Безопасная эксплуатация ноутбуков, или Защита пользовательского ключа с помощью USB-токена на примере Рутокен ЭЦП 3.0

Из второй части мы узнали, как настроить загрузку компьютера таким образом, чтобы для разблокирования системного диска использовались ключи, размещенные на внешнем USB-накопителе. Однако при краже компьютера вместе с этим накопителем злоумышленник сможет получить доступ к данным так, как если бы они не были защищены вовсе, поэтому наиболее привлекательным способом решения поставленной задачи видится использование USB-токенов и смарт-карт, таких как Рутокен ЭЦП 3.0 или JaCarta-2 ГОСТ. Токены представляют собой защищенные микроконтроллеры со встроенной энергонезависимой памятью, поэтому способны выполнять все вычисления самостоятельно без использования ресурсов центрального процессора, не допуская копирование закрытого ключа с устройства, что обеспечивает максимально высокий уровень безопасности.

Безопасная эксплуатация ноутбуков, или Защита мастер-ключа LUKS с помощью пользовательского ключа на USB-накопителе

Как мы уже знаем из первой части, система LUKS подбирает параметры хеширования ключей таким образом, чтобы для проверки одной парольной фразы нужно было не менее секунды, в связи с чем для взлома пароля длиной 8 символов требуется более ста миллионов лет. Однако рост производительности CPU/GPU и развитие квантовых технологий может привести к тому, что лет через десять текущие оценки окажутся неактуальными, поэтому с учетом будущих угроз длину пароля можно увеличить, и LUKS позволяет использовать фразы длиной до 512 символов. Тем не менее, каждый дополнительный символ существенно усложняет пользовательский опыт и повышает шансы того, что пользователь просто забудет свой пароль и потеряет доступ к данным. Сегодня мы покажем, как можно защитить мастер-ключ LUKS с помощью случайного пользовательского ключа, который трудно подобрать, легко потерять и невозможно забыть.

В этом цикле статей мы подробно рассмотрим технологию LUKS с позиции системного администрирования и способы защиты мастер-ключа, в том числе и с использованием алгоритмов ГОСТ Р 34.10-2012 на Рутокен ЭЦП 3.0. Материал прошел обсуждение в фокус-группе нашего сообщества ALD Proфессионалов и будет включен в содержание открытого курса по службе каталога ALD Pro. Возможности повысить квалификацию в объеме 16 академ. часов не обещаем, но вкусных буковок будет много.

Всем привет!
Меня зовут Хрулев Иван, я ведущий менеджер продукта Astra Automation.
Мы с командой создаем платформу, позволяющую закрыть все ключевые задачи автоматизации на ИТ-инфраструктурах любых масштабов.

За последние годы автоматизация стала «базой»: без неё невозможно ни масштабирование, ни стабильная эксплуатация, ни предсказуемая безопасность. 
При этом многие команды до сих пор живут в мире разрозненных скриптов, ручных операций и инструментов, которые сложно поддерживать и развивать.
В этой статье я расскажу, как новая версия Astra Automation 2.0 меняет сам подход к автоматизации и почему платформа сегодня выглядит совсем иначе, чем раньше.

Привет, Хабр! Сегодня хочу поделиться опытом того, как я отказался от стандартной утилиты мониторинга SSSD в пользу прямого общения с демоном через D-Bus и создал полнофункциональный Ansible-модуль.

Привет, Хабр! Я Дмитрий Смотров, тружусь бэкендером в Astra Linux в команде продукта ACM — микросервисной системе, разворачиваемой на клиентских мощностях. Мы позволяем удаленно управлять клиентской инфраструктурой. Сначала я разрабатывал функциональность снятия инвентаризации и удаленного выполнения команд установки и удаления ПО, но в один момент моя жизнь резко изменилась. На проекте возникла необходимость в функциональности красивой и настраиваемой отчетности, в чем я увидел возможность проверить себя в новой для себя области. Я вызвался разобраться и помочь продукту стать еще лучше.

Под катом расскажу о том, с какими трудностями столкнулся в процессе, как я их решал и что в итоге получилось. Приятного чтения :-)

24 октября русской матрешке исполняется 125 лет. Давайте отбросим сувенирный флер и посмотрим на этот артефакт глазами айтишников. Что увидели разработчик, тестировщик, DevOps, продакт и техпис? Спойлер: это шедевр инженерной мысли.

Всем привет! Меня зовут Бороздин Филипп, я разработчик платформы GitFlic.

Вместе с командой мы создаем продукт, включающий в себя все возможности Git, автоматическое тестирование и анализ кода, CI/CD, реестр пакетов, а также множество других фич, с полным списком которых вы можете ознакомиться на сайте нашей платформы.

В данной статье я расскажу вам, как мы оптимизировали процесс загрузки артефактов CI/CD, используя чанковую загрузку.

Привет, Хабр! C вами сегодня Владимир Кудрявцев, Илья Князев и Иван Пономарев.

Дело было вечером, дебажить было нечего. К нам пришел Анатолий, менеджер продукта ALD Pro, и попросил разобраться, с чего это Linux приходит в такую задумчивость от недоступности первых двух DNS-серверов, в то время как Windows вполне нормально справляется с таким сценарием. «Да, как два байта переслать», – подумали мы. И начался квест длиной в две недели.

Материалы будут полезны, даже если вы все ещё используете обычные Linux-системы с ванильными версиями компонентов.

Привет, Хабр!

Сегодня мы предлагаем погрузиться во внутреннюю кухню протокола SSH, заострив особое внимание на его интеграции с доменом FreeIPA. Настройка такого взаимодействия будет интересна администраторам, привыкшим к централизованному управлению Windows-серверами и рабочими местами, входящими в состав MS AD. Развитие нашей продуктовой линейки включает глубокий анализ технологического стека, и мы хотим поделиться с читателями результатами своих исследований.

Как известно, время — деньги, поэтому инженеры стараются настраивать удаленный доступ везде, где только можно, чтобы ничего не администрировать ногами.

Помните те времена, когда игры помещались на дискету, а графика была настолько блочной, что героя можно было спутать с грудой разноцветных квадратов? Когда пароль на 20 символов записывали в тетрадку, а звуки 8-битного синтезатора казались саундтреком будущего? Старые видеоигры — это не просто ретро, это целая эпоха. Они были проще, но в этой простоте скрывалась магия, которую сегодня не всегда могут повторить даже игры с фотореалистичной графикой.

В статье придаемся воспоминаниям, а в конце рассказываем, как и во что можно играть на ОС Astra Linux SE.

Ansible — один из самых популярных инструментов автоматизации, но многие до сих пор используют его, ограничиваясь лишь командой ansible‑playbook. С 2012 года Ansible вырос из простого инструмента в мощную экосистему, решающую проблемы с зависимостями, тестированием и централизованным управлением. Если вы все еще боретесь с конфликтами версий Python на хосте или пишете Ansible‑контент без тестов — эта статья для вас.

Мы разберем современный инструментарий Ansible — от Execution Environments и Ansible Navigator до Event Driven Ansible и AWX. Вы узнаете, как эти компоненты превращают Ansible в полноценную платформу автоматизации, готовую справляться как с задачами небольших команд, так и с вызовами крупных компаний. А для начала немного истории, ведь название Ansible пришло к нам прямиком из научной фантастики...

Всем привет!

Сегодня поговорим об использовании технологии VMware HotAdd модулем rb_module_vmware СРК. Эффективном методе резервного копирования виртуальных машин без нагрузки на сеть и с минимальным временем простоя.

Часто при обзорах эффективности работы СРК можно услышать, что система настроена на максимальную скорость создания резервных копий.

Этому есть свое объяснение: в ЦОД окно резервного копирования стараются сделать максимально коротким, потому что в процессе создания резервных копий задействуется большой пул ресурсов, а это может привести к деградации производительности продакшн-сервисов.

С другой стороны, время восстановления какого-либо ресурса из резервной копии может быть еще более важным, так как фактически это может быть временем даунтайма сервиса.

Увеличению скорости и уменьшению времени восстановления серверов OpenStack и посвящена данная статья.

Поиск работы в IT-сфере — это не просто процесс, а целое приключение, полное вызовов и возможностей. В этой статье я поделюсь не только своими наблюдениями и опытом, накопленным в роли лида средней кроссфункциональной команды в «Группе Астра», но и мнениями тех коллег и кандидатов, что прошли этот непростой путь.

Весной 2022 с уходом западных облачных вендоров стало понятно, что старые подходы больше не работают: нужна своя платформа, своя архитектура и полный контроль. Мы решили построить облачную платформу с нуля — и пошли по самому сложному пути. В статье — инженерные компромиссы, разбор альтернатив и архитектурные принципы, с которыми мы пришли к собственной облачной платформе.

Привет, Хабр! Я Данил и я разработчик проекта Termidesk Assistant. На нашем проекте мы успешно используем технологию WebRTC, а еще ее используют такие технологические гиганты, как Google Meet, Microsoft Teams, Discord и многие другие.

Хотел бы поговорить о наболевшем, а именно о тех проблемах, с которыми я успел столкнуться, но почему мы все равно остановились на этой технологии. Возможно даже страница будет расширяться теми шишками, которые на меня упали по ходу движения через этот темный лес. Если вы планируете начать проект, который передает аудио и/или видео и ищите открытую технологию для него, ну, и для тех, кто просто интересуется и изучает этот стандарт, то это статья для вас.

RunIT мы обычно не пропускаем и 2025 год не стал исключением. 13 июля мы снова участвовали в командной эстафете и на этот раз беговой клуб «Астра» доказал, что в IT-индустрии бегают не только за дедлайнами, но и за победами!

На прошедшем фестивале RUNIT BY AGIMA мы сделали настоящий прорыв и взяли золото в командном зачёте на дистанции 5 км!

Рассказываем, как это было.

В статье вы найдете краткий обзор подсистемы регистрации событий - собственной разработки команды ОС Astra Linux.

Всё, что будет описано ниже, актуально для самой новой на момент написания статьи версии Astra Linux Special Edition - 1.8.2.

Поехали!

Привет всем, кто заботится о сохранности данных виртуальных машин (ВМ) и не хочет их потерять. Сегодня мы рассмотрим тему бэкапа ВМ на платформе виртуализации oVirt и oVirt-подобных: ROSA; zVirt, РЕД Виртуализация и HOSTVM. Далее в статье, когда будет идти речь о oVirt, подразумевается, что речь будет идти обо всех этих платформах.

Для этого будем использовать систему резервного копирования (СРК) RuBackup.