Очень хорошо описано в readme в репозитории bol-van/zapret на github. О том, что такое dpi, на чем основаны методы обмана, какие есть стратегии и прочее.
Выскажу свое мнение, потому как считаю, что автор не полностью раскрыл тему.
1) Официально вы можете поставить на любую машину (Только со встройкой от Intel, другие видеокарты не поддерживаются) только Chrome OS Flex без нативной поддержки Android. Сам Chrome OS распространяется по модели Apple, т.е. сразу на ноутбуках.
Неофициально есть такой проект на гитхабе, как Chrome Brunch, который позволяет накатить полноценную Chrome OS, а так же включает в себя драйвера wifi, фиксы тачпадов, аудио и разные полезные вещи. Но все так-же поддерживается только встройка от Intel.
Есть ещё китайский форк Fyde OS со своей реализацией поддержки Android через виртуальную машину. Там они запили драйвер AMD, что позволяет ставить ее на APU от красных или дискретное видео от AMD помимо все того же интела.
2) Система, как ни странно, очень удобна как для обычного пользователя, так и для разработчика. Для кого она неудобна - это для геймеров, несмотря на поддержку Android. Казалось бы, есть мобильный гейминг, огромное количество игр, но проблема в том, что ПК - это клавамышь, а андроид-игры заточены на тачпад. Разработчики хоть и пытаются сделать маппер клавамыши на события тачпада (arc input overlay), но пока эта технология ещё в преальфе и нигде не работает. А подобный софт для телефона весь собран на ARM64 и на x86 просто не работает.
3) Очень сильно расширяет возможности системы встроенная ВМ с Debian (сейчас 12-м). Реализована она как WSL в Windows, т.е. просто в виде отдельного приложения терминала, который запускаешь и попадаешь внутрь ВМ. Там можно поставить любые linux-приложения, даже с графическим интерфейсом (он будет нативной проброшен в основной рабочий стол), можно накатить докер и развернуть тот софт, которого не хватает в основной системе, например code-server (visual studio code) и пользоваться им через браузер, да в этой виртуалке можно хоть proxmox накатить и разворачивать там другие виртуалки и строить любые стенды.
4) Чтобы полностью удовлетворить мои потребности в качестве рабочей машинки не хватило только одного - ограниченная поддержка проброса usb внутрь ВМ с Debian. По сути, туда можно пробросить только usb mass storage и adb. Fastboot и предзагрузочные последовательные интерфейсы телефона пробросить уже нельзя, а софта, что-бы с ним работать в самой Chrome OS построенной на базе Gentoo нет. Аналогичная ситуация с созданием разделов и форматированием дисков и флешек (сделать можно только в хост-системе, где нет поддержки многих фс, вроде btrfs).
В итоге, система то крутая, но не без минусов и не всем подойдёт. У меня сейчас на ноуте домашнем стоит (Asus Zenbook 13).
Как это проверяется - Читается структура файлов и их хеши с base репозитория астры. После этого эти файлы и хеши сравниваются с текущей инсталляцией дистрибутива. Таким образом, если пакет присутствует в репозитории и он не совпадет по хешам с установленным то будет сразу забракован аттестатором.
И это логично, так как многие пакеты Астры пропатчены для работы с parsec, тот же postgresql, например. Так что вы не можете накатить 25-й докер в Астру или postgresql 17 и не потерять при этом сертификацию. Довольствуйтесь тем, что есть. В этой ветке речь про NUT, который в репозитории присутствует, так что любая новая его версия (с поддержкой snmp v3) ломает хеши.
Если же вы собрали свой пакет, которого нет в репозитории - тогда да, имеете полное право его ставить.
Проблема в том, что установка пакета, присутствующего в репозитории Астры, но из другого источника, другой версии и с другими хешами файлов сразу приводит к несовпадению хешей дистрибутива. На практике это означает, что любой регулятор перестает считать эту систему Aстрой, аттестат и сертификация становятся недействительными.
Проверка хеш-сумм дистрибутива выполняется встроенными средствами Астры с использованием эталонного диска с репозиторием. Это действие явно прописано в любой методичке любого аттестатора.
После скандальной истории с утянутыми у нее 70 ТБ файлов, включая верилоги и проектную документацию ещё не вышедших чипов, и угроз слить это все в открытый доступ, если драйвер не будет вылит в опенсорс. Ну да, по своей воле они бы не исправились.
Явное преимущество Vim становится очевидным при подключении по SSH к удаленным серверам. В таких сценариях VS Code не слишком удобен, в то время как для ввода «vim» с клавиатуры и начала редактирования потребуется всего пара секунд.
Вот честно, https://github.com/coder/code-server вам в помощь. После того, как я открыл для себя этот проект, все консольные редакторы для меня канули в лету. Просто делаете шаблон dev-stand с уже установленным кодсервером и разворачиваете под каждый проект сразу стенд, в котором можно сразу в браузере получить vs code.
Начиная с 6 версии был обновлен стек corosync и снято ограничение на 32 ноды в кластере. Сейчас количество нод теоритически неограничено и упирается в производительность кластерной сети. Те "толстые UDP пакеты", о которых вы пишите - это pmxcfs, которая монтируется в /etc/pve, содержит в себе конфиги proxmox и общая для всех нод кластера. Они периодически генерируют трафик, синхронизируя между собой содержимое этой директории. И чем больше нод, тем больше такого трафика генерируется.
В самом proxmox тестировали максимально 36 нод в кластере и при этом у них вышло 2,5 Гб/с трафика на синхронизацию. Это только на нужды кластеризации, а если у вас ещё оверлейные сети между гостевыми системами - то вам нужна ещё более производительная сеть.
Но, думается мне, 100 Гб/с InfiniBand хватит обеспечить нормальную работу кластеру из 100 нод с оверлейными сетями и хранилками через iscsi.
Это совершенно разные продукты, для разных задач. По каким критериям их сравнивать? Что у них общего? Что они железные и у них есть L3-фаервол? Так это есть и у любого маршрутизатора даже домашнего уровня.
Я руками щупал три из представленных здесь решений, а, конкретно, по Континентам я ещё и сертифицированный инженер.
Ideco и UserGate - это UTM-решения. Это означает, что в одном продукте собран стек решений для организации полноценного шлюза безопасности. Это помимо L3-фаервола ещё анализ L7-сигнатур, прокси-сервер для анализа http-трафика (с вскрытием https, а значит ещё и свой PKI, что-бы выписывать сертификаты для того, что-бы после анализа зашифровать обратно в https), IPS/IDS (детектор атак), часто ещё и обратный прокси, впн-сервер, потоковый антивирус и почтовый антиспам.
В то время, как Континент 3, о котором говорит автор - это решение для организации криптосети. У него строго одна задача - строить высокопроизводительный site-to-site vpn-канал, шифрованный по ГОСТ, с чем он справляется хорошо. Производительность шифрования IPC1000, например, заявлена в 4,5 Гбит/с. А в остальном, это обычный маршрутизатор с весьма скромным функционалом, даже маркировку пакетов не умеет. Поэтому, когда вы покупаете Континент за 500к деревянных вы должны ясно себе представлять, зачем и для чего вы его покупаете.
Что касается начинки. Все представленные решения крутятся на x86. Ideco работает на Fedora, UserGate и Континент - это FreeBSD. У Континента дополнительно установлен "Соболь", это реализация SecureBoot от Кода Безопасности в виде отдельной печатной платы. Так что Континент загрузить в UEFI без ключей на отчуждаемом Rutoken'е нельзя. В памяти Соболя он так-же хранит все ключи шифрования каналов и самого устройства. А если у него установлена роль ЦУС, то и ключи всех подконтрольных ему устройств.
По Ideco и UserGate. L3-фаервол у них на стеке ядра, остальные решения либо OpenSource, либо свои разработки. IPS у обоих - это Suricata, естественно, со своими наборами правил, которые периодически обновляются с серверов вендора. Прокси - это Squid, потоковый антивирус у UserGate свой, у Ideco либо бесплатный ClamAV, либо Каспер (тогда нужна дополнительная лицензия). Антиспам у Ideco - опять Каспер за доп-лицензию, у UserGate свой (к слову, нихрена не работающий на момент моего пилота).
Отдельно, пару слов хочу сказать по поводу Ideco. Парни реально молодцы. Пусть им сильно не хватает функционала, особенно, в формировании отчётов (особенно возмущаются безопасники разбалованные отчётами с CheckPoint), но развиваются они, действительно, очень быстро. Мажорные версии продукта выходят раз в полгода, так что я уверен, что все свои проблемы они исправят за несколько релизов, т.е. в течении ближайших 2-х лет.
Если ты строишь docker-инфраструктуру, то лучшего реверс-прокси, чем traefik ты не найдешь. Хотя бы потому, что основным источником конфигурации для него является сам docker-сокет. Тебе не надо писать простыни конфигов, достаточно у каждого контейнера в разделе labels указать информацию для traefik как и под каким хостнеймом контейнер публиковать.
А мне нравится gnome 3, он удобен, современен, оптимизирован под любой способ ввода, одинаково удобен как для клавомыши, так и для тачскрина. В UX концепция отказа от сворачивания окон взамен предлагая распределять их по динамическим рабочим столам, что очень удобно. Ему достаточно поставить хорошую тему вроде Nordic и расширение для реализации тайлового распределения окон и, вообще, получается конфетка.
Но опять же, это, имхо, мое мнение и мои предпочтения. Многим может не зайти и будет более привычна старая классическая концепция, привитая нам с первых версий windows. С одним рабочим столом, сворачиванием окон в панель задач, классическим меню пуск и нулевой поддержкой жестов. Тогда да, гном не зайдет, но можно всегда поставить KDE plasma, cinnamon или mate.
Telegram и Viber имеют нативные приложения под linux. WhatsApp и Skype - web, обернутый electron'ом. Актуальные версии всего этого на Астре запускаются через snap.
"Дурные рамочки" исправляются элементарно другой темой.
"настройки" сейчас у всех, даже у так всеми любимой винды однотипные, в стиле андроида, где все утилиты сгруппированы по категориям. Это тупо стандарт, он такой и в винде, и в макоси, и практически во всех современных DE.
А что в бубунте? От своего unity cannonical отказалась уже давно. Теперь у бубунты такой же gnome, как и у всех остальных, разве что со своей темой. Можно много спорить про UI гнома, о его юзабилити или современности и прочем, но к самому дистрибутиву это имеет мало отношения. Тот же пользовательский опыт вы получите от любого другого дистрибутива, накатив на него gnome.
Астровский fly прекрасно кастомизируется. Темы декоратора от icewm, отрисовка элементов окон - qt. Он прекрасно ест как colorscheme от плазмы, так и qtcurve и даже kvantum. У Альта с этим еще проще, у них нет никакого своего DE, все стандартно, тем миллион, Ставь любую.
О каком UI/UX можно говорить в линукс-дистрибутивах? Об этом можно говорить при обсуждении DE, которая среди этих ОС своя только у Астры, у остальных стандартный опенсорс с какой-то темой.
Драйвера сейчас во многом свободны и включены в состав ядра Linux, а значит являются частью ОС из реестра, например, Астры или Альта.
А вот действительная проблема в том, что в требованиях указано то, что и uefi должен быть отечественный. А вот этого точно никто не даст.
Но, с другой стороны, как стали известны требования, сразу промелькнула новость, что неизвестными были украдены исходники uefi к матплатам с микрокодами интел последнего поколения, так что, возможно скоро и появятся "отечественные" Биосы под x86 железо.
Очень хорошо описано в readme в репозитории bol-van/zapret на github. О том, что такое dpi, на чем основаны методы обмана, какие есть стратегии и прочее.
Выскажу свое мнение, потому как считаю, что автор не полностью раскрыл тему.
1) Официально вы можете поставить на любую машину (Только со встройкой от Intel, другие видеокарты не поддерживаются) только Chrome OS Flex без нативной поддержки Android. Сам Chrome OS распространяется по модели Apple, т.е. сразу на ноутбуках.
Неофициально есть такой проект на гитхабе, как Chrome Brunch, который позволяет накатить полноценную Chrome OS, а так же включает в себя драйвера wifi, фиксы тачпадов, аудио и разные полезные вещи. Но все так-же поддерживается только встройка от Intel.
Есть ещё китайский форк Fyde OS со своей реализацией поддержки Android через виртуальную машину. Там они запили драйвер AMD, что позволяет ставить ее на APU от красных или дискретное видео от AMD помимо все того же интела.
2) Система, как ни странно, очень удобна как для обычного пользователя, так и для разработчика. Для кого она неудобна - это для геймеров, несмотря на поддержку Android. Казалось бы, есть мобильный гейминг, огромное количество игр, но проблема в том, что ПК - это клавамышь, а андроид-игры заточены на тачпад. Разработчики хоть и пытаются сделать маппер клавамыши на события тачпада (arc input overlay), но пока эта технология ещё в преальфе и нигде не работает. А подобный софт для телефона весь собран на ARM64 и на x86 просто не работает.
3) Очень сильно расширяет возможности системы встроенная ВМ с Debian (сейчас 12-м). Реализована она как WSL в Windows, т.е. просто в виде отдельного приложения терминала, который запускаешь и попадаешь внутрь ВМ. Там можно поставить любые linux-приложения, даже с графическим интерфейсом (он будет нативной проброшен в основной рабочий стол), можно накатить докер и развернуть тот софт, которого не хватает в основной системе, например code-server (visual studio code) и пользоваться им через браузер, да в этой виртуалке можно хоть proxmox накатить и разворачивать там другие виртуалки и строить любые стенды.
4) Чтобы полностью удовлетворить мои потребности в качестве рабочей машинки не хватило только одного - ограниченная поддержка проброса usb внутрь ВМ с Debian. По сути, туда можно пробросить только usb mass storage и adb. Fastboot и предзагрузочные последовательные интерфейсы телефона пробросить уже нельзя, а софта, что-бы с ним работать в самой Chrome OS построенной на базе Gentoo нет. Аналогичная ситуация с созданием разделов и форматированием дисков и флешек (сделать можно только в хост-системе, где нет поддержки многих фс, вроде btrfs).
В итоге, система то крутая, но не без минусов и не всем подойдёт. У меня сейчас на ноуте домашнем стоит (Asus Zenbook 13).
Именно.
=> "Не замещает системный".
Как это проверяется - Читается структура файлов и их хеши с base репозитория астры. После этого эти файлы и хеши сравниваются с текущей инсталляцией дистрибутива. Таким образом, если пакет присутствует в репозитории и он не совпадет по хешам с установленным то будет сразу забракован аттестатором.
И это логично, так как многие пакеты Астры пропатчены для работы с parsec, тот же postgresql, например. Так что вы не можете накатить 25-й докер в Астру или postgresql 17 и не потерять при этом сертификацию. Довольствуйтесь тем, что есть. В этой ветке речь про NUT, который в репозитории присутствует, так что любая новая его версия (с поддержкой snmp v3) ломает хеши.
Если же вы собрали свой пакет, которого нет в репозитории - тогда да, имеете полное право его ставить.
Проблема в том, что установка пакета, присутствующего в репозитории Астры, но из другого источника, другой версии и с другими хешами файлов сразу приводит к несовпадению хешей дистрибутива. На практике это означает, что любой регулятор перестает считать эту систему Aстрой, аттестат и сертификация становятся недействительными.
Проверка хеш-сумм дистрибутива выполняется встроенными средствами Астры с использованием эталонного диска с репозиторием. Это действие явно прописано в любой методичке любого аттестатора.
После скандальной истории с утянутыми у нее 70 ТБ файлов, включая верилоги и проектную документацию ещё не вышедших чипов, и угроз слить это все в открытый доступ, если драйвер не будет вылит в опенсорс. Ну да, по своей воле они бы не исправились.
Вот честно, https://github.com/coder/code-server вам в помощь. После того, как я открыл для себя этот проект, все консольные редакторы для меня канули в лету. Просто делаете шаблон dev-stand с уже установленным кодсервером и разворачиваете под каждый проект сразу стенд, в котором можно сразу в браузере получить vs code.
По поводу кластеризации Proxmox.
Начиная с 6 версии был обновлен стек corosync и снято ограничение на 32 ноды в кластере. Сейчас количество нод теоритически неограничено и упирается в производительность кластерной сети. Те "толстые UDP пакеты", о которых вы пишите - это pmxcfs, которая монтируется в /etc/pve, содержит в себе конфиги proxmox и общая для всех нод кластера. Они периодически генерируют трафик, синхронизируя между собой содержимое этой директории. И чем больше нод, тем больше такого трафика генерируется.
В самом proxmox тестировали максимально 36 нод в кластере и при этом у них вышло 2,5 Гб/с трафика на синхронизацию. Это только на нужды кластеризации, а если у вас ещё оверлейные сети между гостевыми системами - то вам нужна ещё более производительная сеть.
Но, думается мне, 100 Гб/с InfiniBand хватит обеспечить нормальную работу кластеру из 100 нод с оверлейными сетями и хранилками через iscsi.
Автор сравнивает, извините, мед, говно и палки.
Это совершенно разные продукты, для разных задач. По каким критериям их сравнивать? Что у них общего? Что они железные и у них есть L3-фаервол? Так это есть и у любого маршрутизатора даже домашнего уровня.
Я руками щупал три из представленных здесь решений, а, конкретно, по Континентам я ещё и сертифицированный инженер.
Ideco и UserGate - это UTM-решения. Это означает, что в одном продукте собран стек решений для организации полноценного шлюза безопасности. Это помимо L3-фаервола ещё анализ L7-сигнатур, прокси-сервер для анализа http-трафика (с вскрытием https, а значит ещё и свой PKI, что-бы выписывать сертификаты для того, что-бы после анализа зашифровать обратно в https), IPS/IDS (детектор атак), часто ещё и обратный прокси, впн-сервер, потоковый антивирус и почтовый антиспам.
В то время, как Континент 3, о котором говорит автор - это решение для организации криптосети. У него строго одна задача - строить высокопроизводительный site-to-site vpn-канал, шифрованный по ГОСТ, с чем он справляется хорошо. Производительность шифрования IPC1000, например, заявлена в 4,5 Гбит/с. А в остальном, это обычный маршрутизатор с весьма скромным функционалом, даже маркировку пакетов не умеет. Поэтому, когда вы покупаете Континент за 500к деревянных вы должны ясно себе представлять, зачем и для чего вы его покупаете.
Что касается начинки. Все представленные решения крутятся на x86. Ideco работает на Fedora, UserGate и Континент - это FreeBSD. У Континента дополнительно установлен "Соболь", это реализация SecureBoot от Кода Безопасности в виде отдельной печатной платы. Так что Континент загрузить в UEFI без ключей на отчуждаемом Rutoken'е нельзя. В памяти Соболя он так-же хранит все ключи шифрования каналов и самого устройства. А если у него установлена роль ЦУС, то и ключи всех подконтрольных ему устройств.
По Ideco и UserGate. L3-фаервол у них на стеке ядра, остальные решения либо OpenSource, либо свои разработки. IPS у обоих - это Suricata, естественно, со своими наборами правил, которые периодически обновляются с серверов вендора. Прокси - это Squid, потоковый антивирус у UserGate свой, у Ideco либо бесплатный ClamAV, либо Каспер (тогда нужна дополнительная лицензия). Антиспам у Ideco - опять Каспер за доп-лицензию, у UserGate свой (к слову, нихрена не работающий на момент моего пилота).
Отдельно, пару слов хочу сказать по поводу Ideco. Парни реально молодцы. Пусть им сильно не хватает функционала, особенно, в формировании отчётов (особенно возмущаются безопасники разбалованные отчётами с CheckPoint), но развиваются они, действительно, очень быстро. Мажорные версии продукта выходят раз в полгода, так что я уверен, что все свои проблемы они исправят за несколько релизов, т.е. в течении ближайших 2-х лет.
Если ты строишь docker-инфраструктуру, то лучшего реверс-прокси, чем traefik ты не найдешь. Хотя бы потому, что основным источником конфигурации для него является сам docker-сокет. Тебе не надо писать простыни конфигов, достаточно у каждого контейнера в разделе labels указать информацию для traefik как и под каким хостнеймом контейнер публиковать.
А мне нравится gnome 3, он удобен, современен, оптимизирован под любой способ ввода, одинаково удобен как для клавомыши, так и для тачскрина. В UX концепция отказа от сворачивания окон взамен предлагая распределять их по динамическим рабочим столам, что очень удобно. Ему достаточно поставить хорошую тему вроде Nordic и расширение для реализации тайлового распределения окон и, вообще, получается конфетка.
Но опять же, это, имхо, мое мнение и мои предпочтения. Многим может не зайти и будет более привычна старая классическая концепция, привитая нам с первых версий windows. С одним рабочим столом, сворачиванием окон в панель задач, классическим меню пуск и нулевой поддержкой жестов. Тогда да, гном не зайдет, но можно всегда поставить KDE plasma, cinnamon или mate.
Telegram и Viber имеют нативные приложения под linux. WhatsApp и Skype - web, обернутый electron'ом. Актуальные версии всего этого на Астре запускаются через snap.
"Дурные рамочки" исправляются элементарно другой темой.
"настройки" сейчас у всех, даже у так всеми любимой винды однотипные, в стиле андроида, где все утилиты сгруппированы по категориям. Это тупо стандарт, он такой и в винде, и в макоси, и практически во всех современных DE.
А что в бубунте? От своего unity cannonical отказалась уже давно. Теперь у бубунты такой же gnome, как и у всех остальных, разве что со своей темой. Можно много спорить про UI гнома, о его юзабилити или современности и прочем, но к самому дистрибутиву это имеет мало отношения. Тот же пользовательский опыт вы получите от любого другого дистрибутива, накатив на него gnome.
Астровский fly прекрасно кастомизируется. Темы декоратора от icewm, отрисовка элементов окон - qt. Он прекрасно ест как colorscheme от плазмы, так и qtcurve и даже kvantum. У Альта с этим еще проще, у них нет никакого своего DE, все стандартно, тем миллион, Ставь любую.
О каком UI/UX можно говорить в линукс-дистрибутивах? Об этом можно говорить при обсуждении DE, которая среди этих ОС своя только у Астры, у остальных стандартный опенсорс с какой-то темой.
Драйвера сейчас во многом свободны и включены в состав ядра Linux, а значит являются частью ОС из реестра, например, Астры или Альта.
А вот действительная проблема в том, что в требованиях указано то, что и uefi должен быть отечественный. А вот этого точно никто не даст.
Но, с другой стороны, как стали известны требования, сразу промелькнула новость, что неизвестными были украдены исходники uefi к матплатам с микрокодами интел последнего поколения, так что, возможно скоро и появятся "отечественные" Биосы под x86 железо.