но в сценариях работы он не используется - ждём шифровальщиков чтобы они его использовали в своих сценариях работы? Правило allow all в HBAC - можно было давно сконфигурировать ну хотябы для минимального уровня безопасности чтобы не оставлять десятки, если не сотни тонкостей на пользователя системы. Вы предъявляете чрезмерно высокие требования к конечному пользователю продукта. Делая коммерческий продукт, вы даже об инсталляторе не подумали... =(
"безопасности" ?! друзья вы не обижайтесь, но есть весьма серьёзные вопросы в этом вопросе к ALDPro. Некорректно работающий Kerberos Server, Дефолтные настройки многих компонентов вызывают ужас чего стоит использование протокола NT1 для работы SMB... а дефолтовое подключение любого пользователя к серверам через ssh? многие проблемы могли быть устранены очень быстро ещё 2года назад как только в ТП Астры начали поступать обращения по ним.... исправить быстрее чем писать этот пост.... но прошло уже 4 релиза а воз и нынче там...
Нет, я про то что в РФ нет своих ленточных библиотек. Чего-то куда можно сделать резервную копию и носитель физически отключится от информационных систем, так что он становится недоступен online. т.е. HDD записывается резервными копиями и электрически отключается от NAS ну и далее после исчерпания пула дисков приходит человек и ротирует их
Если добавить в проект механизм автоматического одностороннего извлечения HDD c программным управлением из системы сможете продать схему такого хранилища, какому нибудь производителю в РФ он сделает много, очень много денег на импортозамещении систем для холодного резервного копирования =)
Ну система аутентификации и авторизации особенно в части восстановления доступа на сервисах в РФ это ещё хуже к примеру я ушел пользоваться в gmail т.к. у меня не выходит авторизоваться в своём аккаунте mail.ru, только случайным образом... При том что в каком-нибудь sberID мой отец смог случайно авторизоваться за себя так, что списывались деньги с моего счёта....
Те что тут можно опубликовать нет. С осени прошлого года, появилось два типа сертификатов на тех поддержку. Astra не публикуют в чём отличия в сертификатах технической поддержки "Тип 1" и "Тип 2", но в материалах для партнёров у них есть пояснение о том что Тип 2 предоставляет возможность обновления до новой версии а Тип 1 нет (Если я ничего не путаю). Особенность российского бизнеса... всё супер секретно чтобы никто не догадался.... в общем напишите или позвоните в ТП Астры, возможно хотя бы на такие вопросы они смогут ответить...
Объективно нужна, но действительно вклад ГК Астра в ОС мал, на фоне экосистемы Linux. Даже базовый функционалам они не планируют заниматься =( готовы устраивать бесконечные совещания, но не готовы реально что то делать доработки которые требуют менее дня работы невозможно продавить через бюрократическую машину КГ Астра, даже если у тебя за спиной крупная корпорация с деньгами. Увы складывается впечатление что они реально не способны вести разработку ПО, По вакансиям они не особо ищут программистов С/С++ вообще того на чём можно писать куски ОС у них разработчиком зовётся админ или Питонист, который из готовых кусков собирает сконфигурированный пакет....
Только после покупки доступно в ЛК астры. Ну а также интузиастами то тут то там выкладывается... можно также обновиться с дистриба 2023 =) в \etc\apt\source.list приведи к виду для 1.8 (Debian Bookworm):
Не волнуйся суппорт от Астры в целом сводится к "мы тут бабло отмываем не мешай! ты б...я что самый умный?! вопросы про реальное использование системы задавать..."
у ALSE есть "фича" аудит действий пользователя суровый и безпощадный в 80% случаев безполезный от слова совсем..., по умолчанию даже в младшем релизе Орёл всё зачем-то логируется все действия по доступу к файлом убивая SSD и тормозя HDD. Можно если аудит не требуется то выполнить будет веселее: sudo astra-audit-control disable
Заявление про LTS релиз =))) и вот 25 год. прошло несколько месяцев с релиза ALSE 1.8.2... ответ от техподдержки: о поддерживаемых версиях ОС как клиентских... ALSE 1.7.1-1.7.5, 1.7.5.uu.1,1.7.6,1.7.6.uu.1,1.7.6.uu.2,1.8.1 "Согласно п .6.11 Матрица совместимости ПК ALD Pro, ALD Pro версии 2.4.1 не поддерживает версию оперативного обновления ОС Astra Linux Special Edition 1.8.2.uu.1."
Эх... а были же ещё статьи про чудо метод, взлома криптостойких алгоритмов в которых скорость перебора паролей не зависела от используемого алгоритма шифрования и длинны ключа =) и по сей день этот метод взлома позволяет приодолеть практически любую крипто защиту =)))) как бы дорого компания за него не платила...
@alex0x08 Спасибо за статью! Занимаюсь импортозамещенеим..., ТП AstraLinux полгода пинал на то чтобы что бы они ответили насчёт неадекватного поведения OomKiller`а и зависаний на АРМ`ах, подумали в сторону такого патча т.к. на рабочих станциях (ОЗУ 4-8GB в основном), ответ ТП Астры был что их это не колышет... пользователи не должны открывать по 50 вкладок в браузере... в результате там где проблема совсем острая начали ставить ZRAM как заплатку... Но l9ec явно лучшее решение! У кого есть ТП Астры напишите им ссылку на эту статью....
Не ссы =)))) тут как в анекдоте "Наша кошка в начале держалась от пылесоса подальше, но потом ничего втянулась" =))) Когда ты увидишь какие дыры в безопасности на базовом уровне. Посмотришь на бегающего по офису высоко стоящего руководителя, орущего матом как такое вообще Б..ть возможно!!! испытаешь некоторое расслабление за свои мучения с интерфейсом =))) Руководитель соответственно не ИТ будет а чуть выше =))))
Подобная реализация имеет "небольшую" проблему безопасности: Отключение пользователя в ALDPro не приводит у прекращению возможности его аутентификации и авторизации через KeyCloak. Хоть Астра и предлагает всем связку ALDPro + KeyCloak как рабочий инструмент. Как говорится шеф!!! у нас дыра в безопасности...
Увы как только вы коснётесь настроек в ALD она потрёт ручные настройки.... т.е. Samba сервер если вас вариант с ALDPro не устраивает должен быть не как сервис ALDPro. Еслибы сервис в ALDPro был реализован верно то он был бы заметно удобнее эффективнее того же в Windows. В общем задумка хорошая реализация .... тут без комментариев чтобы никого не обидеть
но в сценариях работы он не используется - ждём шифровальщиков чтобы они его использовали в своих сценариях работы?
Правило allow all в HBAC - можно было давно сконфигурировать ну хотябы для минимального уровня безопасности чтобы не оставлять десятки, если не сотни тонкостей на пользователя системы. Вы предъявляете чрезмерно высокие требования к конечному пользователю продукта.
Делая коммерческий продукт, вы даже об инсталляторе не подумали... =(
Он продлевает Kerberos билеты заблокированным пользователям прикол тянется от FreeIPA в целом есть контр меры но они мешают работать
"безопасности" ?! друзья вы не обижайтесь, но есть весьма серьёзные вопросы в этом вопросе к ALDPro. Некорректно работающий Kerberos Server, Дефолтные настройки многих компонентов вызывают ужас чего стоит использование протокола NT1 для работы SMB... а дефолтовое подключение любого пользователя к серверам через ssh? многие проблемы могли быть устранены очень быстро ещё 2года назад как только в ТП Астры начали поступать обращения по ним.... исправить быстрее чем писать этот пост.... но прошло уже 4 релиза а воз и нынче там...
Нет, я про то что в РФ нет своих ленточных библиотек. Чего-то куда можно сделать резервную копию и носитель физически отключится от информационных систем, так что он становится недоступен online. т.е. HDD записывается резервными копиями и электрически отключается от NAS ну и далее после исчерпания пула дисков приходит человек и ротирует их
Если добавить в проект механизм автоматического одностороннего извлечения HDD c программным управлением из системы сможете продать схему такого хранилища, какому нибудь производителю в РФ он сделает много, очень много денег на импортозамещении систем для холодного резервного копирования =)
Ну система аутентификации и авторизации особенно в части восстановления доступа на сервисах в РФ это ещё хуже к примеру я ушел пользоваться в gmail т.к. у меня не выходит авторизоваться в своём аккаунте mail.ru, только случайным образом... При том что в каком-нибудь sberID мой отец смог случайно авторизоваться за себя так, что списывались деньги с моего счёта....
Те что тут можно опубликовать нет. С осени прошлого года, появилось два типа сертификатов на тех поддержку. Astra не публикуют в чём отличия в сертификатах технической поддержки "Тип 1" и "Тип 2", но в материалах для партнёров у них есть пояснение о том что Тип 2 предоставляет возможность обновления до новой версии а Тип 1 нет (Если я ничего не путаю). Особенность российского бизнеса... всё супер секретно чтобы никто не догадался.... в общем напишите или позвоните в ТП Астры, возможно хотя бы на такие вопросы они смогут ответить...
Эх вот как-то доступа по NFSv4/SMB очень в решении не хватает....
Объективно нужна, но действительно вклад ГК Астра в ОС мал, на фоне экосистемы Linux. Даже базовый функционалам они не планируют заниматься =( готовы устраивать бесконечные совещания, но не готовы реально что то делать доработки которые требуют менее дня работы невозможно продавить через бюрократическую машину КГ Астра, даже если у тебя за спиной крупная корпорация с деньгами. Увы складывается впечатление что они реально не способны вести разработку ПО,
По вакансиям они не особо ищут программистов С/С++ вообще того на чём можно писать куски ОС у них разработчиком зовётся админ или Питонист, который из готовых кусков собирает сконфигурированный пакет....
Только после покупки доступно в ЛК астры. Ну а также интузиастами то тут то там выкладывается... можно также обновиться с дистриба 2023 =) в \etc\apt\source.list приведи к виду для 1.8 (Debian Bookworm):
#Репозиторий < main >
deb https://dl.astralinux.ru/astra/frozen/1.8_x86-64/1.8.2/uu/1/repository-main/ 1.8_x86-64 main contrib non-free non-free-firmware
#Репозиторий < extended >
deb https://dl.astralinux.ru/astra/frozen/1.8_x86-64/1.8.2/uu/1/repository-extended/ 1.8_x86-64 main contrib non-free non-free-firmware
Или для 1.7 (Debian Buster) к:
#Репозиторий < main > deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-main/ 1.7_x86-64 main non-free contrib #Репозиторий < base > deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-base/ 1.7_x86-64 main non-free contrib #Репозиторий < extended > deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-extended/ 1.7_x86-64 main non-free contrib
и далее выполни обновление: sudo astra-update -A -r -T
инфа от сюда https://wiki.astralinux.ru/pages/viewpage.action?pageId=359040844
не нужно. Зависит от купленной. в 99% не требуется
Не волнуйся суппорт от Астры в целом сводится к "мы тут бабло отмываем не мешай! ты б...я что самый умный?! вопросы про реальное использование системы задавать..."
у ALSE есть "фича" аудит действий пользователя суровый и безпощадный в 80% случаев безполезный от слова совсем..., по умолчанию даже в младшем релизе Орёл всё зачем-то логируется все действия по доступу к файлом убивая SSD и тормозя HDD. Можно если аудит не требуется то выполнить будет веселее:
sudo astra-audit-control disable
Заявление про LTS релиз =))) и вот 25 год.
прошло несколько месяцев с релиза ALSE 1.8.2... ответ от техподдержки:
о поддерживаемых версиях ОС как клиентских... ALSE 1.7.1-1.7.5, 1.7.5.uu.1,1.7.6,1.7.6.uu.1,1.7.6.uu.2,1.8.1
"Согласно п .6.11 Матрица совместимости ПК ALD Pro, ALD Pro версии 2.4.1 не поддерживает версию оперативного обновления ОС Astra Linux Special Edition 1.8.2.uu.1."
Эх... а были же ещё статьи про чудо метод, взлома криптостойких алгоритмов в которых скорость перебора паролей не зависела от используемого алгоритма шифрования и длинны ключа =) и по сей день этот метод взлома позволяет приодолеть практически любую крипто защиту =)))) как бы дорого компания за него не платила...
@alex0x08 Спасибо за статью!
Занимаюсь импортозамещенеим..., ТП AstraLinux полгода пинал на то чтобы что бы они ответили насчёт неадекватного поведения OomKiller`а и зависаний на АРМ`ах, подумали в сторону такого патча т.к. на рабочих станциях (ОЗУ 4-8GB в основном), ответ ТП Астры был что их это не колышет... пользователи не должны открывать по 50 вкладок в браузере... в результате там где проблема совсем острая начали ставить ZRAM как заплатку... Но l9ec явно лучшее решение! У кого есть ТП Астры напишите им ссылку на эту статью....
Не ссы =)))) тут как в анекдоте "Наша кошка в начале держалась от пылесоса подальше, но потом ничего втянулась" =))) Когда ты увидишь какие дыры в безопасности на базовом уровне. Посмотришь на бегающего по офису высоко стоящего руководителя, орущего матом как такое вообще Б..ть возможно!!! испытаешь некоторое расслабление за свои мучения с интерфейсом =))) Руководитель соответственно не ИТ будет а чуть выше =))))
Подобная реализация имеет "небольшую" проблему безопасности: Отключение пользователя в ALDPro не приводит у прекращению возможности его аутентификации и авторизации через KeyCloak. Хоть Астра и предлагает всем связку ALDPro + KeyCloak как рабочий инструмент. Как говорится шеф!!! у нас дыра в безопасности...
Так это и есть папка дефакто.
Увы как только вы коснётесь настроек в ALD она потрёт ручные настройки.... т.е. Samba сервер если вас вариант с ALDPro не устраивает должен быть не как сервис ALDPro. Еслибы сервис в ALDPro был реализован верно то он был бы заметно
удобнееэффективнее того же в Windows. В общем задумка хорошая реализация .... тут без комментариев чтобы никого не обидеть