Это вы немного не понимаете ситуации. Да, серверов GGC стало меньше в РФ (примерно в 2 раза). Да, это вызывает некоторое замедление из-за более частых обращений к холодным серверам YouTube. Но это очень незначительное замедление. Но зато это значительный внешний трафик через западных магистралов, за что надо платить провайдерам денежку.
Поэтому да, любой обход DPI вернет практически всю старую скорость YouTube, но при этом сделает наших провайдеров чуточку беднее.
Вы сейчас путаете 2 механизма. HBAC относится к sssd и pam-стеку и определяет, может ли тот или иной пользователь выполнить логин на тот или иной клиент домена (т.е. хост, вход на который обслуживает sssd). RBAC определяет тоже самое, только через механизм ролей. RBAC - это надстройка над HBAC. Это не подмена понятий, а реализация одной и той же задачи разными подходами. В курсе говорится именно о классическом HBAC
Есть гораздо более простой путь. Например, водородные топливные ячейки. Технология, разработанная ещё для Апполонов в рамках лунного проекта. Для их производства нужна только вода и дешёвая энергия. Сейчас добычу водорода планируют на базе АЭС, но вполне можно использовать и такой тип генерации энергии, если он хотя-бы вполовину так хорош, как описано в статье. Зачем в транспорте что-то сжигать, вроде углеводородов или спирта? Есть вполне современные способы приведения чего-то в движение и без процесса горения.
Можно, просто для ненулевой классификационной метки действуют ограничения, в частности, на fuse. Подключать шары может только администратор, например, через /etc/fstub, pam_mount или autofs. Понятно, что писать на виндовые шары будет нельзя, у них всегда нулевая классификационная метка.
Вот только не надо тут. Союзы 2024 года совершенно не тоже самое, что Союзы 70-х. Это одноразовый корабль. С каждой новой итерацией его модернизируют, ставят актуальную начинку и электронику. Наглядный пример - Союз МС-20 долетает до МКС за пару часов, когда тому же Дракону нужно 2 суток. По факту , Союз - это КК под формфактор ракетоносителя Союз. Пока мы используем РН Союзы, нет никакого смысла менять КК. А Союз сам по себе очень удачный РН среднего класса, давно отработанный, надёжный как швейцарские часы, а потому очень дешёвый. Себестоимость запуска 60 млн. $, что даже Илону Маску с его возвращаемыми ступенями и не снилось.
Что касается Орла, это КК под формфактор Ангары 5. Это сверхтяжелый РН и под другие задачи. Орел, вообще, проектировался под полет на Луну.
Короче, начало использования Ангары и Орла не отменяет Союзы, их ниша ещё долго будет востребована.
Это не так. pdp-init-fs отрабатывает достаточно быстро.
Что касается бэкапирования, то ничего не затирается, метки не хранятся в parsecfs. Тут важно помнить о том, что метки безопасности файлов хранятся в расширенных атрибутах. Что-бы сохранить метки в бэкапе вы должны просто выполнять копирование с поддержкой расширенных атрибутов на файловые системы с поддержкой расширенных атрибутов. Или архивировать в форматы с поддержкой расширенных атрибутов (например, tar). Я не знаю, как у вас организовано бэкапирование. Для восстановления данных с метками нужно включить режим unsafe_xattr.
Короче, нормально с этим всем можно работать, и, в данном случае, нытье о том, какой отечественный линукс хреновый, только говорит о ваших кривых руках
Минимум 3 созвона в день. Каждый день дейли минимум на час (по 1 на отдел, к которому имею отношение). Сделал что-то прикольное, решил сложную задачу? Будь добр, продемонстрируй и доложись (в формате созвона), напиши статью и доку. Потратил 3 месяца на исследование технологии? Следующие 3 месяца ты будешь читать лекции аналитикам, архитектором и кодерам (В формате созвона). Собственно, а работать когда? Сложно работать, когда 4-6 часов в день - это созвоны (и это даже не у менеджера)
А какое отношение это поделие Oracle имеет к KVM? VirtualBox не использует kvm и qemu, а использует собственные проприетарные модули ядра, что, и это абсолютно логично, работает медленнее и с большим количеством багов.
Другой вопрос, что наличие kvm не позволит вам эмулировать на arm x86 архитектуру, это задача эмулятора, т.е. qemu. А, в общем, никаких проблем с запуском виртуальных машин с arm архитектурой на arm нет.
Очень хорошо описано в readme в репозитории bol-van/zapret на github. О том, что такое dpi, на чем основаны методы обмана, какие есть стратегии и прочее.
Выскажу свое мнение, потому как считаю, что автор не полностью раскрыл тему.
1) Официально вы можете поставить на любую машину (Только со встройкой от Intel, другие видеокарты не поддерживаются) только Chrome OS Flex без нативной поддержки Android. Сам Chrome OS распространяется по модели Apple, т.е. сразу на ноутбуках.
Неофициально есть такой проект на гитхабе, как Chrome Brunch, который позволяет накатить полноценную Chrome OS, а так же включает в себя драйвера wifi, фиксы тачпадов, аудио и разные полезные вещи. Но все так-же поддерживается только встройка от Intel.
Есть ещё китайский форк Fyde OS со своей реализацией поддержки Android через виртуальную машину. Там они запили драйвер AMD, что позволяет ставить ее на APU от красных или дискретное видео от AMD помимо все того же интела.
2) Система, как ни странно, очень удобна как для обычного пользователя, так и для разработчика. Для кого она неудобна - это для геймеров, несмотря на поддержку Android. Казалось бы, есть мобильный гейминг, огромное количество игр, но проблема в том, что ПК - это клавамышь, а андроид-игры заточены на тачпад. Разработчики хоть и пытаются сделать маппер клавамыши на события тачпада (arc input overlay), но пока эта технология ещё в преальфе и нигде не работает. А подобный софт для телефона весь собран на ARM64 и на x86 просто не работает.
3) Очень сильно расширяет возможности системы встроенная ВМ с Debian (сейчас 12-м). Реализована она как WSL в Windows, т.е. просто в виде отдельного приложения терминала, который запускаешь и попадаешь внутрь ВМ. Там можно поставить любые linux-приложения, даже с графическим интерфейсом (он будет нативной проброшен в основной рабочий стол), можно накатить докер и развернуть тот софт, которого не хватает в основной системе, например code-server (visual studio code) и пользоваться им через браузер, да в этой виртуалке можно хоть proxmox накатить и разворачивать там другие виртуалки и строить любые стенды.
4) Чтобы полностью удовлетворить мои потребности в качестве рабочей машинки не хватило только одного - ограниченная поддержка проброса usb внутрь ВМ с Debian. По сути, туда можно пробросить только usb mass storage и adb. Fastboot и предзагрузочные последовательные интерфейсы телефона пробросить уже нельзя, а софта, что-бы с ним работать в самой Chrome OS построенной на базе Gentoo нет. Аналогичная ситуация с созданием разделов и форматированием дисков и флешек (сделать можно только в хост-системе, где нет поддержки многих фс, вроде btrfs).
В итоге, система то крутая, но не без минусов и не всем подойдёт. У меня сейчас на ноуте домашнем стоит (Asus Zenbook 13).
Как это проверяется - Читается структура файлов и их хеши с base репозитория астры. После этого эти файлы и хеши сравниваются с текущей инсталляцией дистрибутива. Таким образом, если пакет присутствует в репозитории и он не совпадет по хешам с установленным то будет сразу забракован аттестатором.
И это логично, так как многие пакеты Астры пропатчены для работы с parsec, тот же postgresql, например. Так что вы не можете накатить 25-й докер в Астру или postgresql 17 и не потерять при этом сертификацию. Довольствуйтесь тем, что есть. В этой ветке речь про NUT, который в репозитории присутствует, так что любая новая его версия (с поддержкой snmp v3) ломает хеши.
Если же вы собрали свой пакет, которого нет в репозитории - тогда да, имеете полное право его ставить.
Проблема в том, что установка пакета, присутствующего в репозитории Астры, но из другого источника, другой версии и с другими хешами файлов сразу приводит к несовпадению хешей дистрибутива. На практике это означает, что любой регулятор перестает считать эту систему Aстрой, аттестат и сертификация становятся недействительными.
Проверка хеш-сумм дистрибутива выполняется встроенными средствами Астры с использованием эталонного диска с репозиторием. Это действие явно прописано в любой методичке любого аттестатора.
После скандальной истории с утянутыми у нее 70 ТБ файлов, включая верилоги и проектную документацию ещё не вышедших чипов, и угроз слить это все в открытый доступ, если драйвер не будет вылит в опенсорс. Ну да, по своей воле они бы не исправились.
Явное преимущество Vim становится очевидным при подключении по SSH к удаленным серверам. В таких сценариях VS Code не слишком удобен, в то время как для ввода «vim» с клавиатуры и начала редактирования потребуется всего пара секунд.
Вот честно, https://github.com/coder/code-server вам в помощь. После того, как я открыл для себя этот проект, все консольные редакторы для меня канули в лету. Просто делаете шаблон dev-stand с уже установленным кодсервером и разворачиваете под каждый проект сразу стенд, в котором можно сразу в браузере получить vs code.
Начиная с 6 версии был обновлен стек corosync и снято ограничение на 32 ноды в кластере. Сейчас количество нод теоритически неограничено и упирается в производительность кластерной сети. Те "толстые UDP пакеты", о которых вы пишите - это pmxcfs, которая монтируется в /etc/pve, содержит в себе конфиги proxmox и общая для всех нод кластера. Они периодически генерируют трафик, синхронизируя между собой содержимое этой директории. И чем больше нод, тем больше такого трафика генерируется.
В самом proxmox тестировали максимально 36 нод в кластере и при этом у них вышло 2,5 Гб/с трафика на синхронизацию. Это только на нужды кластеризации, а если у вас ещё оверлейные сети между гостевыми системами - то вам нужна ещё более производительная сеть.
Но, думается мне, 100 Гб/с InfiniBand хватит обеспечить нормальную работу кластеру из 100 нод с оверлейными сетями и хранилками через iscsi.
Это совершенно разные продукты, для разных задач. По каким критериям их сравнивать? Что у них общего? Что они железные и у них есть L3-фаервол? Так это есть и у любого маршрутизатора даже домашнего уровня.
Я руками щупал три из представленных здесь решений, а, конкретно, по Континентам я ещё и сертифицированный инженер.
Ideco и UserGate - это UTM-решения. Это означает, что в одном продукте собран стек решений для организации полноценного шлюза безопасности. Это помимо L3-фаервола ещё анализ L7-сигнатур, прокси-сервер для анализа http-трафика (с вскрытием https, а значит ещё и свой PKI, что-бы выписывать сертификаты для того, что-бы после анализа зашифровать обратно в https), IPS/IDS (детектор атак), часто ещё и обратный прокси, впн-сервер, потоковый антивирус и почтовый антиспам.
В то время, как Континент 3, о котором говорит автор - это решение для организации криптосети. У него строго одна задача - строить высокопроизводительный site-to-site vpn-канал, шифрованный по ГОСТ, с чем он справляется хорошо. Производительность шифрования IPC1000, например, заявлена в 4,5 Гбит/с. А в остальном, это обычный маршрутизатор с весьма скромным функционалом, даже маркировку пакетов не умеет. Поэтому, когда вы покупаете Континент за 500к деревянных вы должны ясно себе представлять, зачем и для чего вы его покупаете.
Что касается начинки. Все представленные решения крутятся на x86. Ideco работает на Fedora, UserGate и Континент - это FreeBSD. У Континента дополнительно установлен "Соболь", это реализация SecureBoot от Кода Безопасности в виде отдельной печатной платы. Так что Континент загрузить в UEFI без ключей на отчуждаемом Rutoken'е нельзя. В памяти Соболя он так-же хранит все ключи шифрования каналов и самого устройства. А если у него установлена роль ЦУС, то и ключи всех подконтрольных ему устройств.
По Ideco и UserGate. L3-фаервол у них на стеке ядра, остальные решения либо OpenSource, либо свои разработки. IPS у обоих - это Suricata, естественно, со своими наборами правил, которые периодически обновляются с серверов вендора. Прокси - это Squid, потоковый антивирус у UserGate свой, у Ideco либо бесплатный ClamAV, либо Каспер (тогда нужна дополнительная лицензия). Антиспам у Ideco - опять Каспер за доп-лицензию, у UserGate свой (к слову, нихрена не работающий на момент моего пилота).
Отдельно, пару слов хочу сказать по поводу Ideco. Парни реально молодцы. Пусть им сильно не хватает функционала, особенно, в формировании отчётов (особенно возмущаются безопасники разбалованные отчётами с CheckPoint), но развиваются они, действительно, очень быстро. Мажорные версии продукта выходят раз в полгода, так что я уверен, что все свои проблемы они исправят за несколько релизов, т.е. в течении ближайших 2-х лет.
Если ты строишь docker-инфраструктуру, то лучшего реверс-прокси, чем traefik ты не найдешь. Хотя бы потому, что основным источником конфигурации для него является сам docker-сокет. Тебе не надо писать простыни конфигов, достаточно у каждого контейнера в разделе labels указать информацию для traefik как и под каким хостнеймом контейнер публиковать.
А мне нравится gnome 3, он удобен, современен, оптимизирован под любой способ ввода, одинаково удобен как для клавомыши, так и для тачскрина. В UX концепция отказа от сворачивания окон взамен предлагая распределять их по динамическим рабочим столам, что очень удобно. Ему достаточно поставить хорошую тему вроде Nordic и расширение для реализации тайлового распределения окон и, вообще, получается конфетка.
Но опять же, это, имхо, мое мнение и мои предпочтения. Многим может не зайти и будет более привычна старая классическая концепция, привитая нам с первых версий windows. С одним рабочим столом, сворачиванием окон в панель задач, классическим меню пуск и нулевой поддержкой жестов. Тогда да, гном не зайдет, но можно всегда поставить KDE plasma, cinnamon или mate.
Telegram и Viber имеют нативные приложения под linux. WhatsApp и Skype - web, обернутый electron'ом. Актуальные версии всего этого на Астре запускаются через snap.
Это вы немного не понимаете ситуации. Да, серверов GGC стало меньше в РФ (примерно в 2 раза). Да, это вызывает некоторое замедление из-за более частых обращений к холодным серверам YouTube. Но это очень незначительное замедление. Но зато это значительный внешний трафик через западных магистралов, за что надо платить провайдерам денежку.
Поэтому да, любой обход DPI вернет практически всю старую скорость YouTube, но при этом сделает наших провайдеров чуточку беднее.
Вы сейчас путаете 2 механизма. HBAC относится к sssd и pam-стеку и определяет, может ли тот или иной пользователь выполнить логин на тот или иной клиент домена (т.е. хост, вход на который обслуживает sssd). RBAC определяет тоже самое, только через механизм ролей. RBAC - это надстройка над HBAC. Это не подмена понятий, а реализация одной и той же задачи разными подходами. В курсе говорится именно о классическом HBAC
Есть гораздо более простой путь. Например, водородные топливные ячейки. Технология, разработанная ещё для Апполонов в рамках лунного проекта. Для их производства нужна только вода и дешёвая энергия. Сейчас добычу водорода планируют на базе АЭС, но вполне можно использовать и такой тип генерации энергии, если он хотя-бы вполовину так хорош, как описано в статье. Зачем в транспорте что-то сжигать, вроде углеводородов или спирта? Есть вполне современные способы приведения чего-то в движение и без процесса горения.
А 15 лет назад, после списания последнего шаттла у них не было ни одного КК. Очень относительная характеристика.
Можно, просто для ненулевой классификационной метки действуют ограничения, в частности, на fuse. Подключать шары может только администратор, например, через /etc/fstub, pam_mount или autofs. Понятно, что писать на виндовые шары будет нельзя, у них всегда нулевая классификационная метка.
Вот только не надо тут. Союзы 2024 года совершенно не тоже самое, что Союзы 70-х. Это одноразовый корабль. С каждой новой итерацией его модернизируют, ставят актуальную начинку и электронику. Наглядный пример - Союз МС-20 долетает до МКС за пару часов, когда тому же Дракону нужно 2 суток. По факту , Союз - это КК под формфактор ракетоносителя Союз. Пока мы используем РН Союзы, нет никакого смысла менять КК. А Союз сам по себе очень удачный РН среднего класса, давно отработанный, надёжный как швейцарские часы, а потому очень дешёвый. Себестоимость запуска 60 млн. $, что даже Илону Маску с его возвращаемыми ступенями и не снилось.
Что касается Орла, это КК под формфактор Ангары 5. Это сверхтяжелый РН и под другие задачи. Орел, вообще, проектировался под полет на Луну.
Короче, начало использования Ангары и Орла не отменяет Союзы, их ниша ещё долго будет востребована.
Это не так. pdp-init-fs отрабатывает достаточно быстро.
Что касается бэкапирования, то ничего не затирается, метки не хранятся в parsecfs. Тут важно помнить о том, что метки безопасности файлов хранятся в расширенных атрибутах. Что-бы сохранить метки в бэкапе вы должны просто выполнять копирование с поддержкой расширенных атрибутов на файловые системы с поддержкой расширенных атрибутов. Или архивировать в форматы с поддержкой расширенных атрибутов (например, tar). Я не знаю, как у вас организовано бэкапирование. Для восстановления данных с метками нужно включить режим unsafe_xattr.
Короче, нормально с этим всем можно работать, и, в данном случае, нытье о том, какой отечественный линукс хреновый, только говорит о ваших кривых руках
Минимум 3 созвона в день. Каждый день дейли минимум на час (по 1 на отдел, к которому имею отношение). Сделал что-то прикольное, решил сложную задачу? Будь добр, продемонстрируй и доложись (в формате созвона), напиши статью и доку. Потратил 3 месяца на исследование технологии? Следующие 3 месяца ты будешь читать лекции аналитикам, архитектором и кодерам (В формате созвона). Собственно, а работать когда? Сложно работать, когда 4-6 часов в день - это созвоны (и это даже не у менеджера)
А какое отношение это поделие Oracle имеет к KVM? VirtualBox не использует kvm и qemu, а использует собственные проприетарные модули ядра, что, и это абсолютно логично, работает медленнее и с большим количеством багов.
Другой вопрос, что наличие kvm не позволит вам эмулировать на arm x86 архитектуру, это задача эмулятора, т.е. qemu. А, в общем, никаких проблем с запуском виртуальных машин с arm архитектурой на arm нет.
Очень хорошо описано в readme в репозитории bol-van/zapret на github. О том, что такое dpi, на чем основаны методы обмана, какие есть стратегии и прочее.
Выскажу свое мнение, потому как считаю, что автор не полностью раскрыл тему.
1) Официально вы можете поставить на любую машину (Только со встройкой от Intel, другие видеокарты не поддерживаются) только Chrome OS Flex без нативной поддержки Android. Сам Chrome OS распространяется по модели Apple, т.е. сразу на ноутбуках.
Неофициально есть такой проект на гитхабе, как Chrome Brunch, который позволяет накатить полноценную Chrome OS, а так же включает в себя драйвера wifi, фиксы тачпадов, аудио и разные полезные вещи. Но все так-же поддерживается только встройка от Intel.
Есть ещё китайский форк Fyde OS со своей реализацией поддержки Android через виртуальную машину. Там они запили драйвер AMD, что позволяет ставить ее на APU от красных или дискретное видео от AMD помимо все того же интела.
2) Система, как ни странно, очень удобна как для обычного пользователя, так и для разработчика. Для кого она неудобна - это для геймеров, несмотря на поддержку Android. Казалось бы, есть мобильный гейминг, огромное количество игр, но проблема в том, что ПК - это клавамышь, а андроид-игры заточены на тачпад. Разработчики хоть и пытаются сделать маппер клавамыши на события тачпада (arc input overlay), но пока эта технология ещё в преальфе и нигде не работает. А подобный софт для телефона весь собран на ARM64 и на x86 просто не работает.
3) Очень сильно расширяет возможности системы встроенная ВМ с Debian (сейчас 12-м). Реализована она как WSL в Windows, т.е. просто в виде отдельного приложения терминала, который запускаешь и попадаешь внутрь ВМ. Там можно поставить любые linux-приложения, даже с графическим интерфейсом (он будет нативной проброшен в основной рабочий стол), можно накатить докер и развернуть тот софт, которого не хватает в основной системе, например code-server (visual studio code) и пользоваться им через браузер, да в этой виртуалке можно хоть proxmox накатить и разворачивать там другие виртуалки и строить любые стенды.
4) Чтобы полностью удовлетворить мои потребности в качестве рабочей машинки не хватило только одного - ограниченная поддержка проброса usb внутрь ВМ с Debian. По сути, туда можно пробросить только usb mass storage и adb. Fastboot и предзагрузочные последовательные интерфейсы телефона пробросить уже нельзя, а софта, что-бы с ним работать в самой Chrome OS построенной на базе Gentoo нет. Аналогичная ситуация с созданием разделов и форматированием дисков и флешек (сделать можно только в хост-системе, где нет поддержки многих фс, вроде btrfs).
В итоге, система то крутая, но не без минусов и не всем подойдёт. У меня сейчас на ноуте домашнем стоит (Asus Zenbook 13).
Именно.
=> "Не замещает системный".
Как это проверяется - Читается структура файлов и их хеши с base репозитория астры. После этого эти файлы и хеши сравниваются с текущей инсталляцией дистрибутива. Таким образом, если пакет присутствует в репозитории и он не совпадет по хешам с установленным то будет сразу забракован аттестатором.
И это логично, так как многие пакеты Астры пропатчены для работы с parsec, тот же postgresql, например. Так что вы не можете накатить 25-й докер в Астру или postgresql 17 и не потерять при этом сертификацию. Довольствуйтесь тем, что есть. В этой ветке речь про NUT, который в репозитории присутствует, так что любая новая его версия (с поддержкой snmp v3) ломает хеши.
Если же вы собрали свой пакет, которого нет в репозитории - тогда да, имеете полное право его ставить.
Проблема в том, что установка пакета, присутствующего в репозитории Астры, но из другого источника, другой версии и с другими хешами файлов сразу приводит к несовпадению хешей дистрибутива. На практике это означает, что любой регулятор перестает считать эту систему Aстрой, аттестат и сертификация становятся недействительными.
Проверка хеш-сумм дистрибутива выполняется встроенными средствами Астры с использованием эталонного диска с репозиторием. Это действие явно прописано в любой методичке любого аттестатора.
После скандальной истории с утянутыми у нее 70 ТБ файлов, включая верилоги и проектную документацию ещё не вышедших чипов, и угроз слить это все в открытый доступ, если драйвер не будет вылит в опенсорс. Ну да, по своей воле они бы не исправились.
Вот честно, https://github.com/coder/code-server вам в помощь. После того, как я открыл для себя этот проект, все консольные редакторы для меня канули в лету. Просто делаете шаблон dev-stand с уже установленным кодсервером и разворачиваете под каждый проект сразу стенд, в котором можно сразу в браузере получить vs code.
По поводу кластеризации Proxmox.
Начиная с 6 версии был обновлен стек corosync и снято ограничение на 32 ноды в кластере. Сейчас количество нод теоритически неограничено и упирается в производительность кластерной сети. Те "толстые UDP пакеты", о которых вы пишите - это pmxcfs, которая монтируется в /etc/pve, содержит в себе конфиги proxmox и общая для всех нод кластера. Они периодически генерируют трафик, синхронизируя между собой содержимое этой директории. И чем больше нод, тем больше такого трафика генерируется.
В самом proxmox тестировали максимально 36 нод в кластере и при этом у них вышло 2,5 Гб/с трафика на синхронизацию. Это только на нужды кластеризации, а если у вас ещё оверлейные сети между гостевыми системами - то вам нужна ещё более производительная сеть.
Но, думается мне, 100 Гб/с InfiniBand хватит обеспечить нормальную работу кластеру из 100 нод с оверлейными сетями и хранилками через iscsi.
Автор сравнивает, извините, мед, говно и палки.
Это совершенно разные продукты, для разных задач. По каким критериям их сравнивать? Что у них общего? Что они железные и у них есть L3-фаервол? Так это есть и у любого маршрутизатора даже домашнего уровня.
Я руками щупал три из представленных здесь решений, а, конкретно, по Континентам я ещё и сертифицированный инженер.
Ideco и UserGate - это UTM-решения. Это означает, что в одном продукте собран стек решений для организации полноценного шлюза безопасности. Это помимо L3-фаервола ещё анализ L7-сигнатур, прокси-сервер для анализа http-трафика (с вскрытием https, а значит ещё и свой PKI, что-бы выписывать сертификаты для того, что-бы после анализа зашифровать обратно в https), IPS/IDS (детектор атак), часто ещё и обратный прокси, впн-сервер, потоковый антивирус и почтовый антиспам.
В то время, как Континент 3, о котором говорит автор - это решение для организации криптосети. У него строго одна задача - строить высокопроизводительный site-to-site vpn-канал, шифрованный по ГОСТ, с чем он справляется хорошо. Производительность шифрования IPC1000, например, заявлена в 4,5 Гбит/с. А в остальном, это обычный маршрутизатор с весьма скромным функционалом, даже маркировку пакетов не умеет. Поэтому, когда вы покупаете Континент за 500к деревянных вы должны ясно себе представлять, зачем и для чего вы его покупаете.
Что касается начинки. Все представленные решения крутятся на x86. Ideco работает на Fedora, UserGate и Континент - это FreeBSD. У Континента дополнительно установлен "Соболь", это реализация SecureBoot от Кода Безопасности в виде отдельной печатной платы. Так что Континент загрузить в UEFI без ключей на отчуждаемом Rutoken'е нельзя. В памяти Соболя он так-же хранит все ключи шифрования каналов и самого устройства. А если у него установлена роль ЦУС, то и ключи всех подконтрольных ему устройств.
По Ideco и UserGate. L3-фаервол у них на стеке ядра, остальные решения либо OpenSource, либо свои разработки. IPS у обоих - это Suricata, естественно, со своими наборами правил, которые периодически обновляются с серверов вендора. Прокси - это Squid, потоковый антивирус у UserGate свой, у Ideco либо бесплатный ClamAV, либо Каспер (тогда нужна дополнительная лицензия). Антиспам у Ideco - опять Каспер за доп-лицензию, у UserGate свой (к слову, нихрена не работающий на момент моего пилота).
Отдельно, пару слов хочу сказать по поводу Ideco. Парни реально молодцы. Пусть им сильно не хватает функционала, особенно, в формировании отчётов (особенно возмущаются безопасники разбалованные отчётами с CheckPoint), но развиваются они, действительно, очень быстро. Мажорные версии продукта выходят раз в полгода, так что я уверен, что все свои проблемы они исправят за несколько релизов, т.е. в течении ближайших 2-х лет.
Если ты строишь docker-инфраструктуру, то лучшего реверс-прокси, чем traefik ты не найдешь. Хотя бы потому, что основным источником конфигурации для него является сам docker-сокет. Тебе не надо писать простыни конфигов, достаточно у каждого контейнера в разделе labels указать информацию для traefik как и под каким хостнеймом контейнер публиковать.
А мне нравится gnome 3, он удобен, современен, оптимизирован под любой способ ввода, одинаково удобен как для клавомыши, так и для тачскрина. В UX концепция отказа от сворачивания окон взамен предлагая распределять их по динамическим рабочим столам, что очень удобно. Ему достаточно поставить хорошую тему вроде Nordic и расширение для реализации тайлового распределения окон и, вообще, получается конфетка.
Но опять же, это, имхо, мое мнение и мои предпочтения. Многим может не зайти и будет более привычна старая классическая концепция, привитая нам с первых версий windows. С одним рабочим столом, сворачиванием окон в панель задач, классическим меню пуск и нулевой поддержкой жестов. Тогда да, гном не зайдет, но можно всегда поставить KDE plasma, cinnamon или mate.
Telegram и Viber имеют нативные приложения под linux. WhatsApp и Skype - web, обернутый electron'ом. Актуальные версии всего этого на Астре запускаются через snap.