовательскую группу» — включает создание новой пользовательской группы;
флаг «Добавлять пользователя в дополнительные группы» — включает добавление пользователя в дополнительные группы;
поле «Дополнительные группы» — в табличном виде отображается список дополнительных групп. Щелчком кнопки мыши на строке элемент списка выделяется. [Добавить] и [Удалить] (внизу) — пользователь, соответственно, добавляется в или исключается из выделенной группы.

Параметры настроек политики учетной записи, представлены в таблице

вкладка «Общие» (см. рис. 69):

«Имя» и «UID» — отображается имя и идентификационный номер пользователя;
«Первичная группа» — из выпадающего списка устанавливается первичная группа пользователя;
«Дом. каталог» — строка ввода маршрутного имени домашнего каталога пользователя;
флаг «Переместить» — включает перенос содержимого домашнего каталога пользователя при изменении имени домашнего каталога;
«Оболочка» — строка ввода маршрутного имени каталога с оболочкой;
поле «Пароль»: [Изменить] — открывается окно для ввода нового пароля с последующим его подтверждением. После подтверждения или отмены окно закрывается и новый пароль, соответственно, устанавливается или не устанавливается. Флаг «Печать» — включает отображение учетной карточки пользователя с возможностью ее печати;
флаг «GECOS» — строка ввода информации из учетной записи пользователя. […] (справа) — открывается окно для заполнения отдельных полей учетной записи с информацией о пользователе. После подтверждения или отмены окно закрывается и новый информация о пользователе, соответственно, устанавливается или не устанавливается;

вкладка «Аудит»:

вкладка «Аудит» astra

флаг «Настройка аудита по умолчанию» — включает настройки аудита по умолчанию;
«Аудит успехов» и «Аудит отказов» — список флагов включения регистрации событий, в случае их, соответственно, успешного и неуспешного выполнения пользователем. Флаг переключается щелчком левой кнопки мыши на знаке слева от него.
вкладка «Привилегии»:
«Linux привилегии:» и «Parsec привилегии:» — отображается список флагов включения, соответственно, Linux-и Parsec-привилегий для пользователя (Флаги включения Linux- и Parsec-привилегий). Флаг переключается щелчком левой кнопки мыши на знаке слева от него.
«МРД» (мандатное разграничение доступа) (рис. 73):
«Минимальный уровень:» — из выпадающего списка «Конфиденциальность» устанавливается минимальный уровень мандатного доступа, а из списка «Целостность» — минимальный уровень целостности;
«Максимальный уровень:» — из выпадающего списка «Конфиденциальность» устанавливается максимальный уровень мандатного доступа, а из списка «Целостность» — максимальный уровень целостности;
поле «Категории» — в табличном виде отображаются категории и их атрибуты. Флагами включается минимальный и максимальный уровень категории;
«Срок действия» (рис. 74):
флаг «Минимальное количество дней между сменой пароля» — включает числовое поле для установки минимального количества дней между сменой пароля;
флаг «Максимальное количество дней между сменой пароля» — включает числовое поле для установки максимального количества дней между сменой пароля;
флаг «Число дней выдачи предупреждения до смены пароля» — включает числовое поле для установки числа дней выдачи предупреждения до смены пароля;
флаг «Число дней неактивности после устаревания пароля до блокировки учетной записи» — включает числовое поле для установки числа дней неактивности после устаревания пароля до блокировки учетной записи;
флаг «Срок действия учетной записи пользователя» — включает календарь для установки срока действия учетной записи пользователя;
[Импорт из шаблона] — открывается окно для установки шаблона политики пароля и последующего импорта параметров из установленного шаблона;
вкладка «Графический киоск Fly» — позволяет ограничивать доступность для запуска программ локальным пользователям.

флаг «Режим киоска графического киоска Fly» — включает режим киоска при работе с приложениями из списка. Если в списке одно приложение, то режим киоска включается при работе с этим приложением. Если в списке несколько приложений, то запускается Рабочий стол с этими приложениями. Все доступные каталоги, ярлыки и т.д. устанавливаются в соответствии с предоставленным доступом;
«Разрешенные приложения» — список приложений для запуска в режиме киоска. Элемент списка выделяется щелчком мыши на нем. Кнопки управления для формирования списка: [Добавить] (внизу и справа) — открывается окно для установки имени программы. После подтверждения или отмены окно закрывается и имя программы, соответственно, появляется или не появляется в списке. [Удалить] — программа, выделенная в списке, удаляется;
[Системный киоск] — запускается программа «Системный киоск» (управление ограничением среды).

Параметры настроек раздела «Привилегии» оставить по умолчанию.

Устройства и правила

Настройки ограничения на правила и размещения устройств. Рабочая панель содержит вкладки:

«Устройства» — в табличном виде для устройств отображаются ограничения на размещение. Двойным щелчком на элементе таблице на рабочей панели отображаются настройки

Рабочая панель «Устройства»

«Наименование» — отображается наименование устройства;
флаг «Включено» — включает ограничения на размещение устройства;
вкладка «Общие»:
поля «Пользователь», «Группа», «Остальные» содержат выпадающий список для установки пользователя (Пользователь), группы (Группа) и флаги с правами доступа на чтение, запись и выполнение, соответственно для пользователя, группы и остальных;

[Импорт] — импорт свойств;
[Добавить] — свойство добавляется;
[Удалить] — свойство удаляется;
[Очистить] — записи свойства в выделенном элементе в таблице исчезают;

вкладка «Аудит»:

Двойным щелчком на элементе таблице на рабочей панели отображаются настройки:

«Наименование» — отображается наименование устройства;
флаг «Включено» — включает правила ограничения;
поле «Свойства» — список свойств (атрибутов) в табличном виде. Столбцы: «Наименование», «Ключ», «Операция», «Значение». Элемент таблицы выделяется щелчком левой кнопки мыши на нем. Кнопки управления списком (внизу):
[Импорт] — импорт свойств;
[Добавить] — свойство добавляется;
[Удалить] — свойство удаляется;
[Очистить] — записи свойства в выделенном элементе в таблице исчезают;
поле «Описание» — краткий комментарий.

Параметры настроек устройств представлены в таблице:

Устройства (Общие)
Права	Согласно матрице доступа
МРД	По умолчанию
Аудит	Выставить все галки
Правила	По умолчанию

Описание Linux- и Parsec-привилегий

«cap_chown» — игнорировать ограничения по изменению прав на владение флагом со стороны пользователя или группы;
«cap_dac_ovveride» — игнорировать права доступа к файлу;
«cap_dac_read_search» — игнорировать права на чтение или поиск файла или каталога;
«cap_fowner» — игнорировать проверки прав на владение файлом;
«cap_fsetid» — игнорировать ограничения по установке флагов setuidи setgidдля файлов;
«cap_kill» — обходить проверки ограничений при генерировании сигналов;
«cap_setgid» — игнорировать ограничения на манипуляции с правами процесса, относящимися к группе пользователей;
«cap_setuid» — игнорировать ограничения на манипуляции с правами процесса, относящимися к пользователю;
«cap_setpcap» — разрешить манипуляции с привилегиями других процессов;
«cap_cap_linux_immutable» — разрешить модификацию постоянных файлов и файлов «только для записи» в файловых системах Ext2и Ext3;
«cap_net_bind_service» — разрешить привязку сокетов TCP/IPк портам ниже 1024;
«cap_net_broadcast» — разрешить широковещательную и многоадресную рассылку;
«cap_net_admin» — разрешить общее сетевое администрирование;
«cap_net_raw» — разрешить использование сокетов RAWи PACKET;
«cap_ipc_lock» — разрешить блокировку страницы и совместно используемых блоков памяти;
«cap_ipc_owner» — пропускать проверку владельца при межпроцессном взаимодействии;
«cap_sys_module» — разрешить загрузку и выгрузку модулей ядра;
«cap_sys_rawio» — разрешить доступ к портам ввода и вывода с помощью системных вызовов ioperm()и iopl();
«cap_sys_chroot» — разрешить вызов chroot;
«cap_sys_ptrace» — разрешить вызов ptrace()для любого процесса;
«cap_sys_pacct» — разрешить настройку процессорного учета;
«cap_sys_admin» — разрешить общее системное администрирование;
«cap_sys_boot» — разрешить вызов reboot();
«cap_sys_nice» — пропустить проверку прав доступа для системных вызовов nice(), setpriority()и позволить создавать процессы реального времени;
«cap_sys_resource» — разрешить поднятие лимитов на ресурсы;
«cap_sys_time» — разрешить манипуляцию с часами и часами реального времени;
«cap_sys_tty_config» — разрешить настроку терминала и применение системного вызова vhangup();
«cap_mknode» — разрешить привилегированные операции mknode();
«cap_lease» — разрешить блокировку «аренда файла»;
«cap_audit_write» — разрешить запись в журнал аудита ядра;
«cap_audit_control» — разрешить контроль аудита ядра;
«cap_setfcap» — разрешить установку привилегий файлов.

Флаги включения Parsec-привилегий:

«parsec_cap_file_cap» — право устанавливать привилегии на файлы;
«parsec_cap_audit» — право управления политикой аудита;
«parsec_cap_setmac» — разрешает изменить мандатную метку и установить другие привилегии;
«parsec_cap_chmac» — дает право менять мандатные метки файлов;
«parsec_cap_ignmaclvl» — право игнорировать мандатную политику по уровням;
«parsec_cap_ignmaccat» — право игнорировать мандатную политику по категориям;
«parsec_cap_sig» — позволяет посылать сигналы процессам, игнорируя дискреционные и мандатные права;
«parsec_cap_update_atime» — право изменять время доступа к файлу;
«parsec_cap_priv_sock» — позволяет создавать привилегированный сокет и менять его мандатную метку. Привилегированный сокет позволяет осуществлять сетевое взаимодействие, игнорируя мандатную политику;
«parsec_cap_readsearch» — позволяет игнорировать мандатную политику при чтении и поиске файлов (но не при записи);
«parsec_cap_cap» — право устанавливать привилегии на файлы;
«parsec_cap_mac_sock» — возможность смены мандатной точки соединения.

Аварийные ситуации

Исправление ошибок на диске

После сбоя питания может появится надпись при загрузке:

/dev/sda1: UNEXPECTED INCONSISTENCY: RUN fsck MANUALLY.

(i.e., without -a or -p options)

fsck died with exit status 4

Для решения проблемы потребуется провести проверку диска вручную, для этого:

Вставить установочный диск
Загрузиться с оптического диска
Выбрать режим Восстановления

Выбрать режим Восстановления astra

Пройти первичную настройку:

Принять лицензионное соглашение;
Выбрать раскладку клавиатуры;
Указать имя компьютера;
Указать часовой пояс;
В окне выбора устройства, выбрать пункт: «Не использовать корневую файловую систему»;
Запустить оболочку в рабочей среде программы установки;
Запустить интерпретатор;
Выполнить:

fsck.ext4 -p -f -c /dev/sdaX (где sdaХ корневой раздел)

После проверки нажать Ctrl-D, вынуть оптический диск и перезагрузить машину.

Сброс счетчика неудачных попыток входа

В случае, если пароль известен:

1) Перезагрузить машину;

2) Дождаться появления меню загрузчика и нажать клавишу «e»;

меню загрузчика astra

3) На запрос «Введите имя пользователя» ввести root;

4) На запрос пароля нужно ввести пароль для загрузчика (Пароль задаётся во время установки ОС, в самом конце);

загрузочной записи

6) Нажмите F10, чтобы загрузить систему и дождитесь такого приглашения командной строки:

8) Для сброса счётчика выполните команду: faillog -r

9) Перезагрузите машину.

Другой способ обнулить счётчик неудачных попыток входа для пользователя из группы astra-admins:

1) Загрузить с установочного диска ОС СН «Astra Linux Special Edition» и выбрать «Режим восстановления»

2) Выбрать устройство, используемое в качестве корневой системы. (/dev/sda1 к примеру).

Как в Astra Linux настроить блокировку экрана

Включение и настройка блокировки экрана

Как в Astra Linux настроить блокировку экрана

Включение и настройка блокировки экрана

Astra блокировка : 2 комментария

Астра, кмк, рассчитана на людей, перелезших с венды, потому и предлагается гуй.

Как в астра линукс запретить очистку браузера

Astra Linux теперь только за деньги (рубли)? ⁠ ⁠

Astra Linux теперь только за деньги (рубли)? Astra Linux, Импортозамещение, Операционная система, Linux, Длиннопост, IT, Администрирование

Недавно, при написании статьи для своего блога, я решил скачать с официального сайта Astra Linux свежий образ с версии Astra Linux Common Edition. Каково же было мое удивление, когда на сайте я вообще не нашел никаких упоминаний о версии Astra Linux CE.
Я задал вопрос в официальном телеграмм канале чем вызвал некоторое оживление, так как никто не знал, что CE исчезла с сайта, правда ссылку на образ нашли на одной странице в самом низу в устаревших версиях!
Уже вышла новая версия Astra Linux Special Edition 1.7 на базе Debian 10, а тем временем, CE основана на Debian 9 и не обновлялась с 15 декабря 2021 года, не выходят обновления безопасности и не обновляется ядро, последние обновления ядра вообще от 2 сентября 2021 года!
Что происходит и чем это грозит IT сфере в России? Давайте попробуем разобраться.

Linux за деньги?

Давайте посмотрим на сайт Astra Linux от 17.06.2022, я специально сделал скриншоты:

Как видите скачать старую версию можно, если хорошенько поискать, а раньше ссылка была на главной странице. Вот так сайт выглядел раньше:

Что же нам предлагает Astra Linux сейчас? Если коротко – Linux за деньги!

Саму операционную систему версии 1.7 нельзя нигде скачать.

По всем старым ссылкам, например тут — https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/
только версии 1.6 и старая CE.

Да, можно запросить версию на тест, но, во-первых, об этом, опять же, нигде не написано, а во-вторых, например, я хочу прямо сейчас скачать образ и попробовать в виртуалке как работает их ОС, а не ждать разрешения, к тому же без гарантии положительного ответа! Так что 90% желающих уже на этом этапе уже отсеется.

Чем это грозит?

После того, как Microsoft и прочие IT-компании демонстративно сбежали из России, Astra Linux, по сути, стала монополистом на рынке коммерческих операционных систем. Да есть Alt Linux, ROSA и прочие, но они, по моему мнению, раньше не дотягивали до Astra Linux. Хотя, если ситуация не измениться, придется искать другой отечественный дистрибутив и это печально.
Исходя из их сайта, новая стратегия развития такова — теперь чисто коммерческий продукт и домашние пользователи их не интересуют, так как об этом нет вообще никакой.

Почему это плохо для IT сферы России?

С одной стороны, всё правильно, ООО «РусБИТех-Астра», коммерческая организация, цель которой является зарабатывание денег! Домашние пользователи не приносят денег, поэтому с точки зрения бизнеса нет смысла и выпускать для них бесплатную версию, как говорится – Ничего личного, просто бизнес!

Но это если нас интересуют только деньги — побольше продать лицензий и отчитаться о рекордной прибыли!

Но в погоне за прибылью легко забыть о том, что системные администраторы операционных систем не берутся из воздуха и их невозможно подготовить за несколько дней на курсах повышения квалификации. Максимум что у вас получится в результате — эникей – человек знающий в какой последовательности вводить команды и куда тыкать мышкой, но даже так, без техподдержки он не сможет эффективно работать, особенно в системе Linux. Хотя на самом деле всё еще хуже — большинство админов и с Windows еле справляются, что вызывает печаль, но это уже выходит за рамки обсуждаемой темы.

Чтобы человек смог научится работать с операционной системой, у него должен быть беспрепятственный доступ к самой последней стабильной её версии и время на освоение и эксперименты с ней!

Это, кстати, касается и остальных продуктов, например, Брест, RuBackup и ALD Pro.
Если вы хотите, чтобы появились администраторы, умеющие работать с вашими продуктами, дайте им свободный доступ. Способ скачать продукт по одному щелчку, без всяких запросов и заполнений форм!

Дайте доступ к полной документации, дайте возможность в любое, удобное время поэкспериментировать, если нужны лицензии, то сделайте автоматические специальные, учебные лицензии.

Немного истории

В свое время Microsoft не сильно боролась с домашним пиратством по всему миру, так как умные люди понимали, что пользователь использующий их продукт дома, и на работе захочет его использовать, а уже с коммерсантов и энтерпрайза можно содрать намного больше, так как тем некуда уже будет деваться!

Но самым значимым и хитрым, на мой взгляд, ходом, стала предустановка Windows на новые ПК. Таким образом у покупателя фактически не было выбора, на новом ПК, всегда был Windows!

С детства привыкнув к Windows, в дальнейшем пользователи не хотели работать в чем-то другом, ну разве что они привыкли к MacOS, но это уже другая история!

Уроки истории

Я думаю, Astra Linux стоит извлечь из истории успеха Microsoft правильные уроки:

1. Прекратить сегментацию их операционной системы. Пусть будет один доступный образ Astra Linux – достаточно в установщике добавить еще один экран, перед выбором устанавливаемых пакетов, с пунктами:

Для домашнего использования Orel
Для работы – все остальные

Нет смысла разделять дистрибутив на версии физически. В любом случае все юрлица будут покупать лицензии с поддержкой!

Таким образом домашний пользователь сможет установить себе облегченную версию, без контроля целостности и прочих ненужных дома фич, и на предприятии установят себе тоже только то, что нужно.

2. Внести в Правительство РФ предложение с обязательством для производителей и продавцов ноутбуков устанавливать отечественную ОС , например Astra Linux, как операционную систему по умолчанию. Учитывая, что официально Microsoft не продает свои продукты на территории РФ это логично.

3. Обеспечить простой, логичный и понятный способ загрузки и тестирования всей линейки их продукции, включая учебные и тестовые лицензии там, где это необходимо!

Вот, собственно, и всё, чем я хотел с вами поделиться, я надеюсь, что на статью от Astra Linux последует хоть какая-то реакция, хотя сомневаюсь, что она вообще последует.
Они уже обещали в мае выпустить новую версию CE и стать более открытыми. Потом сроки изменились, к обещают новому году, может быть и это не точно!

Видимо работа с обычными пользователями и помощь с развитием цифрового общества в России у них нынче не приоритете, в принципе их можно понять, когда от коммерческих заказов нет отбоя, что им какие-то обычные пользователи.

Но об этом можно только гадать и строить теории, пока нет четко заявленной позиции самого ООО «РусБИТех-Астра».

В то же время без повсеместного распространения Astra Linux мы не сможем обеспечить цифровой суверенитет в России и так и будем дальше, теперь уже через всякие серые схемы покупать Windows. Правда только до тех пор, пока Microsoft просто не перестанет выпускать обновления для русской версии Windows или не «случайно» не допустит «ошибку» в одном из обновлений, превращающий ПК в «тыкву».

319 постов 2.8K подписчиков

Правила сообщества

1. Для начала нужно соблюдать правила пикабу! (если не ознакомились то вот вам ссылку — http://pikabu.ru/html.php?id=wtf )

2. Банальные срачи «Что лучше НВИДИА или АМД?» не приветствуются
3. Нашли интересное? Создавайте пост быстрее

Давайте будем честны: астра (конкретно астра, а не линукс в целом) для домашнего (и даже для корпоративного, в местах где не требуются допуски) ПК — очень отдельный вид извращения.

Это, конечно, не отменяет того, что усложнение доступа к дистрибутивам и исходным текстами — в общем-то глупость: астру ставят там, где нужны сертификации ФСТЭК и Минобороны. И ставят ее в основном ради этих самых бумажек о сертификации. Такчто продажам версии в открытом доступе никак не помешали бы

Gentoo — вот наш выбор!

Ебаться как взрослые, без трусов!

Пользователи спираченой винды:

Иллюстрация к комментарию

Уважаемый Василий, спасибо огромное за обратную связь. Мы ознакомились с Вашей статьей. Очень признательны за обратную связь!

Вы правы, Astra Linux Common Edition действительно доступна в разделе «Предыдущие версии» по ссылке: https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/ Но при этом, у нас на сайте есть информация, касательно порядка получения операционной системы Astra Linux Special Edition для тестирования: https://astralinux.ru/information/

Домашние пользователи, безусловно, нас интересуют, и в данный момент мы прорабатываем это стратегическое направление. Надеемся, в ближайшее время Ваши ожидания будут оправданы.

Хорошая иллюстрация поведения российского бизнеса после ухода конкурентов, может научит чему-нибудь людей — «ой да я вашу кококолу не пил и мне пох, ой да пошел этот макдональдс нахер, никогда туда не хожу» и т д.

Хотя нет, не научит.

Читать ещё на Пикабу

Инструменты тестирования на проникновение в сеть. Часть 2⁠ ⁠

HoneyPot / HoneyNet

Glastopf – это инструмент для отслеживания инцидентов сетевой безопасности. Может эмулировать тысячи уязвимостей для сбора данных в результате атак, нацеленных на веб-приложения.

Kippo – это SSH HoneyPot среднего взаимодействия, предназначенный для регистрации атак методом перебора.

Kojoney – это низкоуровневая приманка для взаимодействия, которая эмулирует SSH-сервер.

HonSSH – это решение HoneyPot с высоким уровнем взаимодействия. HonSSH будет находиться между злоумышленником и HoneyPot, создавая между ними два отдельных SSH-соединения.

Bifrozt – это NAT-устройство с DHCP-сервером, которое обычно развертывается с одной сетевой картой, подключенной непосредственно к Интернету, и одной сетевой картой, подключенной к внутренней сети.

HoneyDrive – HoneyDrive является ведущим дистрибутивом HoneyPot Linux. Это виртуальное устройство (OVA) с установленным Xubuntu Desktop LTS edition.

Cuckoo Sandbox – это программное обеспечение с открытым исходным кодом для автоматизации анализа подозрительных файлов.

HoneyPy – это открытое программное обеспечение, которое используется для обнаружения и сбора информации о злоумышленниках и их атаках.

Dionaea – это открытый инструмент для отслеживания инцидентов сетевой безопасности. Dionaea был создан для отслеживания различных типов сетевых атаки, включая вирусы, шпионское ПО и т.д.

Conpot (ICS/SCADA HoneyPot) – это низкоинтерактивная приманка для промышленных систем управления на стороне сервера, разработанная для простого развертывания, модификации и расширения.

Amun – приманка с низким уровнем взаимодействия на основе Python.

Полный захват пакетов

OpenFPC – представляет собой набор инструментов, которые в совокупности обеспечивают облегченную систему записи и буферизации сетевого трафика с полным пакетом.

Dshell – это платформа для криминалистического анализа сети. Позволяет быстро разрабатывать плагины для поддержки анализа перехваченных сетевых пакетов.

stenographer – это решение для захвата пакетов, целью которого является быстрая загрузка всех пакетов на диск, а затем предоставление простого и быстрого доступа к подмножествам этих пакетов.

tcpflow – это программа, которая фиксирует данные, передаваемые как часть TCP-соединений, и сохраняет данные удобным для анализа и отладки протокола способом.

Xplico – инструмент для извлечения из интернет-трафика данных, содержащихся в приложениях.

Moloch – это система с открытым исходным кодом для крупномасштабного захвата пакетов IPv4 (PCAP) и индексирования. Для просмотра, поиска и экспорта PCAP предоставляется простой веб-интерфейс.

Средства сетевой безопасности на основе снифферов

Live HTTP headers – это бесплатное дополнение для Firefox, позволяющее просматривать запросы браузера в режиме реального времени.

netsniff-ng – это бесплатный сетевой инструментарий для Linux.

wireshark – это бесплатный анализатор пакетов с открытым исходным кодом.

Инструменты OSINT для Onion сайтов⁠ ⁠

Небольшой список полезных инструментов для работы с сайтами в сети Tor.

Поисковые утилиты:

Инструменты для получения onion ссылок:

Tor66 Fresh Onions — http://tor66sewebgixwhcqfnp5inzp5x5uohhdy3kvtnyfxc2e5mxiuh34iid.onion/fresh

Инструменты для сканирования:

Sync файлов между серверами + powershell + общий вопрос⁠ ⁠

Sync файлов между серверами + powershell + общий вопрос Linux, IT

Я виндовый админ (разраб на powershell и под scom), но потихоньку вспоминаю/учу линукс в связи с импортозамещением

1) нужно при изменении на сервере 1 файла — чтоб эти изменения ушли на др сервер

чем проще с мин правами? rsync?

2) кто-то использует powershell на линуксе ? мне это надо чтоб не переписывать тонну кода да и вообще интересно ( ну и работа с текстом после объектов у меня ужас вызывает. но это вкусовщина)

3) как правильно настроить в плане безопаности линукс сервер на котором будем инет магаз php+веб сервер? что в базе?

на винде все просто — порты закрыть, службы запускать с кастрированными правами — да и все что можно сделать

Проект The Fuck⁠ ⁠

Было очень любопытно, что же скрывается под таким неговорящим названием. Причём явно что-то популярное и полезное, потому что 77.7k звёзд на гитхабе. Оказалось, что это утилита для исправления опечаток или неполностью набранных команд.

Показываю сразу на примерах. Допустим, вы устанавливаете софт через пакетный менеджер и забыли написать sudo:

E: Could not open lock file /var/lib/dpkg/lock —

open (13: Permission denied)

Вы расстраиваетесь и материтесь, потому что нервы у айтишников никудышные. Сидячая работа, стрессы, кофе и т.д. Пишите в консоль с досады:

TheFuck понимает ошибку и предлагает выполнить команду с учётом исправления.

# sudo apt-get install mc

TheFuck распознаёт популярные ошибки, опечатки, не только в командах, но и в их ключах, параметрах. Например:

fatal: The current branch master has no upstream branch.

# git push —set-upstream origin master

То есть запустили гит пуш, забыли обязательные параметры, fuck добавил дефолтные параметры для этой команды.

Ещё больше примеров можно в репе посмотреть. Все исправления описаны правилами, которые лежат в соответствующей директории. Правила написаны на python, можете изменить готовые или написать свои. Например, есть правило для chmod. Если в консоли запускается скрипт через ./ и в выводе появляется сообщение permission denied, что типично, если у файла нет прав на исполнение, fuck исправляет это, добавяля права через chmod +x.

Больше всего правил написано для git. Судя по всему этот инструмент писался для разработчиков и немного девопсов, поэтому так много звёзд на гитхаб.

Если будете пробовать в Debian, утилита живёт в стандартных репах:

# apt install thefuck

Автор пакет заботливо отключил все правила для sudo. На всякий случай. По умолчанию бинарники ставятся в $HOME/.local/bin, поэтому надо добавить этот путь в PATH:

Что не так с Шедеврумом и моя попытка это исправить⁠ ⁠

Недавно прокатилась волна о том, как Шедеврум от Яндекса замечательно рисует флаги США по запросу «наша родина», и меня, как специалиста, это сильно кольнуло. Настолько, что я решил что-то с этим сделать.

Вот пример такого художества, взял у Tagash, потому что уже закрыли костылем конкретно этот запрос, но основной проблемы это не решает:

Что не так с Шедеврумом и моя попытка это исправить Нейронные сети, Шедеврум (Яндекс), Программирование, Импортозамещение, IT, Длиннопост

Почему вообще складывается такая картина: алгоритмы может быть и отечественные, но результат, что-то, говорит об обратном.

Такие системы создаются на основе огромного количества данных — баз на сотни терабайт, состоящих из различных изображений и маркировок к ним, которые их описывают. Почти все существующие системы тренировались именно на таких открытых, огромных каталогах, которых довольно немного, а все они, как вы могли догадаться, сделаны на английском.

Данных с маркировкой на русском просто нет, либо их ничтожно мало, поскольку никому это просто не было нужно. А теперь, несмотря на наличие одареннейших специалистов у нас (к счастью, еще далеко не все разбежались), которые работают над отечественными решениями, без нужной информации им будет крайне тяжело продвигаться и приходится подпирать решения костылями, но это все равно не будет наш продукт до конца.

Так вот, есть предложение помочь им. Если создать такую базу или каталог изображений с описаниями на русском, то вся система заговорит совсем по другому. В качестве первой инициативы, я накидал сайт, где можно добавить маркировку изображениям на русском и загрузить свои картинки для последующей маркировки:

(для названия решил скаламбурить: взял «AI» (Искусственный интеллект на английском), поменял буквы местами и получился ослик Иа. Не кидайте тапками за лого, это лучший осел, которого я осилил нарисовать, да и то через Dall-E 2).

Хочу сказать, что коллективно мы можем подготовить фундамент на котором у нас появится реальный шедеврум, который будет думать на русском!

Плюс в том, что мы уже понимаем, что от этого нужно и можем создать базу данных, которая будет более разнообразной и яркой, чем англоязычные аналоги. Звучит странно, но здесь у нас есть фора, потому что мы точно знаем каким должен быть сервис и можем именно под него собрать и составить информацию.

Итак, как все это работает:

Нажимаем «Предложить ассоциацию». Система даст картинку для описания, которую кто-то ранее загрузил. Опишите одним словом, потом чуть подробнее и какие эмоции вызывает. Нажали на кнопку, описание улетело, получили следующую картинку и плюс в карму.

Там же можно загрузить свою картинку, но она сначала пройдет модерацию, чтобы всякой жути не заливали.

Неплохим примером описания было бы:
— Одним словом: лисы
— Подробнее: мама лиса с двумя лисятками, которые держатся за ее хвост на фоне травы
— Эмоции: милота, любопытсво (можно любой формат эмоций, прямо так как хочется сказать)

Кстати, если у вас есть желание помочь, то мне нужна юридическая помощь, а также с модерацией, разработкой, наполнением, да и вообще предложения приветствуются. Есть пара вопросов о том, как не угодить в «места не столь отдаленные» за инициативность)

Пока все это хранится на Amazon, но как только будут решены юридические вопросы, буду переносить всё на отечественный хостинг. Цель — создать собственную базу, чтобы можно было гордиться отечественным продуктом.

А для братьев технарей — весь код лежит в открытом виде, все как положено.

Парсим яндекс диск при помощи Python⁠ ⁠

В данный момент я работаю контент-менеджером в «крупном» интернет — магазине. В моём случае, это больше 100 000 позиций.

Иногда приходится сталкиваться с такой проблемой: поставщик присылает фотографии со ссылками на яндекс диск. Это крайне неудобно, потому что приходится ходить по каждой ссылке и скачивать изображение к себе, а затем уже загружать на сервер и т.д.

Готового решения я не нашел и решил написать свою реализацию работы с яндекс диском. Хорошо, что я знаю python.

У меня было 2 версии программы:

когда по ссылке находится папка с картинками, python скачивает эту папку как зип файл, затем распаковывает. Все манипуляции записываются в csv файл, путь до файла с картинками

когда по ссылке идёт только одна картинка, в данном случаи все немного проще, не нужны лишние действия с распаковкой картинок

p.s. ещё были 2 побочные небольшие программки: 1-я для уменьшения размера картинки, 2-я для переименования картинок (менялся пробел на дефис)

Приступим к реализации

скачать и установить python c официального сайта https://www.python.org/downloads

открыть любимый редактор кода (я использую vscode) https://code.visualstudio.com

подключить следующие стандартные библиотеки: urllib.parse, csv, os, zipfile. Установить библиотеку requests https://pypi.org/project/requests/ (для отправки запроса на сервер)

для полного фен-шуя можно использовать виртуальное окружение, дабы не засорять систему ненужными пакетами. Подробнее о virtualenv можно ознакомится по ссылке https://docs.python.org/3/tutorial/venv.html или же использовать poetry.

Ссылки на яндекс диск имеют вид: https://disk.yandex.ru/d/xNBn7lE1_Y5knQ . Чтобы их можно было скачать, они должны быть публичными.

Обратимся к API яндекс. После ключа public_key=»вставляем_ссылку_на_файл»

В ответе мы получаем json, из которого нам нужно получить значение по ключу href. Полученное значение и будет нашей прямой ссылкой к файлу.

Парсим яндекс диск при помощи Python Программирование, Инструкция, Гайд, Python, IT, Учеба, Программист, Разработка, Linux

Пожалуй, на этом хватит теории, теперь, постараюсь внятно объяснить, как всё это можно применить в контексте python.

# создаем новый файл и подключаем нужные нам библиотеки

import requests

from urllib.parse import urlencode

import csv

import os

import zipfile

Для начало создадим функцию, которая будет возвращать нам ссылку для скачивания:

final_url = base_url + urlencode(dict(public_key=public_link))

response = requests.get(final_url)

parse_href = response.json()[‘href’]

return parse_href

Файлы могут быть в разных форматах: ссылки могут быть на одну или несколько картинок. В первом случае можно напрямую скачивать картинку по ссылке. Во втором, если по ссылке несколько картинок, то при скачивании мы получаем архив, который требует дополнительных действий (распаковку).

Далее, мы скачиваем файлы и в зависимости от его типа выполняем действия: просто записываем в результирующий файл или же переходим к его распаковке с последующей записью.

В итоге, мы получаем файл result_data.csv со ссылками на фотографии на нашем жестком диске:

В добавок, у нас на жёстком диске появляется папка со скаченными картинками в папке download_files.

Полностью посмотреть код можно в репозитории на гитхаб.

p.s. Официальная документация по API Яндекс. Диска

Братишка с пикабу подсказал готовую библиотеку на питоне. Спасибо b4ro тык.

p.s.s. Немного поразмышляв, я подумал, что неплохо было бы написать, тесты. Пройтись линтером по коду. Добавить функцию переименования файлов. Может быть что-нибудь ещё?)

Спасибо за прочтение! Комментарии, лайки, дизлайки, предложения, пожелания крайне приветствуются.

Про Ubuntu Touch и опыт использования⁠ ⁠

Всем привет! Я уже давно хотел написать небольшую статью относительно моего пользовательского опыта работы с операционной системой Ubuntu Touch, которую я использую в качестве основной уже более года, и, поскольку некоторым откликнувшимся пользователям пикабу это показалось интересным для чтения, я рад стараться ��

Прежде всего, следует понимать, что Ubuntu Touch (далее UT) – это не типичный GNU/Linux дистрибутив, к которым все привыкли на десктопе и серверных машинах. UT – дистрибутив для мобильных девайсов (смартфоны, планшеты) и заточен под работу на этих самых девайсах. Все существующие приложения сделаны (либо портированы) именно для UT – привычных используемых десктопных GNU программ в OpenStore (местный центр приложений) вы здесь не увидите (но запустить их возможно, об этом ниже). На данный момент над дистрибутивом работает сообщество UBports, взявшее разработку и портирование в свою руки после того как Canonical прекратили какую-либо поддержку и разработку UT.

Почему я использую именно UT в качестве основной ОС, а не Android или iOS? Я не гик, не ненавистник всего гугловского и проприетарного и не скрываюсь от большого брата (UT – privacy-friendly ОС, в чем несомненно её плюс). Мне просто нравится GNU/Linux и я привык работать именно в этой операционной системе, да и в UT присутствуют необходимые мне для повседневной жизни приложения. Наличие её у меня на смартфоне это не только интересный для меня опыт, но и удобство, ведь всё для меня здесь привычно ��

1. Пользовательский интерфейс.

В качестве графического окружения UT использует Lomiri, ранее именовавшуюся Unity 8. Всё работает довольно плавно и быстро – я не замечал каких-либо тормозов или каких-то особых проблем с DE. Управление происходит жестами, позволяя переключаться между приложениями, открывать панельку для запуска других приложений, перетаскивать окна между собой для совместного использования двух приложений (в desktop и tablet режиме) и изменять размер окна приложения (в desktop режиме). Десктопный режим сделан настолько удобно, что порой я его использовал постоянно. К сожалению, привычной возможности «вернуться назад» в виде жеста нет, что для меня не совсем удобно – приходится тянуться большим пальцем в верхнюю часть экрана.

Про Ubuntu Touch и опыт использования Linux, Ubuntu, Операционная система, Длиннопост

2. Приложения.

Программное обеспечение для UT поставляется через местный центр приложений OpenStore, представляющий из себя удобный каталог уже собранных .click пакетов. Конечно же, ничего не мешает устанавливать и отсутствующие в OpenStore приложения. С переходом на 20.04 некоторые мне приходилось собирать на домашней машине и устанавливать уже на UT. Приложения делятся на два типа – нативные, использующие QML, и веб-приложения – обертки веб-версий каких-либо популярных сервисов, нередко чем-либо дополненные для более удобного использования на мобильном устройстве.

Из интересующего для обыденного пользователя присутствуют навигационные приложения, почтовый клиент, читалки, мессенджеры (нативный клиент телеграм – TELEports, Cinny для Matrix, ConverseJS для XMPP), менеджер паролей, проигрыватель подкастов, просмотрщик документов и прочее.

Конечно же, вы здесь не найдете привычных для многих проприетарных мессенджеров (WhatsApp, Viber), банковских приложений, доставки еды и такси. Можно ли жить без всего этого? – Для каждого пользователя свой ответ на этот вопрос. Для тех же, кто не может без всего этого обойтись, есть выход – эмулятор Android.

Про Ubuntu Touch и опыт использования Linux, Ubuntu, Операционная система, Длиннопост

3. Запуск Android приложений.

Запуск Android приложений осуществляется благодаря эмулятору Waydroid, работающим в контейнере. В качестве образа Android поставляется Lineage OS, с возможностью установить его вместе с Google сервисами. Установленные в Waydroid приложения отображаются вместе с остальными в панельке всех приложений. Я же их скрываю, мне так удобнее ��

К слову, использовать Waydroid постоянно не самая лучшая идея – это не очень хорошо сказывается на времени работы устройства от аккумулятора. Я его использую не так часто, а только когда мне требуется зайти в банковское приложение, вызвать такси или заказать еду. Доступа к WiFi или Bluetooth у Waydroid нет (я ношу фитнес-браслет и для того, чтобы собирать данные с браслета, приходится использовать второй девайс с Lineage OS) , интернет-соединение осуществляется через виртуальный интерфейс. Но есть доступ к NFC, мне удавалось пополнить карту “тройка” через приложение московского транспорта.

Про Ubuntu Touch и опыт использования Linux, Ubuntu, Операционная система, Длиннопост

4. Запуск десктопных программ.

Для запуска десктопных программ используется Libertine – контейнер с такой же пакетной базой, как и в Ubuntu Touch. Я не вижу особого смысла в большинстве десктопных программ на смартфоне, как минимум из-за размера экрана. Тем не менее, время от времени я использую Firefox и десктопную версию клиента Telegram. Запуск десктопных программ может иметь смысл для тех, кто подключает свой девайс к внешнему монитору и использует его не только как телефон, но и как “переносной компьютер”. К сожалению, не все программы стабильно работают, но, тем не менее, они работают ��

Помимо запуска десктопных программ, Libertine следует использовать и для большинства устанавливаемых CLI-утилит. Почему? Об этом ниже.

Про Ubuntu Touch и опыт использования Linux, Ubuntu, Операционная система, Длиннопост

5. Advance Packaging Tool и прочие радости жизни.

Изначально корень смонтирован как read-only, соответственно использование apt не является поддерживаемым способом установки программного обеспечения, а apt upgrade вероятнее всего поломает все, что хорошо работает. Конечно же, всегда можно перемонтировать корень в read/write, но следует помнить, что это неподдерживаемый способ установки программного обеспечения, ведь обновления ОС поставляются в виде образа, как, например, обновления OpenWRT. Для различных утилит, которые мы обычно устанавливаем через apt, следует использовать Libertine, что я и делаю. Но если мне требуются более свежие пакеты, я запускаю их в chroot, используя rootfs какого-либо другого дистрибутива (например, Manjaro). На самом деле я, как и, наверное, большинство остальных юзеров UT – постоянно лезу в систему, могу установить какие-то нужные мне утилиты через apt в обход рекомендованных сообществом способов.

Про Ubuntu Touch и опыт использования Linux, Ubuntu, Операционная система, Длиннопост

Из коробки поставляется OpenVPN (2.3.10 – для Xenial, 2.4.7 – для Focal). Есть поддержка Wireguard (приложение на Xenial, через NetworkManager на Focal) при условии поддержки wireguard ядром, что я обычно и использую.

Подключение через OpenVPN более удобное, достаточно нажать на кнопочку в панельке. С Wireguard же либо через приложение, либо nmcli, nmtui. Я предпочитаю через терминал)

7. Геолокация

Следует понимать, что UT не использует проприетарные сервисы Google, которые помогают с геолокацией устройства как на Android, так что геолокация здесь, если можно так выразиться, нативная, как в навигаторе.

На моем опыте показала себя хорошо, хотя в первое время использования я и не знал, что ей требуется холодный старт для первичной инициализации местоположения, и вовсе думал, что у меня GPS не работает… Огромный недостаток геолокации на UT – она, черт возьми, не может работать в фоновом режиме. К слову говоря, практически все программы в UT в фоновом режиме останавливаются, но их можно всегда переключить на возможность работать в фоне – включил что-либо на Youtube, заблокировал телефон и слушаешь ��

Из интересного, что я ещё использую на UT, помимо привычных мне GNU утилит, – приложение ISODrive, позволяющее использовать смартфон для запуска LiveCD образов на компьютере. Также совсем недавно появилась возможность запуска x86_64 Windows программ, которой я пока не нашел никакого применения – правда, не знаю что запускать. Помимо этого, есть классные фичи, которые я хотел бы использовать, но это на данный момент не поддерживается моим устройством (либо ядром – его, конечно же, можно кастомизировать и собрать свой образ на основе порта). Одна из них – запуск виртуальных машин (arm64, x86_64) на устройстве, другая – использование беспроводного монитора, которое дает возможность вместе с подключенной переферией использовать девайс “как компьютер” ��

Про Ubuntu Touch и опыт использования Linux, Ubuntu, Операционная система, Длиннопост

Конечно же, проблем тоже хватает, и, исходя из моего опыта, на моем девайсе есть некоторые проблемы с bluetooth драйверами, что делает работу bluetooth не всегда стабильной. Обычно мне помогает перезапуск демона, либо перезагрузка девайса, что доставляет порой небольшой дискомфорт. И, соответственно, устройств с поддержкой всего на

100% не так много, на определенных девайсах что-то может работать, на других нет.

Что меня ещё радует в Ubuntu Touch, так это сообщество, которое делится своими хаками, наработками и приходит на помощь при различных вопросах и проблемах.

Благодарю всех, кто уделил свое внимание и время на данный пост и буду рад ответить на ваши вопросы, если таковые будут!)

Телеметрия⁠ ⁠

Телеметрия IT, Телеметрия, Операционная система, Слежка, Linux, Apple, Microsoft, Длиннопост, Картинка с текстом

Astra Linux и жадность⁠ ⁠

Astra Linux и жадность IT, Astra Linux, Обучение, Жадность, Импортозамещение

Казалось бы, что нужно отечественным разработчикам операционных систем для популяризации и продвижения их продуктов на отечественном рынке кроме текущей непростой ситуации и кучи государственных и ведомственным приказов по импортозамещению?

Сделать свою операционную систему доступной по стоимости.

Сделать её удобной для эксплуатации в организациях и оперативно исправлять возникающие проблемы.

Сделать доступным обучение технических специалистов для последующего перехода с Windows на отечественные ОС.

Если первые два пункта весьма дискуссионные (что и у кого дороже, функциональней и удобней), то в третьем пункте Astra Linux внезапно оказалась впереди планеты всей по стоимости обучения (указаны цены за 1 академический час очного обучения):

Альт — от 500 до 750 рублей

Причём ещё недавно академический час у Astra Linux стоил также 1000 рублей, но с февраля у них вырос аппетит и цены на обучение внезапно подпрыгнули в полтора раза (письмо ООО «РусБИТех-Астра» от 31.01.2023 № РА-109). Понятное дело, что в этом наверняка виноваты санкции, курс доллара, повышение качества обучающих материалов и многое-многое другое, но точно не обычная жадность отечественных разработчиков.

P.S. Кстати, новостей об этом на официальном сайте вы не найдёте — видимо в «РусБИТех-Астра» решили не делиться ни с кем столь радостными известиями.

Гос. служащих научат работать на российском ПО⁠ ⁠

Гос. служащих научат работать на российском ПО IT, Интернет, Политика, Импортозамещение, Программное обеспечение, Дополнительное образование

Импортозамещение в современных российских реалиях штука нужная, но идущая с трудом, во многом в виду инерции мышления и такой обычной вещи, как привычка: пользователи привыкли к определенным аппаратным решениям, определенному ПО. С привычного импортного на новое отечественное переходить сложно, но надо и этот процесс можно упростить.

Высшая школа государственного управления РАНХиГС и российский производитель офисного программного обеспечения МойОфис в рамках импортозамещения программного обеспечения в федеральных органах государственной власти, запустили совместную программу повышения квалификации «Основы работы с пакетом офисного программного обеспечения МойОфис» для государственных гражданских служащих.

Программа состоит из 36 академических часов и включает занятия в форме вебинаров и изучение электронного курса, в который войдет, в том числе, упражнения, максимально приближенные к реальным рабочим задачам. Также в программу обучения входят задания на проработку навыков совместного редактирования документов и освоение методов трансформации рутинных операций с помощью современных технологий.

Обучение первого потока начнется в июне 2023 года.

Производители смарткарт РФ просят установить пошлины на китайскую продукцию⁠ ⁠

Российские производители электроники и полупроводников просят ввести пошлины на ввоз из Китая смарт-карт (SIM-карты, банковские и транспортные карты) в размере 50–100%.

Производители смарткарт РФ просят установить пошлины на китайскую продукцию Импортозамещение, Российское производство, IT, Безопасность, Пластиковые карты, Китайские товары

С официальной просьбой об этом в Минпромторг обратилась ассоциация АНО «Телекоммуникационные технологии», объединяющая отечественных производителей, таких как «Ростелеком», «Элемент», «Ростех» и др. В документе отмечается, что российские производители карт «обладают производственными мощностями, способными с большим запасом удовлетворить потребности» клиентов, в первую очередь банков и сотовых операторов. В АНО ТТ подчеркивают, что сейчас пошлина на ввоз готовых смарт-карт обнулена, в то время как на компоненты составляет в среднем 7%, что ставит отечественные компании «в заведомо проигрышные условия».

Участники рынка также обеспокоены тем, что рассматривается вопрос о разрешении производства карт платежной системы «Мир» вне России. По мнению АНО ТТ, это может привести к полному переделу рынка и банкротству российских высокотехнологичных карточных производств, что, в свою очередь, повлечет резкий рост уязвимости банков и телеком-операторов.

Сейчас большинство банков закупает карты у отечественных производителей, которые, в свою очередь, используют чипы иностранного производства. По сути, закатывают чужие элементы в свой пластик. Однако, весной поставки европейских чипов прекратились, и производители стали экстренно искать китайские аналоги, которые были найдены и сертифицированы. Но теперь китайские производители хотят выйти на российский рынок платежных карт самостоятельно, а не через поставки чипов. В области телекоммуникации 30–50% SIM-карт уже закупается в Китае, остальное выпускается в РФ силами предприятий «Новакард», «Альтаир» и «Исткомпис». Это не производство полного цикла: на площадках идет имплантация чипа в корпус и персонализация SIM-карты. При этом разница цены оригинальной китайской карты и российской с импортным чипом может, по словам специалистов, достигать 500% в пользу китайской продукции. https://www.kommersant.ru/doc/5840098

Конечно, это заставляет отечественных девелоперов паниковать. Выход они видят в таможенном протекционизме в виде обложения готовой китайской продукции высокими ввозными пошлинами.

Между тем потребители вовсе не склонны поддержать в данном вопросе отечественного производителя. Участники рынка заявляют о своей заинтересованности в снижении стоимости пластика, и не важно каким образом. Можно в том числе и за счет производства карт за рубежом. Покупатели в банковской и телекоммуникационной сфере подчеркивают, что себестоимость смарт-карт сейчас и так серьезно увеличилась и реализация идеи АНО ТТ только усугубит ситуацию.

Передовой Брендинг на грани⁠ ⁠

Встречайте новейшую разработку от «Всё ПО»!

Передовой Брендинг на грани Игра слов, Юмор, Каламбур, Маркетинг, Боги маркетинга, Креатив, Идея, Бренды, Дизайн, Логотип, Нейминг, Слоган, Программное обеспечение, IT, Операционная система

Сбрендил для вас,

Топ-10 выпусков Брендинга на грани 2022⁠ ⁠

Друзья, в прошедший год я, как и прежде, старался радовать вас креативным контентом. И вот подвел итоги: топ-10 выпусков Брендинга на грани 2022, года, которые вы отметили самой высокой активностью.

Топ-10 выпусков Брендинга на грани 2022 Дизайн, Маркетинг, Идея, Креатив, Юмор, Логотип, Нейминг, Бизнес, Слоган, Бренды, Боги маркетинга, Мемы, Игра слов, Каламбур, Вы продаете рыбов?, Стивен Кинг, Импортозамещение, Король и Шут, IT, Длиннопост

Спасибо вам, что были со мной весь прошлый год)

Сбрендил для вас,

Росграм запустится?⁠ ⁠

Кто-нибудь помнит про такой сервис как Россграм (убийцу другого сервиса с подозрительно похожим названием) который обещали запустить в конце марта? В сервисе успели оставить свои данные около 800 тысяч пользователей, продавались премиум-аккаунты для предпринимателей стоимостью от 10 до 75 тыс. рублей. Решил зайти на сайт и, сюрприз — сюрприз, сервис все ещё не запущен. Но не все ещё потеряно, ведь можно подать заявку на предрегистрацию и купить премиум аккаунт

Росграм запустится? Социальные сети, Интернет, IT, Instagram, Импортозамещение, Длиннопост

Обживаем. ОС «Альт Рабочая станция К» 10.1 для непрофессионалов⁠ ⁠

Намедни Минцифры выбрало три российские операционные системы для господдержки.

В связи с этим решил опробовать обжить ALT Linux.

Выбирал по принципу наличия KDE, как по мне лучшее DE на данный момент, сочетающие современные «фичи» с возможностью настройки «классического» рабочего стола. Впрочем, это вкусовщина.

При начале использования столкнулся с несколькими «неудобствами», как понимаю наличие их связано с желанием разработчиков сделать максимально надежную и безопасную систему для конечных пользователей.

Расскажу как их «вылечить».

Все манипуляции с системой на Ваш страх и риск.

Первое, на что обращаем внимание- отсутствие возможности скачать новое оформление окон.

Обживаем. ОС «Альт Рабочая станция К» 10.1 для непрофессионалов Linux, Импортозамещение, Кот, Длиннопост

Набираем в поисковике store.kde.org переходим к разделу Plasma Window Decorations, выбираем необходимое. скачиваем.

Обживаем. ОС «Альт Рабочая станция К» 10.1 для непрофессионалов Linux, Импортозамещение, Кот, Длиннопост

В диспечере файлов включаем опцию «Показывать скрытые файлы» нажав Ctrl+H и переходим по адресу /home/user/.local/share/aurorae/ в которой создаем папку themes куда распаковываем скачанные темы.

Обживаем. ОС «Альт Рабочая станция К» 10.1 для непрофессионалов Linux, Импортозамещение, Кот, Длиннопост

Появляется вторая «неудобность» большие элементы интерфейса, ну просто огромные, если честно.

Обживаем. ОС «Альт Рабочая станция К» 10.1 для непрофессионалов Linux, Импортозамещение, Кот, Длиннопост

Открываем терминал (программа Konsole), набираем su,

Обживаем. ОС «Альт Рабочая станция К» 10.1 для непрофессионалов Linux, Импортозамещение, Кот, Длиннопост

вводим пароль суперпользователя root.После чего устанавливаем пакет xorg-96dpi командой apt-get install xorg-96dpi

Обживаем. ОС «Альт Рабочая станция К» 10.1 для непрофессионалов Linux, Импортозамещение, Кот, Длиннопост

И получаем вполне годный результат.

Обживаем. ОС «Альт Рабочая станция К» 10.1 для непрофессионалов Linux, Импортозамещение, Кот, Длиннопост

Ну и самая спорная часть часть

В «Альт Рабочая станция К» 10.1 установлена версия Telegram которая в принципе не знает, что такое реакции, а ими пользуются)))

Обживаем. ОС «Альт Рабочая станция К» 10.1 для непрофессионалов Linux, Импортозамещение, Кот, Длиннопост

Лично для меня наличие этой функции- удобно.

Возвращаемся к терминалу (программа Konsole), набираем su и вводим пароль суперпользователя root.После чего набираем epm play telegram и получаем свежую версию Telegram, с необходимым функционалом.

Важно, установка Telegram таким образом происходит не из источников программного обеспечения от разработчиков ALT Linux, соответственно никаких гарантий работоспособности.

Ну и фото моделей, с помощью которых демонстрировалось работоспособность реакций.

Обживаем. ОС «Альт Рабочая станция К» 10.1 для непрофессионалов Linux, Импортозамещение, Кот, Длиннопост

27 лет назад появилась OpenBSD⁠ ⁠

27 лет назад появилась OpenBSD IT, Познавательно, Наука, Технологии, Научпоп, Длиннопост, Операционная система, Commodore, Amiga, Программное обеспечение, Windows

18 октября 1995 года состоялся официальный дебют проекта операционной системы OpenBSD, которую голландский инженер-программист Тео де Раадт создал на основе форка NetBSD 1.0. Разработчик с самого начала планировал сделать упор на «переносимость, стандартизацию, проактивную безопасность и встроенную криптографию», обращая при этом особое внимание на лицензионную чистоту ОС. Так на свет появилась платформа, которая пользуется заслуженной популярностью на протяжении вот уже 27 лет.

Тео де Раадт родился 19 мая 1968 года в городе Претория, Южная Африка. Его отец был голландским подданным, а мать — гражданкой ЮАР. Тео — старший из четырех детей в этой семье: у него есть две младшие сестры и брат. Вооруженные силы ЮАР комплектуются по призыву, и чтобы Тео мог избежать обязательной воинской службы, в 1977 году семейство де Раадтов перебралось в город Калгари, Канада. Однако вскоре в стране начинается экономический кризис, под давлением которого де Раадты переезжают на Юкон — территорию в северо-западной части Канады.

Там родители покупают Тео первый компьютер: Commodore VIC-20. Именно эта персоналка открыла для него увлекательный мир программирования. Поступив в Университет Калгари, который он закончил в 1992 году с дипломом бакалавра в области компьютерных наук, Тео сменил Commodore на Amiga.

Там же, в университете, Тео де Раадт познакомился с проектом 386BSD. Однако тот вскоре разочаровал его своими ограниченными возможностями, несвоевременными обновлениями и закрытостью разработчиков, не желавших прислушиваться к мнению пользователей. Вместе с друзьями Адамом Глассом, Крисом Деметриу и Чарльзом Хэннумом Тео де Раадт основал собственный проект — NetBSD, который должен был строиться на основе модели с открытым исходным кодом.

Друзья создали репозиторий для NetBSD 21 марта 1993 года, а уже в апреле выпустили первую версию — NetBSD 0.8, основывавшуюся на исходном коде 386BSD 0.1 и нескольких утилитах из Net/2. В октябре вышла релизная версия NetBSD 1.0, в которой проприетарные программы из Net/2 были заменены свободными аналогами из 4.4BSD-lite. Эта версия системы была по-настоящему кроссплатформенной: она поддерживала не только архитектуру x86, но также могла работать на Amiga, 68k Macintosh, PC532 и Sun-4c. Тогда же впервые наметился раскол между Тео де Раадтом и другими участниками проекта, связанный с различиями во мнениях относительно дальнейшего развития ОС.

Разлад достиг своего апогея в декабре 1994 года, когда Тео де Раадт был исключен из состава разработчиков NetBSD, а его доступ к репозиториям был заблокирован — как писали его бывшие коллеги, «из-за неподобающего и оскорбительного поведения в списках рассылки». В результате этого конфликта Тео основал собственный проект, о котором официально объявил 18 октября 1995 года — этот проект получил название OpenBSD.

Первая версия новой системы появилась на свет в июле 1996 года, и после этой даты создатели ОС стараются выпускать обновления по строгому графику: раз в полгода. Разработчики OpenBSD сыграли значительную роль в развитии набора безопасных сетевых утилит OpenSSH (OpenBSD Secure Shell), которые используются сейчас и в других операционных системах, в частности, в Windows 10. Поскольку в OpenBSD особое внимание уделяется сетевой безопасности, и, кроме того, система располагает собственной реализацией стека протоколов TCP/IP, эта ОС нередко используется в маршрутизаторах и точках доступа, под управлением OpenBSD работают многие сетевые шлюзы, брандмауэры и системы фильтрации трафика. На основе OpenBSD строятся веб-серверы, почтовые, FTP-серверы и DNS-серверы.

Тео де Раадт ратует за распространение открытых драйверов, и часто критикует разработчиков Linux за их терпимость к несвободному ПО. Усилия де Раадта привели к успеху: многие тайваньские производители беспроводных устройств предоставляют разработчикам OpenBSD документацию и исходники прошивок, что позволяет им создавать и распространять свободные от лицензионных ограничений драйверы для таких девайсов.

Точное количество пользователей OpenBSD доподлинно неизвестно, поскольку разработчики не публикуют и не собирают статистику по количеству установок. Вместе с тем различные компоненты OpenBSD активно применяются в других продуктах и на их основе создаются сторонние разработки. Так, исходный код межсетевого экрана pf из OpenBSD использовался при создании брандмауэра для macOS, он встречается и в других Unix-подобных системах, включая FreeBSD. Брандмауэр для Windows Core Force также основан на межсетевом экране pf. Стандартная библиотека Android Bionic базируется на коде OpenBSD, кроме того, некоторые службы Microsoft Windows из пакета взаимодействия Interix, предназначенного для совместимости с Unix, также используют большую часть кодовой базы этой операционной системы.

Что бы ни говорили критики, OpenBSD по праву считается одной из самых безопасных ОС, поддерживающих значительное количество различных аппаратных платформ. В этом проекте принята политика постоянного аудита исходного кода на наличие ошибок: эту работу один из создателей платформы, Марк Эспи, описал как «бесконечный процесс, не направленный на поиск конкретной ошибки». Указанная практика считается важным элементом системы безопасности OpenBSD, и является одной из причин высокой надежности системы. OpenBSD непрерывно развивается: 52-й выпуск ОС состоялся 21 апреля 2022 года, актуальная версия OpenBSD имеет порядковый номер 7.1. У этой платформы имеется целая армия верных поклонников, а значит, ее совершенно точно ждет долгое будущее.

Подписывайтесь на наш блог, чтобы не пропустить новые интересные посты!

Lunux 6.0. Обновление ядра⁠ ⁠

2 Октября 2022 года, пользователи Linux могли лицезреть новость об обновлении ядра Linux, правда ли это обновление крупное и много ли они успели поменять?

Известно что, Линус Торвальдс представил релиз ядра Linux. Причем он отметил, что изменения подсчета версии не несет особо крупные изменения. Это не мешает тому, что новый релиз является одним из самых больших релизов. Обновление привносит новые функции, улучшение безопасности.

Вот список изменений которые нам представили в новом релизе:

• Графический драйвер AMD RDNA 3 GPU.
• Новый аудио-драйвер для платформ AMD Raphae.

• Улучшение поддержки аудио AMD Jadeite.

• Поддержка Sensor Fusion Hub на новых ноутбуках AMD Ryzen.

• Поддержка Thunderbolt на Intel Raptor Lake.

• Исправлены проблемы работы клавиатуры на ноутбуках серии AMD Ryzen 6000.

• Поддержка PCI шины для архитектур OpenRISC и LoongArch.

• Начальная поддержка ноутбука Lenovo ThinkPad X13s (работает на Qualcomm Snapdragon 8cx Gen3).

• Исправлены проблемы выхода из режима ожидания некоторых ноутбуков TUXEDO Computers и Clevo.

• Поддержка серверных чипов Intel Xeon 4-го поколения «Sapphire Rapids» и 13-го поколения «Raptor Lake».

• Поддержка планшета XP-PEN Deco L.Ресурс Phoronix провел несколько бенчмарков ядра Linux 6.0 на процессорах AMD, которые выявили значительное повышение производительности процессоров Intel Xenon «Ice Lake», AMD Ryzen «Threadripper» и AMD EPYC.

• Повышение производительности во многом связано с изменениями в планировщике ядра.

• И другие изменения.

История зарождения Linux — как это было?⁠ ⁠

История зарождения Linux — как это было? IT, Познавательно, История, Длиннопост, Linux, Компьютер, Операционная система

25 августа 1991 года, ровно 31 год назад, в USENET-конференции comp.os.minix появилось сообщение от молодого человека по имени Линус Бенедикт Торвальдс о том, что он создал бесплатную операционную систему для 386 и 486-совместимых ПК, с отдельным примечанием: в качестве хобби, новинка не претендует на лавры серьезного профессионального проекта вроде GNU. Так началась история Linux. Официальные источники гласят, что к творчеству Торвальдса сподвигли лицензионные и функциональные ограничения ОС MINIX, в которой он тогда работал. Кое-где даже упоминается, что он вдохновлялся книгой создателя MINIX профессора Эндрю Таненбаума «Операционные системы: разработка и реализация» (Operating Systems: Design and Implementation). Однако изучая историю Linux, я случайно наткнулся на воспоминания однокурсника Торвальдса — Ларса Вирзениуса, вовлеченного в разработку Linux с самых первых дней существования этого проекта. Ларс рассказывал эту историю из «первых рук», причем излагал ее немного не так, как она описана в «Википедии».

То самое историческое сообщение в группе comp.os.minix

В 1988 году Ларс Вирзениус окончил среднюю школу и поступил в Хельсинкский университет на факультет информатики. В сентябре его пригласили в клуб для шведоговорящих студентов «Спектрум», где состояли ребята, интересующиеся информатикой, физикой, химией и другими точными науками. Там он и познакомился с Линусом Торвальдсом. По воспоминаниям Вирзениуса, в университете было несколько компьютерных классов, в которых стояли «маки» и персоналки с MS-DOS, а также терминалы, подключенные к мейнфрейму VAX/VMS. Среди этого великолепия обнаружился один-единственный старенький компьютер от DEC с операционной системой Ultrix — одной из версий BSD Unix. MS-DOS не нравилась Ларсу своими ограниченными возможностями, графический интерфейс Mac OS показался ему неудобным, и он оккупировал машину с Ultrix. Однажды, работая в терминале, Вирзениус опечатался в команде «rm», набрав вместо нее «rn» — и совершенно случайно открыл для себя мир конференций USENET, где общались тысячи IT-специалистов и компьютерных энтузиастов с разных уголков нашей планеты. Своей необычной находкой Ларс поспешил поделиться с Линусом Торвальдсом.

Один из циклов в университете Хельсинки был посвящен программированию на С в Unix. К тому моменту Вирзениус неплохо знал С, Торвальдс тоже умел программировать на этом языке, при этом оба были постоянными участниками конференции comp.lang.c, сообщения которой они читали с университетского компьютера DEC. Поэтому содержание лекций казалось им не слишком интересным — значительная часть теории была им уже знакома. Ларс и Линус сдавали лабораторные работы экстерном, соревнуясь между собой, кто уложит очередную программу из учебного задания в меньшее количество строк кода. Гораздо большее удовольствие друзьям доставляли эксперименты с университетской машиной: Ларс разработал аналог демона Cron, чтобы выгружать почту в USENET-конференции по расписанию, а Линус написал код для поддержки Postscript-принтера в Ultrix.

На рождество 1990 года Торвальдс решил сделать себе подарок: он взял льготный студенческий кредит и 5 января купил 386-й компьютер. На этот компьютер Торвальдс действительно установил MINIX, но основной проблемой, которая злила и бесила его, было отсутствие в этой системе нормальной поддержки многозадачности. Больше всего Торвальдс хотел организовать модемный доступ со своей личной «трёшки» на университетский компьютер DEC, чтобы комфортно читать из дома любимые конференции USENET, но ни одна из существовавших тогда терминальных программ его не устраивала — в каждой чего-нибудь, да не хватало. Перепробовав кучу вариантов, Торвальдс начал писать собственный терминал. Причем он пошел нестандартным путем: вместо того чтобы использовать довольно ограниченные возможности MINIX, он решил, что его программа будет работать с «железом» напрямую, не опираясь на ресурсы ОС. Первая версия поддерживала два потока: один считывал нажатия клавиш и передавал их в последовательный порт, второй слушал последовательный порт и транслировал данные в терминал. После того, как Торвальдс добавил в свою программу поддержку набора команд VT-100, используемых в терминалах DEC, у него получилась софтина, вполне пригодная для обмена сообщениями в конференциях USENET из дома.

Однако настоящий перфекционист редко останавливается на достигнутом — Торвальдс принялся совершенствовать терминал, добавляя туда поддержку команд sh и функций многозадачности, начав с переключения между потоками. Линус написал подсистему вывода сообщений USENET на принтер и модуль управления памятью, и уже не мог остановиться. Терминал стремительно разрастался, превращаясь в ядро новой ОС: вскоре он обзавелся собственным драйвером жесткого диска и драйверами файловой системы, — из-за того, что Линусу нужно было как-то сохранять на диск скачанные из USENET через терминал файлы. Этими драйверами и модулями Торвальдс понемногу заменял стандартные компоненты операционной системы. Постепенно, день ото дня, MINIX на его компьютере мутировал в Linux. Правда, изначально проект назывался по-другому: Торвальдс придумал смешное словечко «Freax» — сборную солянку из слов «Free» «Freak» и «Unix», и попросил администратора сайта ftp.funet.fi Ари Леммке выложить на этот портал исходники его терминала. Но Леммке решил назвать папку на сервере по имени автора софта, добавив к нему окончание от «Unix» — получилось «Linux». Название прижилось, хотя строку «Freax» все еще можно найти в makefile ранних версий ядра Linux.

Ларс Вирзениус вспоминает, что первую версию Linux невозможно было установить в обычном понимании этого слова. На компьютере Торвальдса Linux зародился сам собой путем добавления и замены различных модулей MINIX, а первая попытка поставить систему на компьютер Вирзениуса не увенчалась успехом. Торвальдс возился несколько часов, при этом установка потребовала ручного редактирования секторов диска в шестнадцатеричном формате. В конце концов Линус справился с этой задачей, и в итоге сумел собрать на дискете дистрибутив, пригодный для инсталляции на других ПК почти без применения черной магии.

Зимой 1991 года Торвальдс добавил в Linux поддержку виртуальной памяти, что значительно повысило практическую пользу ОС. Тогда же вместе с Вирзениусом он создал собственную группу в USENET — alt.os.linux, которая стала местом притяжения первых пользователей и евангелистов новой системы. В 1992 году был запущен проект документирования Linux — он начался с файла README, который Ларс написал лично, чтобы помочь людям самостоятельно скомпилировать ядро. Регулярно возникающие технические сбои только подстегивали процесс разработки. Так, по словам Вирзениуса, проблемы в сетевом стеке Linux приводили к генерации паразитного трафика, из-за чего Linux запретили использовать в университетской сети. Это заставило Торвальдса вплотную заняться решением данного вопроса: как следствие, реализация стека протоколов TCP/IP была переписана практически полностью в очень сжатые сроки. У какой-нибудь корпорации вроде Microsoft на это ушли бы месяцы.

В 1997 году Линус Торвальдс покинул университет, был принят на работу в Transmeta и переехал в США, после чего Ларс Вирзениус потерял его из вида. Но его рассказ немного проясняет историю появления Linux, добавляя в нее несколько новых интересных деталей. Получается, Linux появился на свет не из-за амбиций разработчика, желавшего сделать «MINIX лучше самого MINIX», а как следствие скромного желания читать почту в любимых конференциях, не покидая пределы родного дома. Как говорится, великие вещи порой рождаются случайным образом, но для их появления на свет все равно нужны талант и упорство.

Подписывайтесь на наш блог, чтобы не пропустить новые интересные посты!

Как очистить кеш Firefox в Linux

В вашем браузере Firefox есть большой кеш временных файлов? У вас неприятная история просмотра веб-страниц? Прошло ли время с тех пор, как вы в последний раз очищали кеш Firefox? Если вы ответили утвердительно на любой из приведенных выше вопросов, вы попали в нужное руководство.

В этом руководстве мы покажем пошаговые инструкции по очистке кеша в Firefox на Система Linux . Вы можете сделать это либо через графический интерфейс, либо командная строка . Ниже мы покажем инструкции для обоих методов.

В этом уроке вы узнаете:

Как очистить кеш Firefox через графический интерфейс
Как очистить кеш Firefox через командную строку

Очистка кеша в Firefox в Linux

Очистить кеш Firefox через графический интерфейс

Чтобы очистить кеш в Firefox, который может дополнительно включать историю просмотров, файлы cookie, активные входы в систему и историю форм, откройте Firefox в своей системе и выполните следующие действия.

Откройте меню настроек

Перейдите на вкладку Конфиденциальность и безопасность.

Выберите, что очистить, и выберите временной диапазон

Эта область показывает, сколько места занимает кеш, и дает возможность очистить его или управлять им.

Вот и все. Также обратите внимание, что вы можете настроить Firefox для автоматической очистки кеша, файлов cookie и / или истории просмотра веб-страниц при каждом закрытии браузера. Теперь вы можете выйти из Firefox или возобновить просмотр веб-страниц после того, как закончите очистку кеша и других данных, если захотите.

Очистить кеш Firefox через командную строку

При очистке кеша через меню графического интерфейса Firefox все, что он на самом деле делает, — это удаление файлов с вашего компьютера. Эти же файлы можно удалить и без Firefox, например, через командную строку. На самом деле есть несколько вещей, которые вы можете сделать с Firefox из командной строки Linux .

Firefox хранит кеш (временные файлы, такие как изображения) в одном каталоге, а вашу историю просмотров (посещенные веб-сайты, историю форм и т. Д.) В другом каталоге в виде файлов .sqlite.

В зависимости от вашего Установка Firefox , эти каталоги будут в предсказуемом месте в большинстве систем Linux. Если Firefox был установлен в вашей системе по умолчанию или через системный менеджер пакетов , вы можете использовать следующие команды для очистки кеша Firefox.

На Ubuntu , Debian , Arch Linux , Манджаро , и любые производные от этих дистрибутивов, эти команды будут работать:

Очистить файлы кеша:

Очистить историю просмотров (куки, историю, формы):

На CentOS , Fedora , и Красная Шапка , эти команды будут работать:

Очистить файлы кеша:

Очистить историю просмотров (куки, историю, формы):

Как видите, имена каталогов немного различаются между некоторыми популярные дистрибутивы , поэтому мы должны соответствующим образом изменить команду. Есть вероятность, что ваша система использует совсем другую структуру, и в этом случае вам придется импровизировать и менять каталоги по мере необходимости. То же самое можно сказать, если вы установили Firefox вручную в другое место.

При очистке кеша для пользователя, отличного от того, к которому вы в настоящее время вошли, обязательно укажите домашний каталог как абсолютный путь, например /home/linuxconfig/.cache/ . вместо

Перезапустите Firefox, чтобы все изменения вступили в силу. Чтобы настроить вашу систему на автоматическую очистку этих файлов, вы можете запланировать работу cron .

Вывод

Рекомендуется время от времени очищать кеш Firefox, просто чтобы очистить жесткий диск и избавиться от старых файлов cookie сеанса и т. Д. В этом руководстве мы рассмотрели два разных метода очистки кеша в Mozilla Firefox в Linux. Метод с графическим интерфейсом является традиционным, но мы также узнали, как удаление соответствующих файлов через командную строку может решить ту же задачу. В зависимости от вашей ситуации один метод может сработать для вас лучше, чем другой. Оба метода можно использовать для автоматической очистки кеша через определенные промежутки времени.

Подпишитесь на новостную рассылку Linux Career Newsletter, чтобы получать последние новости, вакансии, советы по карьере и рекомендуемые руководства по настройке.

LinuxConfig ищет технических писателей, специализирующихся на технологиях GNU / Linux и FLOSS. В ваших статьях будут представлены различные руководства по настройке GNU / Linux и технологии FLOSS, используемые в сочетании с операционной системой GNU / Linux.

Ожидается, что при написании статей вы сможете идти в ногу с технологическим прогрессом в вышеупомянутой технической области. Вы будете работать самостоятельно и сможете выпускать как минимум 2 технических статьи в месяц.

08/08/2021
0
МультимедиаМесто храненияБраузерКомандыРабочий стол

Включить темный режим Firefox в Linux

09/08/2021
0
МультимедиаНовичокБраузерРабочий стол

В последние несколько лет темный режим очень популярен, и теперь почти все операционные системы и приложения предлагают эту функцию. Mozilla Firefox не является исключением, и включить темный режим в веб-браузере довольно просто. Это поможет снизи.

Как установить веб-браузер Chromium в Linux

09/08/2021
0
МультимедиаНовичокБраузерРабочий стол

Chromium — это браузер с открытым исходным кодом, поддерживаемый Google. Наряду с самим браузером Chromium, Google Chrome, Microsoft Edge, Opera, Vivaldi и множество других известных веб-браузеров основаны на исходном коде Chromium. Можно с уверен.

Как улучшить рендеринг шрифтов Firefox в Linux

09/08/2021
0
МультимедиаБраузерАдминистрацияРабочий стол

По той или иной причине Mozilla Firefox может не отображать шрифты должным образом на всех Системы Linux. К счастью, Firefox дает нам большой контроль над конфигурацией шрифтов, поэтому мы можем точно настроить эти параметры, пока они не станут лу.

Как удалить программу 1с на Astra Linux?

Новичкам будет удобнее начинать через Пуск — Панель управления — Менеджер пакетов Synaptic…

Остается применить выбранные операции.

В нашем случае выбираем только «1c-enterprise»; другие пакеты если не знаете для чего он нужен — лучше не трогать!

Скорее всего пакеты удаляться не все — если службы 1с были запущены. Далее действуем через терминал.

Как удалить программу 1с в linux Астра через терминал?

где dpkg -l вывод списка установленных программ;
| grep 1c-enterprise поиск в списке нужного пакета и вывод информации на экран (утилита grep);

В нашем случае мы видим один оставшийся пакет — сервер 1с:

Для удаления всех пакетов сразу через терминал можно использовать команду:

где dpkg —purge утилита вычищает выбранные пакеты из системы (параметр purge).

sudo dpkg -l | grep 1c-enterprise*

А затем перечисляем ВСЕ пакеты СНИЗУ в ВВЕРХ через пробел (используем «копировать» «вставить»):

Где находится кэш 1с 8.3 на сервере Linux и как его очистить?

По пути /Home/Пользователь находим нужные папки и удаляем их:

Этими способами можно удалить любые пакеты установленые в систему — не только 1с. Удачи!

Sorry, you have been blocked

This website is using a security service to protect itself from online attacks. The action you just performed triggered the security solution. There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

What can I do to resolve this?

You can email the site owner to let them know you were blocked. Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Cloudflare Ray ID: 7d7d81e96ace788b • Your IP: Click to reveal 88.135.219.175 • Performance & security by Cloudflare