Пройдясь по первой части - серверному железу и проблемам общего плана с ним, попробую описать проблемы на уровень выше, по импортозамещению операционных систем в малом и среднем сегменте рынка. Чем планируется импортозамещать z/VM и AIX - я пока не знаю, но мне и не надо.
Рассуждая про импортозамещение, зачастую импортозамещение приравнивается к замене Windows на Linux, а дальше "как на обычном Linux, только лучше, потому что поддержка же будет на русском, ведь будет же? Скайуокер и Амидала.жпг". Если верить маркетингу. Давайте проверим. В левом углу ринга в красных трусах Debian, в правом углу в синих - как бы его форк/дериватив Астра линукс.
Debian.
Лицензирование. На первой странице, просто - free for all. Все.
Установка. Снова просто: Documentation - Installation Guide. Там же список поддерживаемого оборудования (специфичный, конечно), но есть с чего начать. Скачивание - пожалуйста, десяток вариантов, от микро образа до полных DVD. Сообщество, рассылки, багтрекер. Скачиваем, ставим в виртуальную машину, используем для своих задач.
Астра.
Глава первая, в которой автор пытается найти лист совместимости.
Начну с сайта, https://astralinux.ru/
Иду в раздел Совместимое оборудование –сервер – выбираю любого вендора в фильтре и происходит .. ничего. Кнопка применить находится в самом низу - после всех прокруток. Ищу процессоры – фильтра по процессорам нет. Зато микрофонов- два, гарнитур – три.
На самом деле фильтр по процессорам есть, просто он размещен ниже фильтра по серверам, и не работает.
Понять назначение ниже лежащих фильтров мне не удалось.
Поиск по слову “NVME” нашел нечто, нигде кроме сайта Астра не встречающееся. Кажется, это сервер, но не сервер, и без NVME. EPYC NVMe 1C HSC. Удивительно, но факт: у серверного процессора AMD EPYC™ 7232P из линейки 7002 указано отсутствие поддержки виртуализации. Очень странно, если сравнить с SUSE.
С подбором совместимого оборудования явно будут сложности.
Глава вторая, в которой автор пытается найти дистрибутив, а вместо этого читает условия лицензии.
Иду в продукты – читаю красивую плашку, жму "узнать больше" – читаю про Орел – Воронеж – Смоленск .. Дистрибутива нет.
Листаю, листаю, есть даже раздел «обучение» - без ссылок (потому что кнопка «обучение» - сверху справа), долистываю до лицензионных соглашений, открываю соглашение с конечным пользователем – читаю:
ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ С КОНЕЧНЫМ ПОЛЬЗОВАТЕЛЕМ
Настоящее лицензионное соглашение с конечным пользователем (далее - Соглашение) заключается между Обществом с ограниченной ответственностью «РусБИТех-Астра» (далее – Компания) и Вами - юридическим лицом
Пользователь» («Вы») – юридическое лицо, орган государственной власти или индивидуальный предприниматель, который приобрел ПО для собственного использования .. Лицензия на ПО не предоставляется физическим лицам.
Дальше тоже много интересного -
2.8. В случае предоставления ПО отдельно от Устройства, Пользователю предоставляется право однократной записи в одну энергонезависимую память Устройства
У меня на сервере минимум 9 этих самых устройств - 8 дисков на передней панели и raid кеш с батарейкой. Это что, можно один раз поставить на 1 диск? А потом? Для переустановки в случае выхода из строя диска новую лицензию покупать?
Ладно, бог с ним со спецназначением. Есть же Common edition!
ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ С КОНЕЧНЫМ ПОЛЬЗОВАТЕЛЕМ
Операционная система общего назначения «Astra Linux Common Edition»
1.6. Срок, на который предоставлено право использования, размер лицензионного вознаграждения, а также объем и способы использования ПО определяются соответствующим договором между Пользователем и Компанией или Партнером Компании. Лицензионное вознаграждение по Соглашению Пользователем не уплачивается. При этом лицензионное вознаграждение за использование ПО может быть уплачено Пользователем по условиям отдельных договоров, заключенных Пользователем с Компанией или Партнером Компании.
Так уплачивается или не уплачивается?
2.6. Компания предоставляет Пользователю-физическому лицу право на воспроизведение ПО на условиях простой (неисключительной) лицензии на безвозмездной основе исключительно для личных, семейных, домашних и иных бытовых нужд, не связанных с осуществлением предпринимательской деятельности (без цели извлечения прибыли или иной материальной выгоды) на неограниченном количестве Устройств, при условии соблюдения требований Соглашения и правил, содержащихся в прилагаемой печатной или электронной документации.
Так без осуществления предпринимательской деятельности или без материальной выгоды? Как быть, если я, как физическое лицо, хочу повысить свою кулацко-махновскую квалификацию исключительно для цели извлечения прибыли и материальной выгоды? Как быть, если я хочу развернуть демо стенд в организации с целью повысить свою значимость, KPI и получить премию за продвижение и прочий лут материальную выгоду ? У обычных вендоров есть или 30-60-180 дневный пробный период, или онлайн курсы и стенды, или абсолютно-free/community редакции, или бонусные лицензии для особо выдающихся граждан, или - для организаций побольше - лицензии NFR (not for resale), на 1-3 месяца. В случае порицаемой за жадность Microsoft - такой вариант "попробовать" был если не всегда, то достаточно давно, и все что грозило (кроме визита правоохранительных органов) - это перезагрузка раз в час. В последующих редакциях можно было абсолютно законно использовать Windows Server Free Trial в течении трех лет (разумеется, только тесты и ознакомление с функционалом).
7.5. Компания вправе осуществлять контроль соблюдения Пользователем положений Соглашения и договоров, заключенных Пользователем с Компанией или Партнером Компании, путем запроса необходимой информации, анкетирования, а также получения доступа к вычислительной технике Пользователя, на которой осуществляется использование ПО на условиях и в объеме, предоставленного Компанией или Партнером Компании.
Кажется, это нечто большее, чем зонды и прочий сбор технической информации. Удивительно, да и только. Интересно, как эти условия сочетаются с GPL?
Понятней не стало, перейду к документу
ПОЛИТИКА ЛИЦЕНЗИРОВАНИЯ
Лицензирование на основе выбора уровня защищенности
Запрещено использовать операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры x86-64, РУСБ.10015-10, вариант лицензирования «Орел» в информационных системах.
Куда нельзя? Кому нельзя? Куда с кем нельзя? Кому с кем нельзя? Кому нельзя туда, куда можно? Как так можно?
Глава третья, в которой автор все же пытается найти дистрибутив и понять, можно программу ставить дома «для просмотра и написания сравнительной заметки» или нет, или надо любое тестирование согласовывать письменно – как у некоторых вендоров
Иду в раздел информация – библиотека, может там что-то есть?
Astra Linux является официальным деривативом Debian GNU/Linux
Но на сайте Debian в разделе Астра линукс – только Common Edition, никаких Воронежей.
Понятней не становится, кроме того что есть Орел, Воронеж и Смоленск.
В библиотеке лежит другая версия лицензии на ASTRA LINUX COMMON EDITION
Вот прямая ссылка на лицензионное соглашение из раздела информация – с пометкой Дата обновления документа: 04.04.2022. Вот ссылка на версию из библиотеки с пометкой Последняя дата обновления — 07 марта 2018. Кому верить?
Иду в раздел Бюллетени безопасности, где выясняется, что, кроме Орла, Воронежа, Смоленска и загадочной Noname Common Edition – есть еще версии 1.7, 1.6, 1.5, 4.7 Новороссийск и 8.1 Ленинград. Не хватает Сочи и Ростова. (Версии 4* - для Arm, версии 8* - для Эльбруса).
Окей, иду в раздел продукты, кручу вниз до НЕСЕРТИФИЦИРОВАННАЯ ВЕРСИЯ ASTRA LINUX. Там будет ссылка на раздел с ISO, с файлами orel-2.12.45.5-23.07.2022_07.53.iso, orel-current.iso, orel-stable.iso .Все файлы размером байт в байт (5353463808), MD5 - A323E6A113746236224990ECEEC85571 , что совпадает с указанным в .iso.md5
Ходят слухи, что внутри этого Орла - Debian не 9, а сразу 10, и ядро 5.15.33 от апреля 2022, но не проверял, потому что нельзя.
Каталоги выше тоже свободно доступны, но изучать их все мне совсем не интересно. Есть и есть. Понять по имеющимся лицензиям, чего нельзя и чего можно - мне не удалось.
Надо сказать, что выкладываемые версии обновляются. Если верить интернетам, то совсем недавно там лежал orel-2.12.43-14.09.2021_10.29.iso с MD5 60de5ff999b3710e8fb528c5e7cbc0c9 и рядом был доступен старый orel-2.12.43.6-30.03.2022_18.22.livecd.iso, но истории версий нет. Что внутри - понять нельзя и прочитать негде. Отдельно живут три версии документации - Библиотека, Википедия, база знаний. В статье Таблица вариантов исполнения Astra Linux Common Edition - редакции заканчиваются на 2.12.44 (ядро 5.10.0-1038.40), а на сайте доступна 2.12.45.5. Отдельно доступны образы виртуальных машин на https://vault.astralinux.ru/images/, но как туда попасть с основного сайта - загадка великая, как и то, есть ли repository-extended для Common (CE) или нет. Для SE есть.
Если верить разным статьям (раз, два, три), а оснований не верить им - нет, то отличия находятся где-то рядом с SE Linux, но не SE, а LSM (Linux Security Modules) и LKM. Раз совсем свободно устанавливать и ставить нельзя никакую редакцию, то остается верить на слово. У компании есть блог на хабре, где с 2019 года появилось целых 6 статей (и 145 комментариев). Часть статей про то, что LSM (Linux Security Modules) это не SeLinux.
Беглый поиск по хабру дал статьи:
Тест-драйв «отечественного» рабочего места ( с полезным комментарием относительно лицензии, точнее ее отсутствия и не менее полезным про то, что все ломается),
Обзор Отечественные Линуксы: кто есть кто? и статью про то, что Astra Linux ARM есть, но только под NDA.
Очень полезной оказалась статья "невозможно даже собрать Zabbix из исходников" от 21 мая 2022, с богатым обсуждением.
Особенно хорошо смотрится статья про Zabbix на контрасте с комментарием:
Централизованный аудит событий в Astra Linux на данный момент осуществляется через Zabbix, события аудита довольно гибко настраиваются. Настройка Zabbix в Astra Linux описана в эксплуатационной документации и на нашей wiki.
Для 1.7 может и можно, а так, выходит, нельзя.
Если искать чуть шире, то в некотором недоумении не только я. Можно собрать PHP 7.4, PHP 8.15, но с Компас 3д уже будут проблемы. Для обновления между версиями придется поиграть в рулетку.
Судя по комментариям же, сайт переделывают с завидным постоянством - в мае 2022 было
Сейчас специально убрали в раздел "предыдущие ОС" старый релиз
На момент написания заметки такого раздела нет.
На этом знакомство с Астрой можно и завершать. Не очень это похоже на звездолет, разве что на какой-то немного более другой. Ладно, есть еще Alt, с ним вроде проще.
Комментарии (50)
gregorybednov
03.09.2022 12:15+2Спасибо за пост! Очень любопытно будет увидеть Альт. Скажу честно, обидно, что продукт с давней историей и сформировавшимся сообществом (хотя, как выражаются некоторые противники Альта, "собственный набор велосипедов из кое-чего и палок") распространяется куда медленнее, чем проталкиваемый форк дебиана и копии центос
sub31
03.09.2022 14:08-3Слишком мрачный взгляд на очень активно рекламируемый и продвигаемый дистрибутив. Маркетинг поставлен очень активно и в одну конкретную точку - безопастность. Мало ли чего Вы об этом дистрибутиве лишнего узнаете?
В общем он активно отвоевывает свое право на существование у остальных альтернатив. Недавно они отказались от 2.12 в пользу нового дистрибутива 1.7 SE. Оно в некоторых условиях даже работает.
MechanicusJr Автор
03.09.2022 14:35+11Маркетинг поставлен очень активно и в одну конкретную точку - безопастность
security by obscurity
select26
03.09.2022 14:58Скажите, а почему нельзя просто использовать Debian?
Я не в РФ живу, может законодательные ограничения? Санкции?
MechanicusJr Автор
03.09.2022 15:40+4Можно, и я его использую
https://habr.com/ru/post/682966/
но есть проблема. Теперь никто не может гарантировать, что в какой-то опен сорс продукт не будет добавлен вредоносный код. Пример - https://www.linux.org.ru/forum/security/16819987
vadimr
03.09.2022 17:00+21) В государственных системах предписано использовать отечественное ПО.
2) Если нужна признаваемая государством защита информации, то это делается отечественными средствами.
Простому человеку – пофиг.
В действительности, Astra Linux Common Edition мало чем отличается от обычного Debian. Нюансы начинаются в Special Edition и средствах защиты информации.
MechanicusJr Автор
03.09.2022 17:13Astra Linux Common Edition мало чем отличается от обычного Debian
Вся статья про то, что это НЕ так. Он существенно отличается в худшую сторону, в частности из-за кривого разрешения зависимостей в нем что-то сложнее php может не собраться.
vadimr
03.09.2022 17:19В статье увидел только ссылки на набор страшилок между людьми, не имеющими большого опыта работы с этим дистрибутивом. Попробуйте под SLES что-нибудь сходу собрать, тоже будете много удивляться. Естественно, что “мало чем отличается” не означает, что у вас автоматически без правок соберётся любой продукт в не предусмотренном разработчиками дистрибутиве.
Очень поверхностная статья.
MechanicusJr Автор
03.09.2022 19:23+1В статье увидел только ссылки на набор страшилок межд
Покажите пример. Как под Орлом Коммон собирается заббикс.
vadimr
03.09.2022 19:25-4Я, допустим, и как под дебианом собирается заббикс, не знаю, и что? Абсолютно уверен, что это решаемая задача силами среднего программиста при небольших трудозатратах.
В вашей же статье по ссылке написано, что заббикс какой-то версии входит в штатный репозиторий Astra Linux, из чего следует, что задача его сборки вполне разрешима.
MechanicusJr Автор
04.09.2022 04:07Я, допустим, и как под дебианом собирается заббикс, не знаю, и что?
Вопрос не в знании. вы пишете " между людьми, не имеющими большого опыта" - но при этом сами не можете сделать ту же задачу.
vadimr
04.09.2022 04:47Почему не могу? Могу. Я огромное количество кода выпустил под астра линуксом, начиная с версии 1.3. Я говорю о том, что мне не платят за портирование заббикса. Или вы хотите, чтобы я занимался вашей задачей на общественных началах, в порядке полемики? Так это не работает.
Kolobrod72
03.09.2022 17:05Мы купили для ознакомления Astra Linux Special Edition уровень защищенности «Базовый» («Орел») - образ ISO версии 1.7 сборки июня 2021.
MTyrz
03.09.2022 19:15Я извиняюсь, верно ли я понял, что эти люди
1. форкнули Дебиан
2. к нему дописали сколько-то довесков
3. распространяют Дебиан с довесками по несвободной лицензии?
(В принципе про Астру я слышал, конечно, но лицензированием не интересовался, зачем оно мне)MechanicusJr Автор
03.09.2022 19:25+12. к нему дописали сколько-то довесков
не совсем. там еще заявлена проверка кода и сертификация фстек/фсб, то есть это набор "ну как бы вроде без подарков от АНБ".
vadimr
03.09.2022 19:33-1Собственно, примерно так можно сказать почти про любой современный коммерческий программный продукт.
MTyrz
04.09.2022 14:36-1Интересный подход.
К примеру, Windows?vadimr
04.09.2022 15:09+1Ну точно так же можно сказать, взяли свободно распространяемые компоненты вроде SSL и дописали к ним довески вроде ядра Win32. В Windows поменьше взяли, в Астре побольше, но качественно ситуация одинаковая.
MTyrz
04.09.2022 21:35А, понятно. Взяли, значит, свободно распространяемые буквы и написали свой проприетарный роман. Никакой разницы с пиратским переизданием. Спасибо за мнение.
vadimr
04.09.2022 22:20Astra Linux не является переизданием Debian, ни пиратским, ни легальным. Он имеет другие функции и даже изначально имеет другое назначение, позиционируясь как средство защиты информации. В той же степени, как, например, Tor не является переизданием Мозиллы.
Adjuster2004
03.09.2022 20:50Почитайте про мандатный доступ, его историю.
MTyrz
04.09.2022 14:34Сунул нос в тетю Вику: там пишут, в ядре с 2003 года. Лежит в основе селинукса и аппармора.
Но вопрос был не про объем довесков, а про лицензирование. Впрочем, не настолько мне это интересно, чтобы закапываться в толкования формулировок, может и фиг бы с ним.MechanicusJr Автор
04.09.2022 14:47Лежит в основе селинукса и аппармора
Не совсем. Мандатный доступ - это общее название идеи, а Se linux И далее - реализации. Как и то, что написали в Русбиттехе
FotoHunter
04.09.2022 06:43У меня подрядчик по проекту документооборота с использованием персональных данных в ТЗ указал, что бы ему предоставили 20 серверов на CentOS 7 или Alt 8 СПН (это версия с ФСТЭК сертификатом за 19-45т.р.). После выяснений факта, что подрядчик в линуксе полный нуб и ему на самом деле пофиг - скачал и поставил Alt 10, предполагая, что если или когда придут дяди из ФСТЭК, то докупить сертификат будет проще, чем операционку менять ????.
monferat
04.09.2022 12:38будет весело, когда дяди из фстэк попросят провести контроль целостности...
FotoHunter
04.09.2022 19:27Целостности чего??? Админ подрядчика не знает как зайти по ssh и поднять себя до рута, зато смог открыть огроменную дыру на виндовозном серваке, через которую нам червей подвезли...
Как только дойдёт до сертификации, накатим на рабочую систему доп. модули и сертифицируем. Но вот ставить CentOS 7, а потом выяснить, что её откажутся сертифициповать не хочется.
monferat
04.09.2022 19:37ваш подрядчик - фстэк?
ну, и обычно проверяют целостность компонентов сзи
FotoHunter
05.09.2022 14:50подрядчик по ходу не знает что такое ФСТЭК ????
Целостность хранимых данных или компонентов OS? Alt 10 - честная, не правленная, для сертмфицации нужно будет добавить модули СИЗ и они скорее всего либо уже есть, либо появятся к моменту сертификации ????
monferat
05.09.2022 15:12ну, ждем от вас статью с оптсанием, как вы на общедоступный дистр накатывали сзи от сертифицированного дистра.
если, конечно, не имеется ввиду сторонние сзи типо даллосов и секрет нетов
FotoHunter
05.09.2022 18:52Так есть же 2 пути сертификации:
1 покупка сертифицированной OS
2 покупка сертифицированных СЗИ совместммых с рекомендованной OS.
Собственно я пошёл по 2му пути, а вот CentOS 7 вряд-ли останется в списке рекомендуемых.
CrazysAlien
04.09.2022 10:58-1Чёт страшно стало аж дотрагиваться до всего этого нашего! Вот скачаешь (а автор-провокатор ссылки оставил спецально же конечно ;)) такое "на посмотреть" не прочитав эти лицензии, а оно при установке "настучит", что его кто-то пробует ставить, а ты порядки щепетильно не соблюл, у них там не зарегистрировался и соблаговоление не получил... и тебя "по IP вычислят" конечно же и наши же бородатые РосГвардейцы вынесут тебе дверь и... не, ну нафег ;)
monferat
04.09.2022 12:34в нем нет телеметрии и инфа об установке никуда не отправляется
monferat
04.09.2022 12:24+1не понял: в чем контраст про забикс? да, он есть в астре, да, устанавливается и работает, да, старый. автору майской статьи понадобилось то, чего нет в репе, отсюда и проблема. то же самое, если он будет на 9й дебиан натягивать новый софт
На момент написания заметки такого раздела нет.
https://astralinux.ru/products/astra-linux-special-edition/ есть там в сааааааамом низу. только практического толка от него нет.
little-brother
Зачем напрягаться, когда: https://habr.com/ru/news/t/666944/
MechanicusJr Автор
Свежо питание.
Еще летом прошлого года Росатом закупался VMware
https://www.rosatom.rts-tender.ru/market/predostavlenie-paketov-sertifikatsii-fstek-rossii-dlia-programmnogo/tender-2751375/
ну и
https://habr.com/ru/news/t/569676/
То есть, возможно
какие-то рабочие места переведут, в конце концов пункты охраны, где из ПО - видеонаблюдение и косынка, или бухгалтерия, где к косынке добавляется паук, 1с и разнообразные конвертеры для выгрузок в налоговые, пенсионные, страховые и далее - переедут, и даже 1с
правда, Инфостарт в 2020 году (sic!) пишет про 2008 r2 сервер ))))))
https://infostart.ru/1c/articles/1180438/
little-brother
Лицензии на всех закупили - это 100%, а вот будут ли устанавливать вопрос вторичный и Астра Линуксу даже интересней, чтобы по факту пользователей было поменьше - экономия на саппорте.
MechanicusJr Автор
Да и ладно. В условиях снижения поставок железа, и замене поставок на то, что я в первой части описал - это обтягивания руля оплеткой, когда резина уже лысая.
(фото из статьи)