Снова привет, Хабр....

В последнее время я слышу про новые отечественные операционные системы, которые обещают перевернуть игру. обычно я просто скипаю но про НАЙС.ОС сложно молчать

Их лендинг: Мы не пересобираем чужие дистрибутивы, у нас Атомарные обновления Immutable-подход Secure Supply Chain Ready for Production.

Я напрягся, когда увидел слова Инновационная ОС и Госреестр в одном предложении. Особенно когда заявлено, что система не является форком, а представляет собой минимальную базу, созданную с нуля. надо бы скачать ISO, запустить виртуалку и проверить: действительно ли перед нами Русский CoreOS/Talos?

Мы не пересобираем чужие дистрибутивы

Скриншот с сайта
Скриншот с сайта


Первое, что бросается в глаза на сайте - громкое заявление:

«NiceOS — не ещё один Linux. Мы не пересобираем чужие дистрибутивы...»

Звучит амбициозно. Заходим на их GitHub. В описании репозитория niceos-docker-image читаем:

«No systemd, tiny deps, tdnf as the package manager...»

Ого, tdnf (Tiny DNF) - это пакетный менеджер из VMware Photon OS. Неужели реально взяли и собрали что-то свое ( Но мы же вроде не пересобираем чужое ) на базе Photon?

Качаю ISO НАЙС.ОС 5.2. Запускаю установку.
И что я вижу?

Anaconda
Anaconda

Это Photon OS Installer, как то не так уж и с нуля.
Ладно, инсталлятор можно взять готовый. Загружаемся в систему.

cat /etc/os-release
лог
лог
NAME="NiceOS"
ID_LIKE="rhel centos fedora"
CPE_NAME="cpe:/o:niceos:niceos:5::baseos"

Строка ID_LIKE="rhel centos fedora" - Система сама признается, что она RHEL-совместимая. Пакетный менеджер внутри - обычный dnf, Система инициализации - systemd.

Вывод: Это форк RHEL/CentOS.

Миф об Иммутабельности

На сайте и в документации нам продают киллер-фичу:

сайт
сайт

«Immutable-подход — базовая система защищена от случайных изменений... Атомарные обновления... Обновления не ломают систему».

Неизменяемость означает, что корень файловой системы (/ или /usr) смонтирован в режиме Read-Only. Вы физически не можете удалить системные файлы, не переведя систему в специальный режим. Так работают Fedora Silverblue, SteamOS, Talos, И много что еще.

Проверяем НАЙС.ОС:

лог
лог
mount | grep " / "

Вывод: /dev/sda3 on / type ext4 (rw,noatime)
Read-Write. Обычная, записываемая файловая система.

Но может, там стоит какая-то хитрая защита на уровне ядра или SELinux, которая не дает трогать систему?
Проводим главный тест на иммутабельность. Слабонервным отойти от экранов.

rm -rf /*

Система начала удалять сама себя. Через минуту я получил Kernel panic, потому что удалил init.

лог
лог

Вывод: Заявления об Immutable и Атомарности - ложь.

Франкенштейн в продакшене

Ладно, допустим, это просто RHEL. RHEL - это надежно, стабильно, скучно.
Но давайте посмотрим на версии пакетов, которые они предлагают для Критической инфраструктуры.

На сайте гордо указано:

  • GCC 14.3.0

  • Glibc 2.41

  • Systemd 257.6

Это Bleeding Edge.

  • В стабильном RHEL 9 используется GCC 11 и Glibc 2.34.

  • Glibc 2.41 - это новейшая библиотека, которая может быть несовместима со старым корпоративным софтом (Oracle DB, проприетарные драйверы, 1C).

  • Вы теряете стабильность Enterprise-дистрибутива (новые пакеты = новые баги)

  • Вы теряете совместимость (софт, сертифицированный под RHEL, может не запуститься на Glibc 2.41).

Вывод 3: Это свежак, это не надежно

Акт 4. GPL ? не, не слышали

При установке нас встречает EULA (Лицензионное соглашение). И там есть прекрасный пункт 2:

пункт 2
пункт 2

«ПОЛЬЗОВАТЕЛЮ запрещается: ...декомпилировать, дизассемблировать или иным образом пытаться получить исходный код...»

дистрибутив состоит из Ядра Linux, Glibc, Systemd, Coreutils. Всё это - программное обеспечение под лицензией GNU GPL.
Лицензия GPL запрещает накладывать ограничения на изучение и модификацию кода.
Пункт 6 лицензии GPLv2 гласит: «You may not impose any further restrictions on the recipients' exercise of the rights granted herein».

Запрещая декомпиляцию ядра Linux, ООО «НАЙС СОФТ ГРУПП» прямо нарушает лицензию авторов ядра. Более того, я не нашел в открытом доступе ни SRPM-пакетов, ни сборочных скриптов для их ISO.
GitHub проекта заполнен форками чужих утилит и Docker-файлами, но исходного кода самой ОС там нет.

Сертификаты и Суверенность

Ну и вишенка на торте. Зачем вообще всё это нужно?
В документации прямым текстом сказано про Russian Trusted Root CA.

На эту тему у меня есть крутая статья
И еще одна даже покруче

Что мы имеем в сухом остатке?

  1. Найсос: это пересборка RHEL/CentOS/Fedora, несмотря на заявления об обратном.

  2. Иммутабельности нет: несмотря на заявления об обратном.

  3. Атомарности нет: несмотря на заявления об обратном.

  4. Стабильность под вопросом: использование свежайших пакетов для серверов.

  5. А ну и: Они не удосужились создать отдельную "компанию" в Github

Выводы делайте сами, удачки.