Записки IT специалиста

Продолжая тему импортозамещения и знакомства с российскими операционными системами нельзя пройти мимо системы с говорящим названием - ОСнова. Но это не просто очередная система общего назначения, ОСнова имеет сертификацию ФСТЭК и предназначена в первую очередь для построения защищённых автоматизированных систем, обрабатывающих конфиденциальную информацию и персональные данные. Система коммерческая, бесплатной версии нет, дистрибутив также отсутствует в свободном доступе, но был любезно предоставлен нам разработчиками для обзора.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

В основе ОСновы лежит Debian 10, но многие ключевые элементы системы, включая ядро, обновлены на более поздние версии, таким образом сочетая стабильность с современными возможностями. Для системы, которая будет использоваться на рабочих местах это важно, особенно свежее ядро, добавляющее поддержку нового оборудования.

Сам же выбор платформы Debian кажется нам наиболее предпочтительным для российских операционных систем, так как Debian контролируется сообществом и не зависит от корпораций, которые, даже не беря во внимание политические факторы, могут резко изменить правила игры в угоду собственным бизнес интересам. Хороший пример этого - ситуация с CentOS, когда компания IBM резко превратила свободный аналог RHEL, твердокаменный и стабильный, в нечто более близкое к Fedora.

Рекомендуем к прочтению:
• CentOS умер... Да здравствует CentOS Stream?!?

В этом месте привычно можно услышать, мол какая-такая российская ОС, очередной клон Debian c новыми "нескучными" обоями, что, конечно же, не так. Разработчики ОСновы - АО "НППКТ" имеют ряд собственных серьезных разработок, направленных в первую очередь на обеспечение безопасности, также по максимуму задействованы собственные возможности Linux.

В первую очередь хочется отметить фреймворк NESS (oSnova Enhanced Security (Sub)System), который не основан на SELinux и является собственной разработкой компании, с его помощью можно серьезно повысить безопасность системы и реализовать системы мандатного доступа. NESS сочетает в себе лучшие практики, требования отечественных регуляторов и более чем 20-летний опыт разработчиков в сфере безопасности.

Следующая разработка - домен NDDS, он совместим с доменом Active Directory на уровне Windows 2008R2, поддерживает клиентов до Windows 10 включительно, также можно устанавливать доверительные отношения между доменами NDDS и AD. В свою очередь ОСнова может быть введена в домен ActiveDirectory.

Это не полный список возможностей ОСновы, но наиболее крупные, остальных мы будем касаться по мере обзора. Система поставляется в виде двух образов размером 7,75 и 1,46 ГБ, по современным меркам это много, тем более что многие давно привыкли к NetInstall, но здесь ситуация совершенно иная. Если мы говорим о безопасности, то самое время вспомнить про закрытый сетевой контур, который либо не имеет доступа во внешнюю сеть, либо такие возможности серьезно ограничены. Для этого случая и нужны два диска, таким же образом можно получать и устанавливать обновления. И нет, это не паранойя, а вполне нормальные требования безопасности.

Инсталлятор предлагает нам текстовый или графический режим установки, а также возможность загрузиться в режиме LiveCD.

Если вы когда-либо устанавливали Debian, то сразу узнаете установщик, он стандартный и ничего нового в нем нет. Поэтому лучше обратим внимание на особенности ОСновы, прежде всего это богатый выбор ядер:

Следует отметить, что сборка системы в образе соответствует версии Onyx 2.0 от 01.12.2020 и ядро 5.4 LTS является последним на момент выхода сборки ядром с длительным сроком поддержки. Кроме "обычного", доступны следующие варианты ядер:

• hardened - имеет повышенный уровень защищенности (может снижать производительность или совместимость с используемым программным обеспечением).
• mptcp - имеет поддержку Multipath TCP (Multipath Transmission Control Protocol, RFC 6824).
• pve - обеспечивает возможность установки в систему Proxmox Virtual Environment.
• rt - имеет пониженное время реакции на события, что может быть важно для разных конфигураций, требующих работу близкую к системам реального времени.

По умолчанию предлагается рабочая среда KDE, офисные и мультимедийные пакеты, а также средства для работы в интернет.

Дополнительно предлагается отключить очистку пространства подкачки при завершении работы (включена по умолчанию) и включить замкнутую программную среду.

Начнем с очистки подкачки. С точки зрения безопасности это достаточно важное действие, так как на диске остаются страницы памяти и при наличии физического доступа к устройству имеется возможность считать из них информацию. Однако это может существенно замедлять выключение системы, особенно если вы до сих пор используете HDD.

Замкнутая программная среда основана на IMA и позволяет осуществлять контроль запускаемых приложений. Общий смысл сводится к тому, состояние системы фиксируется путем подписания всех существующих в ней бинарных файлов и библиотек, после чего администратор настраивает списки допустимых хешей. Никакие другие приложения не могут быть запущены, а библиотеки загружены. Таким образом достигается уверенность, что в системе может быть запущен только сертифицированный доверенный код.

Также вам не удастся установить систему без пароля на загрузчик GRUB, он не будет запрашиваться при нормальной загрузке системы, но потребуется при обращении к меню GRUB, это не позволит, например, не зная пароля загрузиться в режим восстановления и получить таким образом доступ к системе.

Как видим, к вопросам безопасности разработчики ОСновы отнеслись серьезно.

Экран входа в систему строг и лаконичен:

То же самое можно сказать и про оформление рабочего стола, в остальном же перед нами самая обычная KDE Plasma, очень не плохой вариант для современных систем и бывших пользователей Windows.

Сразу обращает на себя внимание некоторая избыточность софта, браузеров, например, сразу три, причем Chromium установлен в версии ГОСТ. Такой подход, на наш взгляд, обусловлен возможным наличием закрытого сетевого контура, лишнее администратор всегда сможет удалить, а вот доступ к источнику установки, даже если это диск или образ у него может быть не всегда.

Из образа нам доступна OSNova Onyx 2.0, никаких иных репозиториев, кроме установочного диска не подключено, в список также можно добавить второй диск из комплекта.

Набор софта местами староват, но вполне актуален для Debian 10 и конца 2020 года, когда был собран использованный нами образ.

Обновить систему можно разными путями, для закрытого контура это диски или образа, но если требования безопасности допускают, то мы можем подключить репозитории и обновляться гораздо более привычными путями. Репозиторий закрытый, для доступа к нему требуются логин и пароль.

В процессе обновления мы можем увидеть работу средств безопасности ОСнова, нас несколько раз уведомили о наличии уязвимостей в том или ином пакете и предложили тут же применить исправления. Это тоже собственная разработка АО "НППКТ".

Обновив систему, мы увидим, что теперь у нас Onyx 2.5.1, более свежий прикладной софт и актуальное LTS- ядро 5.15, что очень даже неплохо.

Если мы продолжим знакомиться с системой, то ничего нового и интересного там не найдем, обычный Debian с KDE, где все знакомо и привычно. Но так и должно быть, основные усилия разработчиков ОСновы нацелены на безопасность, сама система подвергается минимальным изменениям. Нам не составило никакого труда установить Telegram и получить доступ ко всем необходимым ресурсам в сети интернет.

Но не все же работать, надо же иногда и отдыхать, скажем, в законный обеденный перерыв посмотреть IPTV, в системе предустановлен плейер VLC, который отлично справляется с этой задачей:

А как насчет поработать? Без проблем. Мы установили учебную версию 1С:Предприятие, Крипто-Про, плагины для доступа к Госпорталам, а также не испытали сложностей при подключении и использовании ключей Рутокен.

Для управления системой доступна стандартная панель управления KDE:

Никаких магазинов в системе нет, что вполне понятно, для управления пакетами следует использовать консоль или Synaptic:

Сразу поясним, так как в некоторых других обзорах мы определяли отсутствие магазина как недостаток, но ОСнова не предусматривает использование обычными пользователями, а администратор должен уметь работать с пакетным менеджером.

Также есть простой, но достаточно удобный графический интерфейс брандмауэра. Это, безусловно, лучше, чем ничего, учитывая натянутые отношения многих c iptables.

Кроме обычных логов в системе доступна консоль аудита, которая показывает события, связанные с доступом к объектам и их безопасностью:

Все это время мы рассматривали работу в оболочке KDE, но можно отказаться от нее в пользу альтернативы, в качестве которой представлена LXQT. Выглядит оболочка вполне аккуратно и опрятно, при этом потребление ресурсов примерно вдвое ниже, чем при использовании KDE, для старых машин самое то:

А вот третья оболочка вызывает ну очень много вопросов, потому как кроме ностальгией объяснить ее наличие не получается. Да, речь идет об современной реинкарнации CDE (Common Desktop Environment) - NSCDE, и хотя это не настоящая CDE, а надстройка над FVWM изначальную среду она повторяет довольно качественно. В общем - добро пожаловать в классический UNIX начала 90-х. Посмотреть - прикольно, работать - это смогут не только лишь все.

Но впечатления могут быть самые яркие: современный LibreOffice в визуальном окружении времен Windows 3.11. Видимо среди разработчиков ОСновы есть настоящие фанаты старых интерфейсов.

Выводы

Прежде чем подвести итоги, сразу сделаем оговорку, рассматривать ОСнову нужно прежде всего как сертифицированную ОС для построения защищенных систем, иначе может возникнуть недоумение, мол зачем платить за Debian с кучей непонятных настроек и сложностей. Это не для дома, не для офиса и не предназначено впечатлять и удивлять.

Это про безопасность. Основные покупатели ОСновы - это госорганизации, банки и финансовые структуры, медицинские учреждения и т.д. и т.п., кому нужно обеспечивать безопасную обработку данных. При этом нужно сохранять простоту использования и обслуживания системы. С этим тоже все в порядке - под капотом обычный Debian и привычный набор свободного ПО.

В целом работать с ОСновой нам понравилось. Классическая Debian-система, понятная и привычная, но в тоже время предоставляющая широкие возможности для построения защищенных систем.

Еще раз повторим, что нет смысла сравнивать эту ОС с системами общего применения, но на своем поле ОСнова готова стать хорошей основой защищенной инфраструктуры.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.