Работая в российской фирме, занимающейся информационными технологиями для государственного сектора, и прочтя в интернете журналистские публикации о новейшей разработке ОАО «Т-платформы» – рабочей станции «Таволга Терминал TP-T22BT» на базе отечественного процессора Байкал-Т1, мы захотели посмотреть, что же представляет собой это изделие с практической точки зрения, чтобы быть готовыми в нужный момент обеспечить импортозамещение в своей продукции. С этой целью мы обратились в ОАО «Т-платформы» с просьбой предоставить продукцию нам на тестирование. Несмотря на то, что востребованность «Таволги» на отечественном рынке очень велика, и поставки расписаны на многие месяцы вперёд, наша репутация и любезность представителей «Т-платформ» позволили нам оперативно получить для тестирования опытный образец рабочей станции, результатами которого считаем возможным поделиться.
Вот что представляет собой «Таволга Терминал TP-T22BT» по данным производителя:
Форм-фактор: моноблочный
Дисплей: 21.5” (54.6 см), IPS, 16:9, Full HD 1920?1080, светодиодная подсветка
Процессор: Байкал-Т1 (MIPS P5600, 2 ядра)
Память: От 2 до 8 ГБ DDR3
Локальное хранение: 8 ГБ NAND Flash (опция) / 8 ГБ Disk-on-Chip SSD (опция) / 2.5” SATA SSD (опция)
Графический адаптер: SM 750, 16 МБ видеопамяти
Звук: Кодек PCM2912A / Встроенные стереодинамики 2 ? 2,5 Вт
Внешние разъёмы: 4 ? USB 2.0 / 1 х PS/2 / Устройство для работы со смарт-картами / Устройство для работы с картами памяти SD/SDHC/SDXC/MMC/MS / Единый вход 3,5 мм для стереогарнитуры (TRRS CTIA/AHJ) / Разъём для замка Kensington lock
Сетевые возможности: 2 ? 100/1000 Мбит/с Ethernet RJ-45 (8P8C) либо
1 ? 100/1000 Мбит/с Ethernet RJ-45 (8P8C) / 1 ? порт для SFP-модуля (100/1000 Мбит/с)
Поддержка ОС: Дистрибутивы Linux, основанные на Debian
Электропитание: 110—230 В, 50/60 Гц переменного тока
Аксессуары: Клавиатура (проводная, USB) / Мышь (проводная, USB)
Условия эксплуатации: Допустимая температура: от 0 до 40 °C / Относительная влажность: от 20 до 80% без конденсации
Гарантия: 3 года
Предоставленный нам на тестирование образец в ряде моментов отличался от указанных характеристик, но общая идея понятна.
Компьютер «Таволга Терминал» и процессор Байкал-Т1 разработаны в России и производятся в Китае.
Как известно из прессы, компания «Т-платформы», являющаяся независимым разработчиком вычислительной техники, находится под пристальным недружелюбным вниманием правительства США, поэтому работает только с гражданским сектором и поставляет «Таволгу» с предустановленной свободно распространяемой ОС Debian 8 (mipsel). Однако, мы с трудом можем представить себе сценарий использования отечественного компьютера с зарубежной ОС, поэтому мы не стали проводить какие-либо опыты с Debian, а обратились в АО «НПО «РусБИТех», с которым имеем давний опыт совместной работы, и получили у них на тестирование рабочую версию отечественной ОС Astra Linux Special Edition релиза «Севастополь», предназначенного для платформы MIPS. В будущем «Севастополь» должен стать коммерческим релизом защищённой ОС для MIPS, аналогичным «Смоленску» для Intel, а пока что (в январе 2017 года) его разработка не закончена, и он существует в виде рабочих сборок, в данный момент базирующихся на ядре 3.19.
Итак, что же происходит после включения питания?
Процесс загрузки «Таволги» организован с использованием прошитого в системной плате загрузчика U-Boot, интерфейс которого и другая загрузочная информация доступны через специальный нестандартный сервисный разъём. Для конечного пользователя доступен только графический интерфейс ОС, появляющийся после окончания её автоматической загрузки. Чёрный экран после включения сменяется графическим логином Linux.
«Таволга-Терминал» ориентирована на использование в корпоративной среде и не предполагает установку операционной системы силами конечного пользователя. Для переустановки ОС в настоящее время необходим кабель нестандартной распайки, через который текстовая консоль MIPS выводится на другой, сервисный компьютер, а также навыки системного администратора на уровне владения командами загрузчика U-Boot. Пошаманив с загрузчиком, мы смогли запустить инсталлятор Astra Linux. Сам процесс инсталляции выполняется автоматически и принципиально не отличается от релизов «Смоленск» и «Орёл» для платформы Intel.
Загрузившись в Astra Linux, мы попадаем в точно такой же интерфейс пользователя, как в релизах «Смоленск» и «Орёл». Однако, поскольку процессор Байкал-Т1 имеет архитектуру MIPS 32 (el), несовместимую с Intel, то двоичные приложения для Intel Linux выполняться на нём не могут. Необходима перекомпиляция.
Мы без каких-либо сложностей перекомпилировали свои программы, предназначенные для Intel-версий Astra Linux, и смогли их запустить в «Севастополе». Всё работает абсолютно так же, как в «Смоленске» или «Орле» (с учётом, конечно, того, что в текущей сборке «Севастополя» перенесены ещё не все пакеты). Никаких затруднений ни с кодировками, ни со шрифтами, ни с макетами экранных форм – в общем, ни с чем, что обычно подстерегает программиста при переходе с одного дистрибутива на другой. Совместимость между релизами Astra Linux обеспечена на отлично. Важно также, что на данной платформе используется little endian порядок байт (mipsel), соответствующий принятому в Intel.
Единственное, что сразу обращает на себя внимание – это производительность. «Таволга Терминал» позиционируется, как платформа для тонких клиентов, и ни в коей мере не может заменить полноценную рабочую станцию. По результатам синтетических тестов и выполнения практических задач, можно сказать, что быстродействие «Таволги Терминала» отличается от современных рабочих станций Intel на порядок, а на некоторых видах нагрузки и более. Поэтому по-настоящему толстые приложения выполнять на «Байкале-Т1» нереально.
С другой стороны, небольшая производительность системы приводит к низкому тепловыделению. Системный блок пассивно вентилируется и не содержит каких-либо движущихся частей, при работе относительно холоден и совершенно бесшумен.
Мы тестировали «Таволгу» в различных режимах работы тонкого клиента: с перекомпиляцией клиентских приложений в нативный код MIPS, с удалённым запуском с другой машины средствами X window, с доступом через веб-браузер. Во всех случаях производительности вполне достаточно для несложного интерфейса, но крутить какую-то мощную нагрузку с быстрой интенсивной перерисовкой или сложными расчётами не получится.
Итак, «Таволга Терминал TP-T22BT» имеет свои ярко выраженные плюсы и минусы.
Плюсы:
– продукт отечественной разработки, может быть использован при импортозамещении;
– симпатичный дизайн;
– отсутствие движущихся и сильно нагревающихся частей, позволяющее предположить длительную надёжную работу;
– невосприимчивость к распространённым вирусам, ориентированным на платформу Intel;
– невосприимчивость к постороннему программному обеспечению, приносимому корпоративными пользователями, в том числе к попыткам обновления ОС со стороны пользователя;
– предполагаемое отсутствие зарубежных “закладок” в архитектуре;
– полная совместимость на уровне исходного кода с Linux для платформы Intel.
Минусы:
– низкая производительность, делающая невозможным выполнение толстых приложений;
– маленький объём встроенного флеш-накопителя (возможно, этот вопрос будет решён при поставках с SSD);
– обязательность квалифицированного системного администратора для сопровождения парка машин;
– невозможность поставки для использования в военной сфере в связи с ограничениями правительства США;
– некоторые специалисты сочтут минусом невозможность использования ОС Windows.
В целом, на наш взгляд, «Таволга Терминал TP-T22BT» при использовании с ОС Astra Linux – это вполне достойный продукт для рабочего места линейного служащего крупной корпорации, работающего с ресурсами сервера: продавца, операциониста или сотрудника государственного учреждения, а также для рабочего места управления технологическим оборудованием, если оно не требует значительных вычислительных ресурсов. На таком рабочем месте сложно сделать что-то лишнее, что, несомненно, порадует корпоративных системных администраторов.
С другой стороны, заменой домашнего компьютера или мощной рабочей станции «Таволга Терминал» ни в коем случае не является.
Так как корпоративный бизнес вообще мало склонен к инновациям по собственной инициативе, то будущая распространённость систем на базе процессора Байкал-Т1, на наш взгляд, будет, в основном, зависеть от двух факторов: способности производителя нарастить объёмы серийного производства и активности Российского государства в деле ограничения бюджетных закупок отечественной продукцией. По крайней мере, можно определённо сказать, что для Linux-программиста ничего сложного в переходе на эту платформу точно нет.
Комментарии (47)
Captain_Sparrow
12.01.2017 10:58+2Вот если:
производятся в Китае.
то как:
предполагаемое отсутствие зарубежных “закладок” в архитектуре
Если вспомнить компромат, привезенный Сноуденом, то наличие в системе хотя бы монитора DELL с переклеенным логотипом чревато утечкой данных. И это был вероятно неполный и неактуальный список игрушек разведки. Как по мне, до тех пор, пока все комплектующие не будут производится в цехах России, то защищенность информационных гос.систем заведомо будет существовать только на бумаге.
И что действительно мне непонятно, так это:
невозможность поставки для использования в военной сфере в связи с ограничениями правительства США;
Если всё разрабатывается для внутреннего рынка, то какая к черту разница, нравится это загнивающему или нет? Или речь идет об остальных высокотехнологичных комплектующих? Тогда снова возвращаемся к вопросу №1.
Хотелось бы узнать ответы от знающих ситуацию людей.
moonug
12.01.2017 11:34предполагаемое отсутствие зарубежных “закладок” в архитектуре
Проверить, что чип произведенный в Китае, но разработанный в России, не содержит закладок значительно проще, чем проверить, что нет закладок в чипе, от которого нет VHDL.
невозможность поставки для использования в военной сфере в связи с ограничениями правительства США;
был тут постCaptain_Sparrow
12.01.2017 11:41Тогда все проблемы сводятся к одному решению — открытию внутреннего производства. И для безопасности полезнее, и «политически» вернее.
teecat
12.01.2017 11:31– невосприимчивость к распространённым вирусам, ориентированным на платформу Intel;
– полная совместимость на уровне исходного кода с Linux для платформы Intel.
Мне одному кажется, что тут написаны взаимоисключающие вещи? Перекомпилировать код при его полной совместимости — проблема?
На всякий случай — естественно у вирусописателей проблемы возникнут, но точно не по причине трудностей компиляции, так как можно написать управляющую часть трояна и на скриптовом языке
– предполагаемое отсутствие зарубежных “закладок” в архитектуре;
Винчестеры не свои. как минимум в винчестеры привнести спец код можноmoonug
12.01.2017 11:41На всякий случай — естественно у вирусописателей проблемы возникнут, но точно не по причине трудностей компиляции, так как можно написать управляющую часть трояна и на скриптовом языке
Все равно придется делать фактически отдельную реализацию для астры, чтоб как-то обходить мандатное разграничение доступа. Ну и решать проблему с тем, что, как правило, такие системы не подключены к открытому интернету.teecat
12.01.2017 11:45Абсолютно верно, как и доверенную загрузку. Но это все при использовании механизмов защиты Астры или иного другого дистрибутива. К принципиальной защищенности именно платформы это не имеет никакого отношения. Создать троян можно под любую платформу — вопрос в умении пользователя использовать имеющиеся средства защиты (встроенные в ОС или покупные), чтобы не допустить запуска вредоносного кода
vadimr
12.01.2017 11:43Вирусы-то распространяются в двоичном коде, а не в исходном. Чтобы заразить компьютер MIPS, нужно проконтактировать с болезнетворной средой, поддерживающей MIPS, что в наше время большая редкость и, во всяком случае, серьёзно сокращает список возможных доноров. Это ещё менее вероятно, чем подхватить вирус на Маке. Направленная атака возможна, но случайно, на общих основаниях, заразиться нереально.
Винчестеров в Таволге нет, там штатно только флеш-память, причём, как я понимаю, распаянная на плате.teecat
12.01.2017 11:46Не обязательно в бинарном. На вскидку шифровальщик под Линукс был на скриптовом языке. Вызывал штатные утилиты шифрования
vadimr
12.01.2017 11:50Ну какая доля таких скриптовых вирусов в общей вирусной массе? Это, скорее, казуистика, призванная продемонстрировать мастерство автора и поддержать продажи антивирусов под Linux :)
teecat
12.01.2017 11:58Так и самих троянов под Линукс не миллионы
В общем и целом создание трояна — соотношение цена разработки+стоимости внедрения на возможную прибыль. Поскольку как минимум первое время все подобные платформы будут уходить в гос/оборонку/силовые структуры, то вирусы для них напишут. Вопрос, узнаем ли мы о них — чем меньше количество зараженных машин и чем больше качество кода/процедуры внедрения, тем меньше вероятность обнаружения
lelik363
12.01.2017 12:25+2Таволга изнутри. Фото с выставки.
ESelin
12.01.2017 12:59+2Сколько тут «отечественного»?..
Разработка дизайна платы и процессора. Всё?
Обвязка (начиная с тех же резисторов) — вся импортная.
Собрка/пайка хоть на месте происходит? Или тоже в Китай вынесли?
И ещё интересно — какой смысл в таком мощном вентиляторе на таком маленьком радиаторе?..vadimr
12.01.2017 13:07-1Насколько я понял, в серийных образцах вообще нет вентилятора. Видимо, тут какой-то опытный образец микросхемы.
avsavchenko
12.01.2017 12:11+4свободно распространяемой ОС Debian 8 (mipsel). Однако, мы с трудом можем представить себе сценарий использования отечественного компьютера с зарубежной ОС, поэтому мы не стали проводить какие-либо опыты с Debian, а обратились в АО «НПО «РусБИТех», с которым имеем давний опыт совместной работы, и получили у них на тестирование рабочую версию отечественной ОС Astra Linux Special Edition релиза «Севастополь», предназначенного для платформы MIPS. В будущем «Севастополь» должен стать коммерческим релизом защищённой ОС для MIPS
Друзья, простите, но такого бреда я ещё не видовал
"Отечественный компьютер", каков процент локализации? Все ли схемы/компоненты разрабатывались в РФ?
"зарубежной ОС" — эта ОС мировое достояние в которую вносили и вносят вклад в том числе и отечественные разработчики
"отечественной ОС Astra Linux Special Edition" — это пункт вообще сказка, и меня как члена организации FSFE более всего вызывает негатива, т.е. это то что создано мировым сообществом по вашему "зарубежной ОС" доработана локализация, написано пару проприетарных приложений, но целом целом закрытый проект. Т.е взяли свободную ОС и в нарушении всех свободных лицензий взяли и сделали коммерческую ОС.
Я не против заимствования "зарубежной ОС", а против этой лжи и обмана, против воровства. Сделайте свои закрытые пакеты с нескучными обоями и улучшенной локализацией. Но не преподносите кастомизированную свободную ОС по вашему "зарубежной ОС" с написанием проприетарного софта и в нарушении свободных лицензий как "отечественной ОС"
ESelin
12.01.2017 12:15Что-то уж больно мне эта ситуация напоминает разработку SECAM стандарта вещания… Вот только SECAM разрабатывали «в нужное время» и он был востребован. И он был лучше имеющегося NTSC.
vadimr
12.01.2017 12:15SECAM разработан во Франции.
ESelin
12.01.2017 12:55СССР выбрало SECAM стандарт в 1965 и долго пилило, в то время как уже в 1966 году был принят стандарт PAL, который и стал стандартом де-факто фактически во всём мире (кроме США, Канады и Японии — у них уже был широко распространён NTSC).
Суть моего сообщения в том, что SECAM был хотя бы конкуретноспособным… А здесь?
Нечто медленное, не совсем «своё» и дорогое. Кроме как военное применение я не вижу смысла в этой разработке.
Впрочем — «если что-то делают — значит кто-то готов это покупать».
Возможно, власти обяжут учебные заведения покупать эти системы и учить детей-студентов именно работе с «отечественной» ОС на «отечественных» ПК.
Заодно и специалисты местные станут ценны только в этой стране…
Так что с точки зрения государства — да — смысл есть, пожалуй. Вот только хватит ли у государства терпения и ресурсов воплотить всю эту политику в жизнь?
shifttstas
12.01.2017 12:26+1. Однако, мы с трудом можем представить себе сценарий использования отечественного компьютера с зарубежной ОС,
т.е это вообще нельзя использовать обычным пользователям толькопрокаженнымгос-сектору?
Но потом вы пишите
– продукт отечественной разработки, может быть использован при импортозамещении;
В минусах я не увидел главные минусы:
— Очень дорого, можно найти достойную замену дешевле
— Все данные которые хранятся на машине доступны спец-службам по умолчанию, из-за шифрования с закладками.vadimr
12.01.2017 12:35У меня нет данных по ценам на серийную продукцию, поэтому я не могу проводить сравнение стоимости. Но предполагаю, что мелкосерийная продукция будет дороже крупносерийной. Как инвестиция личных средств, такое приобретение нецелесообразно, но как расходование государственного бюджета, оно выгодно, так как большая часть прибавочной стоимости остаётся внутри страны. Я сразу написал, что это не для домашнего пользователя.
Шифрование вы можете применять такое, какому доверяете. Astra Linux поддерживает как отечественные, так и зарубежные алгоритмы.shifttstas
12.01.2017 12:39но как расходование государственного бюджета, оно выгодно, так как большая часть прибавочной стоимости остаётся внутри страны
А там не как в байкале — свой CPU а всё остальное не своё?vadimr
12.01.2017 12:45Затрудняюсь подробно ответить, я внутрь корпуса не залезал. По заявленям разработчика, процессор и материнская плата разработаны в России. Даже если вся мелкая комплектуха там зарубежная, то всё равно наиболее сложные компоненты дают наибольшую прибавочную стоимость.
moonug
12.01.2017 13:52Очень дорого, можно найти достойную замену дешевле
Все так. Как и в случае с эльбрусом, это все для специфических задач. В обычном случае это пока не нужно.
Все данные которые хранятся на машине доступны спец-службам по умолчанию, из-за шифрования с закладками
Вы не могли бы поподробнее осветить тему?shifttstas
12.01.2017 15:19В топике по соседству у авторов хрома с поддержкой ГОСТ шифрования я добивался доказательства об отсутствии закладок в криптографии — не получил. Так же международного аудита шифра проведено не было. Насколько мне известно, раньше при сертификации криптографии у органов условием получение сертификата было возможность расшифровки кем надо.
moonug
12.01.2017 21:19Хм.
Вроде вот один из самых подобравшихся к взлому госта от 89 года. И Шнайер в своей книжки пробегается по госту. И турк какой-то его, вроде, ковырял.
Если кратко — математически шифр взломан, практически — не хватит времени и памяти на взлом.
А с органами вопрос в том, где Вы берете ключи :).
Использовать для себя вполне безопасно.shifttstas
13.01.2017 01:57Вот собственно хотелось бы раскрыть эту тему, вы случаем не знаете много о ГОСТ шифрованиях? хорошая статья бы получилась…
moonug
13.01.2017 09:17Что понимать под словом «много»?
Мне, как и Вам, доступно описание шифра ГОСТ 28147-89, это если про старый. Есть еще условно новый ГОСТ Р 34.12-2015. Статей про ГОСТ 28147-89 на хабре хватает, например вот и продолжение.
Или Вы в каком-то другом разрезе интересуетесь?shifttstas
13.01.2017 21:31В разрезе методов закладок и заведомо слабых мест на которые будет идти атака. т.е сравнение ситуации: увас на ПК зашифрованы два файла, первый blowfish (например) либо любой популярный шифр из VeraCrypt а второй файл — вот этим гостовым шифром. Файлы с ПК попадают в органы и им требуется их расшифровать, вот тут можно начинать статью с причинами в какой ситуации у них это получится или нет
moonug
14.01.2017 01:29С гостом все просто — если S-блоки и ключи желающему расшифровать не доступны, то, как минимум пока, можно только грустно смотреть на шифротекст.
А с уязвимостями в реализации ничего сделать нельзя, совершенно неважно про какой алгоритм мы рассуждаем. Если используется недоступная для анализа реализация, опять же совершенно неважно чья, то все упирается в доверие автору. Для домашнего применения логичней, конечно, доверять чему-то вроде openssl. А для сертифицированного применения разговор совсем другой, и к закладкам и заранее известным слабым местам никакого отношения не имеет.
Что-то мне подсказывает, что руководящие документы с подробностями сертификации — ДСП, но все, что мне доводилось видеть, мягко говоря, вызывает подозрение в особо запущенной паранойе авторов и разработчиков. Вплоть до запретов на защиту криптографией определенной информации. В том смысле, что для нее криптография считается недостаточной, потому применять надо другие способы.
Поэтому для «домашнего применения» гост неплох, есть у него преимущества в дизайне, которые задуманы для упрощения и ускорения реализации.
Ну и это, не складывайте все яйца в одну корзину :).
thathorizon
12.01.2017 12:46+3Честно сказать, не могу придумать юзеркейса для этого ПК в гражданской сфере. В военной, где нужно сертифицированное ПО и тд может быть. Но для гражданского использования гораздо проще и дешевле купить обычный компьютер.
Хотя, конечно, если вопрос ребром стоит об «импортозамещении» то да, применимо. Но явно обычный бизнес не будет так сильно заморачиваться. Только государственные учреждения, но пользоваться будут «сквозь боль и страдания».nidheg666
12.01.2017 15:22пожалейте нервы сисадминов госучреждений… представьте сколько нервов им понадобится для переобучения тёток, не желающих признавать даже win 7 пожилых барышень. и да… им придётся поднимать зарплаты… и да, деньги на закупку нового оборудования… за всё это будут платить налогоплатильщики…
quwy
13.01.2017 02:26+1Взять открытую систему, запроприетарить ее в нарушение лицензии, и назвать Севастополем… Как символично.
moonug
13.01.2017 09:26Насколько мне известно, открытые части доступны. Нет исходников только от самописных частей, да и то не от всех. Претензии к русбиттеху, конечно, были, но по части ограничений на распространение.
jknight
Смотрится, честно говоря, как Болгенос на компьютере Попова.
А если серьезно, довелось мне как-то раз вплотную пообщаться со Astra Linux Special Edition, и это был, наверное, худший опыт общения с Linux за все время работы. На всех уровнях — от закупок лицензий до компиляции софта. Если у кого-то есть возможность — БЕГИТЕ, ГЛУПЦЫ!
vadimr
Закупить лицензию на Special Edition раньше, действительно, было не так просто, так как требовалось участие военной приёмки (сейчас такие требования отменили). А в плане компиляции, в чём могла быть проблема? Вполне дружественный к разработчику дистрибутив, по сравнению с каким-нибудь SLE — так просто рай для программиста.
jknight
В закупке я непосредственно не участвовал, но отчетливо помню, что от момента «надо закупать дистр» до «оп, у меня в руке диск» прошло не менее полугода, а от людей, которые этим занимались, я регулярно слушал отборный мат — то документы с той стороны не согласовали, то, гхм, в письме печать/подпись поставить забыли, то прыщи на ж*…
Что касается непосредственно работы с софтом, две проблемы.
Одна — простой и быстро решаемый, но сходу удивляющий геморрой, который выражается в отсутствии gcc и make не только в базовой установке, но и на диске с ОС. Компилятор надо покупать на втором диске, который продается отдельно :) А если вдруг купил первый, но не купил второй, то после установки получишь систему, на которой даже VirtualBox's Guest Additions не запустить. Интересно, а они сами когда-либо пробовали работать с ОС Linux без компилятора?
Вторая очень специфическая. Возникла необходимость пересобрать ядро с определенными ключами — увеличить максимальный размер выделяемой непрерывной физической памяти(kmalloc), т.к. требовался большой DMA-буфер, а переписывать железяку для работы со scatter-gather соисполнителям было лень. Решается сие добавлением одного-единственного параметра компиляции к ядру(FORCE_MAX_ZONEORDER вроде). Попытка самостоятельной пересборки обвалилась - новое ядро отказывалось грузиться дальше логин менеджера, и все тут. Позвонили в техподдержку, а они нам сообщили, что у них Своя(тм) система сборки ядра, и без нее ничего не заработает, и попросили 10 миллионов рублей (sic!) для разработки персонализированной версии Astra Linux…
Добавлю тут же, что если средняя офисная работница вдруг вместо красивой десяточки увидит богомерзкий интерфейс Fly, который выедает глаза подчистую, делаю ставку, что убежит и спотыкаться на бегу будет. Вот почему, почему не использовать те же XFCE/LXDE/MATE/...? NIH?
vadimr
Оба Ваших замечания – не по адресу. Astra Linux Special Edition является закрытой программной средой, прошедшей сертификацию именно в том виде, в каком она поставляется. За это и платятся деньги. Компиляция любых новых программ, а тем более пересборка ядра, нарушает неприкосновенность среды и автоматически отменяет сертификацию.
Поэтому средства разработки поставляются на отдельном диске, который сам не является частью сертифицируемой системы и не предназначен для поставки на защищаемый объект. Предполагается, что вы у себя с помощью этого диска разработаете программу, отдадите её на сертификацию, и конечному пользователю, нуждающемуся в защищённой ОС, передадите два сертифицированных продукта – дистрибутивный диск Astra Linux SE и бинарник своей программы. И пользователь будет не в состоянии менять каким-либо образом исполняющийся у него доверенный код.
Для тех вещей, о которых Вы говорите, предназначена Astra Linux Common Edition, которая заодно бесплатна. А менять код и при этом представлять дело таким образом, что вы по-прежнему используете сертифицированную систему – это было бы просто жульничество.
ivkomn
Но это же терминал, зачем сложности с gcc каким-то… кто он вообще такой и куда пошёль.
У меня на домашнем ноуте нет gcc, потому что у меня не Slackware и не Gentoo, а, простите, Ubuntu LTS. Да, раньше(лет 10 назад) была необходимость что-то опилить, сегодня многое работает из коробки и хорошо.
vadimr
Вполне возможно, что, исходя из Вашей задачи, Вас сертификация не интересовала, и защищённость Вам не была нужна. Но дистрибутив SE организован таким образом, чтобы иметь возможность решать все эти вопросы.
jknight
Согласен с данным замечанием. Но в таком случае все такие моменты должны быть строго описаны в ТЗ(вместо просто указания версии ОС), а иначе все это смотрится как аккуратно поставленные грабли перед лбом разработчика, причем неочевидные и ни разу не необходимые. Человек, к примеру, занимающийся разработкой прошивок для устройств под проект, или каких-либо конкретных программ, не обязан знать юридические подробности и тонкости сертификации используемой ОС, и узнает об этом он, только прочитав ТЗ либо сопутствующую документацию (если там, конечно, что-то по этому поводу имеется). Вообще, данное знание находится на пару-тройку уровней иерархии выше. Узнать о подобных граблях за три месяца до сдачи двухгодового проекта - то еще удовольствие. Почему за три месяца? Гхм, я во втором своем посте в начале об этом написал :)
И если первые грабли скорее назойливы(скорее, даже придирка с моей стороны), то вторые представили реальную проблему, которую без излишнего костылирования и отказа от части функциональности решить так и не удалось.
P.S. Нет, я не знаю, где здесь конкретные претензии непосредственно к Astra Linux SE. Претензии скорее направлены на организацию работы как таковой.
vadimr
На втором диске в дистрибутиве SE записана документация, весьма подробно описывающая средства защиты. Другое дело, что в Вашем случае чтение документации Вам бы просто подтвердило то, что Вы и так поняли.
Я бы скорее классифицировал описанную Вами ситуацию, как несовместимость Astra Linux с определённым типом оборудования, а не как проблемы со средствами разработки. Вопрос совместимости с железом, действительно, может при определённых обстоятельствах возникать у любой версии Linux и, тем более, он актуален для такого небольшого и специализированного дистрибутива, как Astra Linux.
moonug
Если разработка идет под защищенную ОС, то, видимо, планируется получать сертификат на результат этой разработки, что автоматически означает — разработчик должен знать и некоторые нормативные документы и подробности процесса сертификации.
Ну и да, это, естественно, должно быть в ТЗ. Как минимум, какую сертификацию и на что планируется проходить.
asasasdd
Отсутствие в составе сертифицированного дистрибутива ОС средств разработки и отладки является одним из требований при прохождении сертификации. Перекомпилировать ядро сертифицированного дистрибутива = выпустить новый дистрибутив с проведением его повторной сертификации во всех системах сертификации. Поэтому вам и объявили соответствующую стоимость.
Если в качестве платформы для своего ПО вы использовали Astra Linux SE, то скорее всего вам нужно было разработать решение, которое должно было пройти сертификацию. Для осуществления данной деятельности у вашей компании должна быть лицензия (а может даже и не одна), выданная одним из регуляторов. Волей-неволей, но в вашей компании должен быть человек, который знает юридические подробности и тонкости сертификации и который должен участвовать при построении процесса разработки таким образом, чтобы данный процесс завершился успешным результатом — сертификатом.
moonug
У меня довольно обширный опыт разработки именно под разные варианты сертифицированных ОС. AstraLinux SE — лучшее, что мне встречалось из них.
Да, разработка под SE требует специфических навыков, нужно и проектировать не так, как обычно, но безопасность она такая, как правило удобства не добавляет.