Включить блокировку консоли Astra Linux

Обновлено: 01.07.2024

Скачать дистрибутив КриптоПро CSP с сайта.

Распаковываем и устанавливаем КриптоПро CSP КС2 с простыми компонентами lsb-cprocsp-devel cprocsp-stunnel:
tar -xvf ./linux-amd64_deb.tgz && cd ./linux-amd64_deb/
sudo ./ install.sh kc2 lsb-cprocsp-devel cprocsp-stunnel

Добавляем криптопровайдеры КриптоПро HSM в конфигурацию КриптоПро CSP:
sudo -s
cd /opt/cprocsp/sbin/amd64/
./cpconfig -ini '\cryptography\Defaults\Provider\ Crypto-Pro HSM CSP' -добавить строку 'Путь к изображению' /opt/cprocsp/lib/amd64/libcspr.so
./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro HSM CSP' -добавить string 'Имя таблицы функций' CPSRV_GetFunctionTable
./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro HSM CSP' -add long Type 75
./cpconfig -ini '\cryptography\Defaults\ Provider\Crypto-Pro HSM CSP' -добавить строку Channel .clientk2

./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro ГОСТ Р 34.10-2012 HSM CSP' -add string 'Путь к изображению' /opt/cprocsp/lib/amd64/libcspr.so
./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro ГОСТ Р 34.10-2012 HSM CSP' -add string 'Имя таблицы функций' CPSRV_GetFunctionTable
./cpconfig -ini '\cryptography\Defaults\Provider\ Крипто-Про ГОСТ Р 34.10-2012 HSM CSP' -добавить длинный тип 80
./cpconfig -ini '\cryptography\Defaults\Provider\Крипто-Про ГОСТ Р 34.10-2012 HSM CSP' -добавить строку Channel .clientk2

./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro ГОСТ Р 34.10-2012 Strong HSM CSP' -добавить строку 'Путь к изображению' /opt/cprocsp/lib/amd64/libcspr.so
./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro ГОСТ Р 34.10-2012 Strong HSM CSP' -add string 'Имя таблицы функций' CPSRV_GetFunctionTable
./cpconfig -ini '\cryptography\Defaults\ Provider\Crypto-Pro ГОСТ Р 34.10-2012 Strong HSM CSP' -добавить long Type 81
./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro ГОСТ Р 34.10-2012 Strong HSM CSP' -добавить строковый канал .clientk2

Экспортируем в файл корневой сертификат КриптоПро HSM из ключевого контейнера ключа доступа:

pid = /var/opt/cprocsp/tmp/stunnel-k2.pid
output = /var/log/stunnel-k2.log
socket = r:TCP_NODELAY=1
socket = r:SO_KEEPALIVE=1
TIMEOUTidle = 2147483
debug = 0
for_hsm = yes

[clientk2]
client = yes
connect = 192.168.0.1:1501
accept = /var/opt/cprocsp/tmp/.clientk2
cert = /root/ user.cer
pincode =12345678

В случае использования IP-адрес КриптоПро HSM 192.168.0.1, пин-код ключевого контейнера 12345678.

Проверяем доступность криптопровайдеров КриптоПро HSM:
/opt/cprocsp/bin/amd64/csptest -enum -provider "Крипто-Про HSM CSP" -provtype 75 -info
/opt/cprocsp/bin/ amd64/csptest -enum -provider "Крипто-Про ГОСТ Р 34.10-2012 HSM CSP" -provtype 80 -info
/opt/cprocsp/bin/amd64/csptest -enum -provider "Крипто-Про ГОСТ Р 34.10- 2012 Strong HSM CSP" -provtype 81 -info

Настраиваем автозапуск stunnel_fork как службы в Astra Linux 1.6

Совещание состоялось:
[Unit]
Description=stunnel_fork
After=network.target

[Service]
Type=forking
ExecStart=/opt/cprocsp/sbin/amd64/stunnel_fork
ExecReload=/bin/kill -HUP -$MAINPID
KillMode= процесс
Перезапускать=всегда

Для сборки Nginx на Astra Smolensk 1.6 SE необходимо установить пакеты build-essential и patch.

Для дистрибутивов на основе rhel добавляются опции:
--with-pcre-opt=-fPIC --with-zlib-opt=-fPIC

Копируем базовый конфиг в директорию с кодом:
sudo cp ./nginx.conf.sample ./nginx-1.18.0/conf/nginx.conf
make
sudo make install< /p>

Создаем системного пользователя:
sudo adduser --system --no-create-home --group nginx
sudo chown -R nginx:nginx /var/log/nginx/

Переносим скрипт инициализации:
sudo cp ./nginx.init /etc/init.d/nginx
sudo chmod +x /etc/init.d/nginx
sudo systemctl daemon- перезагрузить

Создаем запрос на сертификат для Nginx:
sudo -u nginx /opt/cprocsp/bin/amd64/cryptcp -creatrqst -provname "Крипто-Про ГОСТ Р 34.10-2012 HSM CSP" -provtype 80 -rdn ' CN=Astra, C=RU ,S=77 Москва, L=г. Москва' -certusage 1.3.6.1.5.5.7.3.1 -cont nginx1 -ex /tmp/request.req

Выпускаем на УЦ сертификат по запросу и устанавливаем в контейнере:
sudo -u nginx /opt/cprocsp/bin/amd64/certmgr -install -store uMy -cont '\\.\HSMDB\nginx1' -provname "Крипто-Про ГОСТ Р 34.10-2012 HSM CSP" - файл /tmp/user.crt

Дополнительная информация и пример конфигурационного файла по ссылке.

Доступность сервиса проверяем с помощью:

csptest
/opt/cprocsp/bin/amd64/csptest -tlsc -server host_name -v

браузера с поддержкой ГОСТ TLS (на Linux - Chromium ГОСТ)

Открыть страницу в сертификате ГОСТ.

Команды-переключатели (за исключением команды astra-modeswitch), входящие в состав пакета astra-safepolicy, имеется стандартный набор опций вызова:

В случаях, когда в команде используются еще какие-либо опции, за исключением использования ограниченного набора, параметры дополнительных опций при использовании в описании команды (см. ниже).

Запуск команд-переключателей без использования параметров при необходимости повторяет настройку системы в соответствии с состоянием переключателя (применяется внутри модульных файлов, только включенных при включении некоторых переключателей)".

astra-autologin-control

Управление автоматическим входом в графическую среду.

При включении необходимо указать имя (логин) пользователя, от имени которого будет производиться автоматический вход в систему после загрузки.

астра-баш-замок

Управление блокировкой интерпретатора команды bash. Аналогично блокировке других интерпретаторов команды, но вынесена в отдельную блокировку, т.к. доставляет больше неудобств, в том числе для служб, работающих в фоновом режиме.

В частности, после блокировки интерпретатора bash становится невозможным вход непривилегированных пользователей, использующих bash в качестве командной защиты, в консольную сессию.

Не распространяется свое действие на пользователей из группы astra-admin. Изменение режима блокировки переходит в действие немедленно.

astra-commands-lock

Управление блокировкой запуска пользователями следующих программ:

Программы блокируются для пользователей с помощью выставления на них прав доступа 750 (rwx r-x - - -). Эти средства необходимо заблокировать при обработке в одной системе разных уровней конфиденциальности, т.к. с их помощью можно скрыть канал передачи информации между уровнями.
Изменение режима блокировки вступает в действие мгновенно.

astra-console-lock

Управление блокировкой доступа к консоли и терминалам для пользователей, не входящих в группу astra-console. При необходимости группа astra-console автоматически включает в себя приложения, состоящие в группе astra-admins на момент включения этой функции.
Изменение режима блокировки вступает в действие немедленно.

astra-digsig-control

Позволяет из командной строки вывести и отключить режим замкнутой программной среды (ЗПС) в исполняемых файлах. Команда astra-digsig-control enable включает режим ЗПС, команда astra-digsig-control disable выключает режим ЗПС.

astra-docker-isolation

Переводит сервис docker с высоким уровнем содержания на уровне содержания 2. Для этого в каталоге /etc/systemd встречается override-файл. Изменения вступают в силу после перезапуска сервисного докера. Если служба docker не установлена, включение или отключение Docker недоступно.

блокировка формата astra

Включает или отключает запрос пароля администратора при форматировании съемных носителей. По умолчанию включено (пароль запрашивается).

astra-hardened-control

Включает/отключает в загрузчике grub2 загрузку ядра по умолчанию, если такое встречается в системе.

astra-ilev1-control

Передает некоторые сетевые сервисы с высокой точностью на уровне 1, для чего в каталоге /etc/systemd размещаются override-файлы для соответствующих сервисов уровня. Изменения касаются следующих сервисов:

Если сервисы не были установлены в момент включения этой функции, то функция автоматически применяется и вновь назначается сервисом. Для изменения уровня целостности работающего сервиса требуется его перезапуск. Выполнение перезапуска службы поддержки может сопровождаться перезапуском системы или командой:

astra-interpreters-lock

Блокирует запуск пользователей и командных интерпретаторов:

astra-interpreters-lock НЕ БЛОКИРУЕТ интерпретатор bash , так как такая блокировка может использовать функционал, неочевидным образом использующий bash, что приводит к нарушению нормальной работы ОС. Для блокировки интерпретатора bash використовуйте переключатель astra-bash-lock.

Блокировка не позволяет пользователям исполнять в системе официальный код в обход ЗПС. Не распространяется на пользователей из группы astra-admin.

Запуск явлений, уникальный установленный бит разрешения исполнения, остается возможным. Блокировка запуска командных переводчиков Совместно с astra-nochmodx-lock, т.к. в данном случае пользователь может использовать сам сценарий, назначить ему бит исполнения и создать реализацию, охватывающую эту блокировку.

Изменение режима блокировки переходит в действие немедленно.

astra-lkrg-control

Если установлен пакет lkrg, настраивается автозагрузка ядра ядра lkrg при загрузке системы (на нагрузке загрузки initrd) и загружается модуль lkrg сразу после включения функции astra-lkrg-control. При отключении функции astra-lkrg-control модуль lkrg подключается из автозагрузки и выгружается из ядра. lkrg - это экспериментальный модуль, обнаружение некоторых уязвимостей и защита пространства ядра памяти от модификаций. Может выступать с драйверами виртуализации, например, virtualbox.

астра-макрос-замок

Блокирует исполнение макросов в документах libreoffice. Для этого макро из меню программы libreoffice удаляются время от времени, а файлы, обнаруживаются за работой, перемещаются или становятся доступными пользователями. Блокировка макросов решает две задачи - ограничения от выполнения кода при открытии документов и не позволяет злонамеренному использовать принудительный код через механизм макросов.
Изменение режима блокировки вступает в действие немедленно.

astra-mac-control

Включает или отключает возможность работы приложений с ненулевым уровнем конфиденциальности. Состояние по умолчанию - включено. Изменения применяются после восстановления.

Отключение работы приложений с файлами объектов, значимой ненулевой метку конфиденциальности, неравносильно удаленному таким объектам. может быть получен штатными средствами ОС, но доступ к ним может быть получен при наличии неконтролируемого физического доступа к ПК, позволяющего использовать нештатные средства.

астра-микрофон

Включает или отключает механизм контроля целостности в ядре, изменяя значение параметра parsec.max_ilev командной оболочки ядра. После отключения механизма контроля целостности и восстановления целостности файловой системы сбрасывается на нулевые значения. После включения механизма контроля целостности и восстановления на объектах файловой системы восстанавливаются принятые по умолчанию значения целостности (высокий уровень целостности в каталогах /dev, /proc, /run, /sys). При включении этой функции возможно установить значение допуска, отличное от принятого по умолчанию (63), которое требуется для специальных применений (Брест).

блокировка astra-modban

Блокирует загрузку неиспользуемых модулей ядра. Неиспользуемыми считаются те модули, которые не загружены в момент включения функции.
Изменение режима блокировки вступает в действие немедленно.

переключатель режима астра

Переключает и отображает режимы работы систем защиты информации ОС:

Базовый;
Усиленный;
Максимальный.

При необходимости защищенности уровня (режимов работы ОС):

Функции, недоступные в выбранном протоколе, невозможно будет включить:

Режим работы системы защиты

Дополнительные опции команды:

list - вывести список доступных режимов;
get - выход режима в периодическом представлении;
getname - включить режим в текстовом представлении;

set - установить режим, указанный параметром (число или текст). Допустимые значения для режимов задания:

Режим работы системы защиты	Текстовое значение	Числовое значение
Базовый	база	0
Усиленный	дополнительно	1
Максимальный	максимум	2

приложения astra-mode

Включает и выключает:

режим AstraMode службы apache2 (конфигурационный файл /etc/apache2/apache2.conf);
режим МасEnable службы cups (Конфигурационный файл /etc/cups/cupsd.conf).

замок астра

Запрещает съемку съемных носителей с помощью службы fly-reflex-service/fly-admin-reflex непривилегированных пользователей.
Изменение режима съемки вступает в действие немедленно.

astra-noautonet-control

Отключает высокую настройку сетевых подключений, блокирует работу служб NetworkManager, network-manager и connman, а также отключает элемент управления сетью в трее графического интерфейса. Изменение режима блокировки переходит в действие немедленно.

astra-nobootmenu-control

Отключает меню загрузчика grub2.Это происходит случайно в процессе загрузки пользователя и несколько ускоряет загрузку.

astra-nochmodx-lock

Блокирует возможность установки на файлы бита разрешения исполнения (chmod +x), чем не позволяет пользователям привнести в систему посторонний исполняемый код. Запрет на количество пользователей из группы astra-admin, но не на количество пользователей root. Изменение режима вступает в действие немедленно.

астра-оверлей

Включает оверлей на корневой файловой системы (ФС). Фактическое содержимое корневой ФС монтируется в оверлей вместе с файловой системой, хранящейся в памяти. После этого все изменения файлов хранятся только в памяти, а файловая система, хранящаяся на носителе, остается без изменений. После восстановления все изменения обязательны, и система каждый раз загружается в исходном состоянии. Эта функция может содержаться в тех случаях, когда носитель, на расположении корневой ФС, аппаратно защищен от записи, либо необходимо программно ее владельцы от изменений.

Функция наложения не касается файловых систем, хранящихся на отдельных разделах, отличных от корневого. Если, например, /home обнаруживается в отдельном разделе или носителе, вносимые в него изменения развиваются после восстановления.

astra-ptrace-lock

Устанавливает максимальные ограничения на использование механизма ptrace, выдает параметр kernel.yama.ptrace_scope в значении 3. Значение сразу устанавливается при включении этой функции и настраивается сохранение этого значения после перезагрузки функции. Функция не может быть отключена без перезагрузки.

astra-secdel-control

Включает режим безопасного удаления файлов в разделах с файлами наблюдений, присутствующих в файле /etc/fstab. Подключены возможные форматы файлов систем:

Когда функция astra-secdel-control включена, при удалении файлов содержимое файлов затирается, чтобы нельзя было его восстановить. В обычных условиях при удалении файлы помечаются как удаленные, но их содержимое остается на носителях, пока не будет затерто статистических данных. Изменение режима работы вступает в действие после осмотра файловой системы (в т.ч. после восстановления ОС).

astra-shutdown-lock

Блокирует выключение компьютеров пользователей, не являющихся суперпользователями. Для этого создается политика policykit, которая запрещает выключение компьютера без ввода пароля администратора. Дополнительно отключается возможность перезагрузки комбинацией клавиш ПК Ctrl-Alt-Del.

Изменение режима блокировки переходит в действие немедленно.

astra-sudo-control

Включает ввод пароля при сборе sudo. В Astra Linux Special Edition x.7 требуется ввод пароля при сборе sudo по умолчанию включено (может быть переопределено при установке ОС), в более чем очередных случаях обновления по умолчанию ввод пароля при вызове sudo не требуется. Использование sudo пароль без повышения использования работы, но в некоторых случаях может быть небезопасно. В состоянии "активно" при вызове судо будет зависеть пароль, в состоянии "неактивно" - не будет зависеть. Изменение режима запроса вступает в действие немедленно.

астра-сумак-замок

Блокирует работу утилиты sumac и fly-sumac. Если эта функция включена, даже у пользователей есть привилегия PARSEC_CAP_SUMAC, не может использоваться команда sumac. Для этого размещения прав доступа 000 к исполняемому файлу sumac и загружаем libsumacrunner.so. Изменение режима блокировки переходит в действие немедленно.

astra-swapwiper-control

Включает функцию очистки разделов подкачки по завершении работы ОС. Для этого вносятся изменения в конфигурационный файл /etc/parsec/swap_wiper.conf. Изменение режима блокировки переходит в действие немедленно.

astra-sysrq-lock

Отключает функции системы, доступные по протоколам SysRq, т.к. их использование пользователем может быть небезопасно. Для этого значения параметра kernel.sysrq. Значение параметра в файле /etc/sysctl.d/999-astra.conf.

astra-ufw-control

Включает межсетевой экран ufw. Если уже включен firewalld (другой межсетевой экран), то ufw не будет включен, т.к. при одновременном включении они вызывают конфликты.
Изменение режима работы вступает в действие немедленно.

astra-ulimits-control

Включает предотвращение ограничения на использование пользователями некоторых систем ресурсов, чтобы нарушить доступность системы в результате исчерпания ресурсов. Настройка ограничений вызывает внесение изменений в файл /etc/security/limits.conf. На пользователей, уже вошедших в систему, изменение режима не наблюдается и вступает в действие после того, как вход пользователя.

Аналог графической утилиты "Монитор безопасности". При вызове без параметров отображается компактная сводка о состоянии функций безопасности.

Дополнительные параметры команды:

Данные дополнительные параметры оценки для дальнейшего использования и изменения в следующих версиях.

список - выводит машиночитаемый список всех дозированных функций безопасности;
статус — выводит сводку о состоянии функций безопасности (так же, как и при вызове без параметров);
статус N - выводит состояние функции безопасности по номеру N, где N -- это id функции безопасности, реализуемое из списка выводов;
switches - выводит в машиночитаемом виде список переключателей безопасности, предназначенный для отображения в графических утилитах администрирования.

Для каждой функции возможно возможное состояние:

ВКЛЮЧЕНО/ВЫКЛЮЧЕНО
ВКЛЮЧАЕТСЯ/ВЫКЛЮЧАЕТСЯ
ЧАСТИЧНО

Состояние "ВКЛЮЧАЕТСЯ" означает, что функция присутствует в процессе включения или будет включена после перезагрузки, но в настоящий момент еще не активна. Состояние "ВЫКЛЮЧАЕТСЯ" имеет обратный смысл. Например, после блокировки блокировки ptrace она завершается в состоянии "ВЫКЛЮЧАЕТСЯ", т.к. она не может быть отключена в процессе работы системы, но отключается после перезагрузки.

Состояние "ЧАСТИЧНО" означает, что функция включена, но не все параметры, значения этого значения считаются заданными по умолчанию. Например, состояние "ЧАСТИЧНО" для "МКЦ файловой системы" означает, что функция включена, но метки включены в некоторые файлы объектов, которые не соответствуют заданной системной конфигурации (см. ниже).

Включенное состояние функций безопасности означает повышенную безопасность, т.е. состояние, когда небезопасный функционал ОС запрещен.

Несколько дней назад было объявлено о выпуске новой версии Astra Linux Common Edition 2.12.40, представляющей собой дистрибутив Linux, построенный на основе пакета Debian 9 "Stretch" и снабженный собственным рабочим столом Fly с компонентами, используйте библиотеку Qt.

Образ ISO, бинарный репозиторий и исходники пакетов доступны для скачивания, а дистрибутив распространяется по лицензионному соглашению, налагающему ряд ограничений.

Например, пользователям запрещено коммерческое использование, декомпиляция и дизассемблирование продукта. Так что распространение только в личных некоммерческих целях, дистрибутив можно использовать бесплатно.

Оглавление

Основные новые функции Astra Linux Common Edition 2.12.40

Эта новая версия дистрибутива поставляется с ядром Linux 5.4 (ранее предлагалось ядро 4.15), в котором представлен драйвер exFAT и улучшена поддержка процессоров Intel и AMD десятого поколения, драйверов графических процессоров и сетевых компонентов. Образ установочного диска обновлен новым ядром.

Добавлен пакет инструментов в портативном режиме для питания ноутбука и управления питанием, а также улучшена работа с конфигурациями с несколькими мониторами в оконном менеджере fly-wm.

Также выделено оптимизированное размещение кнопок приложений при нехватке места на панели задач, помимо файлового менеджера, добавлена поддержка приложений, использующих плагины KDE ("отправить" действия из KDE) и работа с SMB ресурсы были ускорены.

Добавлена горячая клавиша Win+F11, с помощью которой любое приложение открывается в полноэкранном режиме без украшательств и наложения панели задач.

Из обновленных версий пакетов интегрированы следующие версии: NVIDIA 450, osync 0.0.1, hwinfo 21.38, Firefox 83.0, Thunderbird 78.5.1, Chromium 86, firejail 0.9.58, cups 2.2.13, hplip 3.20. 9, LibreOffice 6.4.6, mesa 20.1.7, qmmp 1.4.2, kde-spectacle 2.12, bleachbit 3.9, samba 4.12.

Также в анонсе упоминается о внедрении новых графических интерфейсов:

fly-admin-format для форматирования USB-накопителей с поддержкой быстрого и полного режимов.
fly-admin-usbip для настройки USB-устройств по сети (usbip).
fly-admin-multiseat для настройки одновременной работы нескольких сотрудников с общими профилями на ПК.
fly-csp-cryptopro (ранее fly-csp) для создания и проверки электронной подписи провайдера КриптоПро.
fly-admin-time для выбора серверов NTP и настройки служб синхронизации времени.

А из улучшенных графических интерфейсов мы можем отметить, что в fly-admin-int-check добавлена возможность включать конкретные элементы каталогов в список исключенных из проверки целостности.

Хотя Fly-admin-ltsp включает возможность перенастройки dnsmasq, улучшенную настройку автоматического монтирования USB-носителей и функцию удаленного подключения.

В fly-admin-smc для графического киоска можно отключить режим энергосбережения и заблокировать экран.

В fly-admin-printer улучшен поиск драйверов hplip, что позволяет более точно определить модель принтера Hewlett Packard и выбрать правильный драйвер.

Fly-admin-repo реализует автоматическое определение имени, архитектуры и компонентов создаваемого репозитория, добавляя возможность подписывать репозиторий apt.

В fly-admin-winprops включены параметры окна "не показывать в трее" и "принудительное оформление" (актуально для приложений GTK3), а также запуск "в полноэкранном режиме"

Из других выдающихся изменений:

Переработан дизайн диалогового окна "Завершение работы" (fly-shutdown-dialog).
В новый интерфейс входа в систему (fly-qdm) добавлена поддержка доменов и токенов.
В fly-notify-prevlogin доступна информация о времени предыдущего входа в систему.
Обновлен виджет управления яркостью.
Добавлена переменная среды FLY_SHARED_DESKTOP_DIR для централизованного размещения ярлыков на рабочих столах всех пользователей.
Fly-reflex обеспечивает вызов из всплывающего окна для форматирования внешнего диска.
Обновлен виджет даты и часов (fly-admin-date), добавлена интеграция с приложением fly-admin-time.

Загрузить Astra Linux Common Edition 2.12.40

Наконец, те, кто хочет попробовать этот дистрибутив Linux, могут загрузить образ системы по этой ссылке.

И важно помнить, что дистрибутив по умолчанию на русском языке, но в процессе установки мы можем настроить язык на английском.

Содержание статьи соответствует нашим принципам редакционной этики. Чтобы сообщить об ошибке, нажмите здесь!.

Влад объяснил мне, что Astra Linux широко используется на российском рынке. Это производный от Debian дистрибутив, который используется российским правительством!
В правительственных организациях происходит стратегический отказ от Microsoft. Так что Astra Linux, вероятно, будет иметь большее значение в будущем.

Итак, сегодня утром я изучил его и установил Domino, включая мой стартовый скрипт.

Это не поддерживаемый дистрибутив! Но мне было бы интересно узнать ваше мнение.
Кто пользуется? Хотели бы вы использовать его? Поможет ли это предоставлять более качественные услуги на российском рынке?
С какими проблемами/особыми случаями вы столкнулись?

Я могу поддерживать свой сценарий запуска только в Astra Linux. Поддержка Domino была бы чем-то для HCL.
Поэтому мне очень интересно узнать, кто его использует, и получить отзывы с мест.

Для поддержки CentOS было довольно легко получить поддержку от HCL. Исходный код CentOS совместим с RHEL, а HCL изменили свою среду сборки на CentOS 7.4.
Для Astra Linux было бы намного сложнее получить официальную поддержку.
Поэтому мне очень интересны ваши отзывы (в комментариях или по электронной почте).

Ниже вы найдете мои первые впечатления и результаты самостоятельной установки.

Я установил графическую версию, которая была проще для первых тестов.
Установка довольно проста и сопровождается несколькими дополнительными контрольными вопросами.
Я не включал дополнительную безопасность, такую как усиленное ядро и более строгие настройки безопасности.
Но большая часть этого по-прежнему включена по умолчанию. Поэтому мне пришлось снова включить ptrace, чтобы разрешить NSD и memcheck доступ к процессам.
Дополнительно усиленное ядро, казалось, не имело никакого значения. Загрузчик grub выбрал ядро по умолчанию.

Некоторые незначительные отличия

При добавлении нового пользователя с помощью adduser я заметил, что опция -U для создания подходящей группы недоступна, но создание группы ранее с помощью addgroup и использование этого идентификатора группы при создании пользователя с помощью --gid работали должным образом. .

Установка Domino прошла успешно, хотя установщик сказал, что среда не поддерживается.
Также только что сработала конфигурация через удаленную настройку.

Нет никаких пакетов, которые вам нужно установить, чтобы запустить его (bc, perl уже установлен в выбранных мной вариантах).
Я установил sysstat и gdb (отладчик GNU, необходимый NSD) с помощью графического менеджера пакетов.

Мой стартовый сценарий не удалось полностью установить автоматически, поскольку не было каталога /etc/sysconfig.
Поэтому я просто создал пустой каталог, потому что скрипт запуска всегда ищет данные конфигурации в своем файле конфигурации, расположенном в этом каталоге.

С этой незначительной поправкой стартовый скрипт также работает из коробки.

Для отладки NSD требуется ptrace, который по умолчанию отключен.
Для меня это не ново. У нас были такие же ограничения при наших первых установках Docker. Для Docker вы должны разрешить контейнеру использовать ptrace в запущенных процессах.

Даже я не включил его, ptrace не был разрешен, а NSD и memcheck не могли подключиться к процессам.
Оказалось, что ptrace был отключен, даже графическая установка и настройка сказали, что он отключен.

Поэтому я использовал следующие настройки:

Проверьте, включена ли блокировка ptrace

systemctl включена astra-ptrace-lock
включена

Отключить блокировку ptrace

Еще раз проверьте, что он отключен:

systemctl is-enabled astra-ptrace-lock
disabled

Вы должны загрузить свой сервер, чтобы это изменение вступило в силу,
Но после этого NSD и memcheck запустятся как положено.

В большинстве других дистрибутивов планировщик ввода-вывода уже изменен с «cfg» как минимум на «deadline».
Но Astra Linux по-прежнему использует "cfg" по умолчанию. Поэтому вам нужно добавить «elevator=noop» в строку загрузки ядра grub.
Было удивительно легко изменить конфигурацию grub. Я просто зашел в графическую конфигурацию grub и внес изменения.
Инструмент автоматически записал правильную конфигурацию grub. После перезагрузки диск использовал «noop» в качестве планировщика ввода-вывода.

Вы можете проверить настройки с помощью:

cat /sys/block/sda/queue/scheduler
[noop] крайний срок cfq

1 Алексей Лавов 28.07.2019 0:07:03 Domino на Astra Linux Обратная связь

Спасибо за ваш опыт, Даниэль. Ваш блог является источником ценной технической информации о мире домино. Вас читают довольно много профи домино в России.

2 Александр 06.08.2019 9:39:19 Domino на Astra Linux Отзыв

Здравствуйте, Даниил! Большое спасибо за ваши рекомендации по установке Domino на Astra Linux. Ваш стартовый скрипт тоже смог запуститься. Столкнулся с проблемой запуска скрипта net-snmpd.sh, так как он предназначен для работы только на RHEL, CentOS или SUSE. При работе в Astra Linux отображается сообщение типа "не знаю, как запустить/остановить net-snmpd в этой версии Linux". Не могли бы вы сказать мне, как его запустить?

3 Даниэль Нэшед 08.08.2019 18:21:09 Отзыв о Domino об Astra Linux

Обновление SNMP для Astra Linux:

Я отправил электронное письмо Александру и изучил сценарий bash, который запускает демон Linux для SNMP.

Сценарий специфичен для RHEL и SLES и нуждается в подпрограммах init.d.

Проверка не работает с Astra Linux, и нам потребуется обновить скрипт.

Но скрипт не полностью совместим с RHEL 7 и SLES 12. Сценарий по-прежнему предполагает init.d.

И у него нет поддержки systemd. Было бы разумно перенести его из init.d в systemd, даже скрипты init.d можно использовать на systemd хотя бы для запуска.

Systemd имеет функцию совместимости. Но полезно только автоматически запускать службы, а не останавливать их.

Поэтому правильным будет перейти на systemd.

4 Иван Кузьменков 25.06.2020 11:28:49 Domino на Astra Linux Отзыв

> Оказалось, что ptrace был отключен, даже графическая установка и настройка сказали, что он отключен.

Дэниел, объясните, пожалуйста. Нам кажется, что это опечатка. как правильно:

"Оказалось, что ptrace был включен"

"графическая установка и настройка показали, что она включена"

5 Дэниел Нэшед 04.11.2020 8:35:28 Отзыв о Domino об Astra Linux

Здравствуйте, Иван, извините, я пропустил ваш комментарий.

Я только что еще раз перечитал свой блог и тоже нашел его. Графический интерфейс сказал, что он включен, но нижний код говорит, что нет. т

Читайте также: