Привет, Хабр!

Меня зовут Артём, я инженер-программист в департаменте серверных решений. В статье расскажу про новый инструмент для повышения производительности, который получилось портировать и доработать для ОС Astra Linux Special Edition.

Привет, Хабр! У нас в Департаменте анализа безопасности «Группы Астра» недавно случился первый опыт участия в Большой математической мастерской, как раз им и хотелось бы поделиться в статье. Мы расскажем, как это участие помогло команде протестировать новую методологию для решения внутренних задач. Есть ощущение, что наш кейс может быть полезен коллегам по цеху.

Когда речь заходит о проектировании конфигурации по отношению к инфраструктуре виртуальных рабочих мест, очень важно в самом начале пути определить сценарии использования и ожидаемые нагрузки. В дальнейшем это избавит от простоев и затрат на изменение архитектуры.

В статье мы будем говорить о двух разных подходах к решению задач по доставке рабочих мест: рассмотрим понятия терминальных и тиражируемых виртуальных рабочих мест, поговорим о том, как это работает в Termidesk, сравним их между собой и взглянем на них по отдельности.

Новая система фильтрации пакетов, фреймворк nftables, работает, начиная с версии Debian 10 Buster. ОС Astra Linux Special Edition (ALSE) основана на Debian и его пакетной базе, поддерживает nftables, начиная с версии 1.7.4.

Для помощи в миграции с Netfilter к nftables я настроил тестовый стенд, который реализует основные базовые задачи для SOHO (Small Office/Home Office) или небольшого предприятия. Эту конфигурацию можно взять за основу при создании своей или использовать все, как есть.

Приветствую! Меня зовут Валерий, я инженер операционных систем в секторе клиентской и мобильной ОС.

Сегодня хочу затронуть фундаментальные вопросы:
- процесс загрузки операционной системы в автоматизированное рабочее место (АРМ),
- распаковку начального образа оперативной памяти,
- подробный разбор initrd, что это такое и с чем его едят.

Этот материал поможет понять как природу загрузки ОС Astra Linux Special Edition в частности, так и загрузку GNU/Linux в целом.

Всем привет! Меня зовут Михаил, и в своей предыдущей статье я кратко осветил цепочку прохождения логов в ОС Astra Linux SE. Продолжаем!

Любой человек, который регулярно сталкивается с темой логирования, рано или поздно задаётся вопросом: «А что ещё можно сделать с логами, помимо простого добавления записей в некоторый файл?». Поэтому сейчас поговорим о таком мощном инструменте обработки логов, как syslog-ng.

Привет! Сегодня пройдемся по сравнительным характеристикам протоколов удаленного доступа, которыми пользовались миллионы людей в период пандемии, но не придавали этому значения с точки зрения нагрузки на каналы связи.

Многим компаниям сейчас приходится выбирать альтернативные VDI-решения взамен ушедшим. Коллеги рассматривают не просто работающие в моменте продукты, а решения с заделом на будущее.

Вперед всегда заглядывать немного страшно, но невероятно интересно. В 2022 году команда Termidesk почувствовала готовность вложиться в подобное узкоспециализированное решение — собственный протокол удаленного доступа TERA, о котором и пойдет речь в этой статье. 

Для того чтобы лучше понимать продукт, нужно его использовать. Звучит вполне логично. Но бывают ситуации, когда продукт, который вы разрабатываете, определяет ваше взаимодействие с инструментами для разработки. То есть он буквально доставляет ваше рабочее место с удаленной машины на локальный компьютер.

Может ли формат доставки рабочих мест в виде Termidesk VDI быть рабочим решением для разработки? В статье будем разбираться, утопия это или вполне себе приятная реальность.

Всем привет! Меня зовут Михаил, я разработчик в команде, которая создает ОС Astra Linux.

Тема логирования в дистрибутивах Linux всегда живо обсуждается как среди наших клиентов и партнёров, так и внутри компании.

Практика показывает, что начинающие разработчики и инженеры часто не видят цельную картину, по которым в нашей ОС проходят логи. Не всегда есть понимание, какой именно компонент формирует тот или иной лог, какие именно настройки относятся к тому или иному компоненту. Например, под термином «аудит» может пониматься как подсистема аудита Linux, так и другие компоненты ОС, участвующие в формировании и обработке логов.

Описанные выше пробелы в знаниях сообщества побудили меня подумать над тем, как помочь коллегам сориентироваться в непростом хитросплетении путей, по которым запись лога проходит от исходной программы до конечного файла. Так мне пришла идея написать цикл статей, посвященный логированию в операционной системе Astra Linux Special Edition.

Привет! Меня зовут Аликс, я лидер одной из команд, которые создают продукт Termidesk. Наш отдел отвечает за интеграцию продукта с многообразием компонентов: платформы виртуализации, транспортные протоколы, разного рода адаптации и улучшения.

В статье я расскажу о ключевых возможностях продукта и протестирую обе существующие редакции. Также я попробую заглянуть в будущее, активировав экспериментальные функции в Termidesk, которые отключены по умолчанию, но их можно активировать в настройках.

Разбирать продукт буду с двух точек зрения. С одной стороны, посмотрю на него глазами администратора, которому в первую очередь важно иметь широкие возможности для настройки, обслуживания и масштабирования системы.
С другой стороны, взгляну на Termidesk как пользователь, который будет просто эксплуатировать продукт каждый день, не вдаваясь в детали внутреннего устройства.

Идея этой статьи родилась, когда наша команда занималась разработкой минимально жизнеспособного продукта (MVP) внутренней веб-системы, важной составляющей которой было визуальное представление данных, а именно результатов работы различных анализаторов исходного кода программного обеспечения. Из всего разнообразия библиотек визуализации в веб мы выбрали HoloViews, поскольку она в наибольшей степени соответствовала компетенциям нашей команды, костяк которой в силу специфики проекта составляли специалисты по анализу данных. Однако для успешной интеграции HoloViews в веб-приложение нам, как разработчикам, пришлось проявить и некоторую изобретательность. Мы посчитали, что имеет смысл поделиться этим опытом, поскольку в одном месте подобный материал до сих пор нигде не был собран.

Всем привет! Меня зовут Данила, я Android-разработчик в команде, которая занимается созданием супераппа WorksPad и почтового клиента RuPost Desktop.

Все новые фичи в проекте пишутся на Compose. Нужно было разобраться в нюансах использования, поэтому встал вопрос о повышении собственной квалификации.

Когда я изучил множество тонких моментов реализации, мне захотелось поделиться новыми знаниями с командой — инициатива вылилась во внутренний митап, посвященный работе в Compose. Встреча прошла насыщенно, я получил очень много вопросов от коллег. В итоге мы пришли к тому, что по материалам митапа нужно сделать некий резюмирующий текстовый гайд, с которым разработчик не задумывался бы, как применять Compose.

Большинство поддержало меня в том, чтобы я переложил нашу встречу в формат статьи. Все что вы увидите ниже — и есть тот самый гайд. В нем я постарался простыми словами объяснить, как устроен процесс построения UI на Compose.

Конечная цель проектов импортозамещения в ИТ — полный отказ от операционной системы Windows. Но, как говорится, гладко было на бумаге, да забыли про овраги. Может так оказаться, что быстро заменить какие-то клиентские корпоративные приложения, написанные под эту операционную систему, не получится. В этом случае вам может пригодиться возможность присоединения Windows-компьютеров к домену ALD Pro.

В этой статье я расскажу, как добиться максимальной функциональности от такого сценария развертывания, и презентую утилиту нашей собственной разработки aldpro-join. С ее помощью можно решить проблему настройки рабочих станций всего за пару кликов. Если это именно то, о чем вы хотели узнать, но не знали, кого спросить, — вы на правильном пути. Поехали!

Материал будет полезен даже в том случае, если в вашей инфраструктуре пока еще используется «ванильная» система FreeIPA.

Привет, хабр! Меня зовут Алена, я системный аналитик.

В статье поделюсь опытом выстраивания экосистемы продуктов и настройки слаженной работы между плохо знакомыми продуктовыми командами. Расскажу, когда и как использовать матрицу ролей, чтобы уменьшить время на постановку задачи. Что сделать для упрощения коммуникации между командами и как повысить уровень вовлеченности коллег. 

Astra Automation — единое решение автоматизации, которое помогает ИТ-команде закрыть все потребности, связанные с обслуживанием и интеграцией систем, управлением данными, обеспечением кибербезопасности и оказанием техподдержки. Продукт собран на основе проверенных Open-Source-технологий в соответствии с требованиями безопасной разработки и тщательно протестирован специалистами вендора, занимающимися разработкой средств автоматизации.

В основе платформы лежит Ansible core – один из самых популярных в мире инструментов для управления конфигурациями.

Задачу по масштабированию автоматизации на уровне всего предприятия решает Astra Automation Controller — приложение с веб-интерфейсом, функционирующее в среде операционной системы Astra Linux Server. Astra Automation Controller построен на базе исходного кода проекта AWX и позволяет использовать как индивидуально разработанные сценарии (плейбуки) автоматизации, так и те, что предоставляются разработчиками Astra Automation и доступны в соответствующем репозитории готовых решений «Группы Астра» — Astra Automation Hub.

Платформа Astra Automation помогает системным интеграторам и заказчикам создавать и поддерживать ИТ-инфраструктуру на основе решений «Группы Астра» и ее партнеров, сокращая время на развертывание и настройку продуктов, с гарантированным результатом. Astra Automation становится незаменимым помощником для технических специалистов, которым необходимо эффективно и регулярно поддерживать ИТ-среду в рабочем состоянии, выполняя широкий спектр задач. Использование данного решения позволяет сосредоточиться на самой автоматизации, а не на ее инструментах, способствует сокращению затрат на поддержку ИТ-ландшафта, повышению его управляемости и безопасности, а также снижает риск ошибок, связанных с человеческим фактором.

Привет, Хабр! Я инженер в «Группе Астра» из команды ALD Pro. В статье расскажу, как мы создали расширенные групповые политики и инструмент для их применения на базе существующего механизма групповых политик ALD Pro. Благодаря этому получилось упростить настройку конечных рабочих мест и соблюсти требования по информационной безопасности.

Статья будет интересна системным администраторам или администраторам безопасности, которые работают с ОС Astra Linux SE и которым нужно привести доменные компьютеры в соответствие требованиям ФСТЭК.

Используя продукты ведущих вендоров, мы не всегда задумываемся о том, что в них реализованы лучшие практики, позволяющие экономить на администрировании, повышать безопасность инфраструктуры и обеспечивать удобство для работы пользователей. Но эти детали, как шило в... мешке, не дают покоя при попытке заменить проверенное ПО свободным. Оказывается, ни одно из альтернативных решений неспособно без существенных доработок обеспечить сопоставимые показатели по безопасности, удобству и эффективности.

Сегодня нужно заменить большое количество программных продуктов, а времени совсем мало, поэтому приходится расставлять приоритеты и начинать с самого важного. Так, одним из стратегических направлений «Группы Астра» стала разработка службы каталога, которая должна заменить Microsoft Active Directory и стать сердцем обновленной ИТ-инфраструктуры российских предприятий. В нашем продукте мы объединили службу каталога FreeIPA с системой конфигурирования SaltStack и дополнили решение набором наиболее востребованных сервисов, таких как репозиторий программного обеспечения Reprepro, файловый сервер Samba, общий доступ к принтерам CUPS, динамическая настройка хостов ISC DHCP, установка ОС по сети TFTP HPA, мониторинг Zabbix и Grafana, журналирование syslog-ng.

Продукт ALD Pro (Astra Linux Directory Pro) быстро развивается, и с даты первого релиза было опубликовано уже несколько сотен улучшений, что позволило стать лидером на рынке доменных решений. У нас уже сотни инсталляций по всей стране, и с каждым днем их становится все больше. Но некоторых пользователей очень интересует вопрос, почему в качестве основы для службы каталога мы выбрали все-таки FreeIPA, а не Samba AD, и в этой статье поделимся нашими соображениями. Уверены, что информация окажется полезной не только нашим заказчикам, но и пользователям ванильных FreeIPA и Samba AD.

В первой части мы обсудили правила HBAC и SUDO для ограничения доступа к хостам и предоставления прав на повышение привилегий. Теперь поднимем не менее важные вопросы: мы поговорим о политиках паролей, необходимости обновления учетных данных хостов и способах делегирования прав на ввод хостов в домен рядовым сотрудникам ИТ-службы.

Существует много способов повышения безопасности ИТ-инфраструктуры, и внедрение доменных служб, таких как ALD Pro или Active Directory, является одним из них, т.к. помогает достижению цели уже только за счет централизованного управления учетными записями и конфигурациями рабочих станций. Но доменные решения не являются серебряной пулей, поэтому одного только развертывания домена будет недостаточно, и требуется должным образом настроить систему, для чего нужно разобраться в нюансах работы программных продуктов. В данной статье мы объясним, как работают основные механизмы обеспечения безопасности в домене ALD Pro. Материал будет полезен даже в том случае, если в вашей инфраструктуре пока еще используется ванильная система FreeIPA.

Привет, Хабр! Меня зовут Игорь, я занимаюсь разработкой серверной части в команде RuBackup.

В процессе своей работы мы с коллегами уделяем большое внимание вопросам безопасности наших приложений. SQL-инъекция — одна из самых серьезных угроз этой безопасности. Она заняла третье место в списке 25 самых опасных проблем в программном обеспечении за последние два года. Именно поэтому я решил собрать весь свой накопленный опыт и рассказать о митигации SQL-инъекций.

Наверняка многие из вас знают, что валидирование пользовательского ввода — краеугольный камень процесса безопасной разработки. С одной стороны, нам как разработчикам не хочется ограничивать пользователей в наборе таких входных данных, как символы и выражения, которые они могут использовать в работе, например, в паролях. С другой стороны, нельзя допустить выполнения в СУБД вредоносного кода, который приводит к SQL-инъекциям. А такие случаи время от времени происходят и становятся достоянием гласности. PostgreSQL дает разработчику возможность решить эту проблему экранированием потенциально опасных символов, превращая их в безопасные. Таким образом, для PostgreSQL будет вполне безвредно, если пользователь в качестве пароля использует строку "password' OR 1=1".

Для защиты от SQL-инъекций в прикладных библиотеках PostgreSQL libpq и libpqxx применяется техника «эскейпинг» или экранирование строки. Она заключается в том, чтобы убрать лишние символы разрыва строк в строках, содержащих специальные символы. С помощью этой функций символы удваиваются и более не считаются окончанием строки, а интерпретируются как обычные символы. Я буду рассматривать только библиотеку libpqxx, так как она, по сути, является С++ оберткой над более низкоуровневой С библиотекой libpq, где и реализованы все функции, о которых далее пойдет речь.