Astra Linux
Astra Linux Special Edition v1.8.1 Proxima Desktop
Разработчик	«Русбитех-Астра»
Семейство ОС	Unix-подобная (Debian GNU/Linux)
Основана на	Debian 12
Первый выпуск	конец 2009 г.
Последняя версия	1.8.1 Special Edition (01 августа 2024)
Частота обновления финальных версий	2 раза в год
Метод обновления	apt
Менеджеры пакетов	dpkg
Поддерживаемые языки	русский, английский
Поддерживаемые платформы	x86-64, ARM, MIPS, POWER, IBM System z, IBM System p, Эльбрус 2000
Тип ядра	монолитное ядро Linux
Интерфейс	Fly
Лицензия	Проприетарная[1]
Состояние	актуальное
Веб-сайт	astralinux.ru
Медиафайлы на Викискладе

Astra Linux («А́стра Ли́нукс», от лат. astra — «звезда») — операционная система на базе ядра Linux, которая внедряется в России в качестве альтернативы Microsoft Windows в государственных организациях^{[2][3][4][5][6]}. Обеспечивает степень защиты обрабатываемой информации до уровня государственной тайны «особой важности» включительно. Сертифицирована в системах сертификации средств защиты информации Минобороны РФ, ФСТЭК и ФСБ^[7] России. Включена в Единый реестр российских программ Минкомсвязи России^[8].

В ходе разработки системы во второй половине 2010-х годов и развития процессов импортозамещения Astra Linux начала широко применяться как универсальная операционная система для персональных компьютеров. По состоянию на 2022 год внедряется в образовательных, медицинских и других государственных учреждениях, а также в компаниях РЖД, «Газпром», «Росатом» и других.

Система работает с пакетами на базе .deb, используется пакетный менеджер apt. Astra Linux считается официально признанным деривативом Debian после прохождения необходимых проверок на соответствие требованиям Debian^[9], АО «НПО РусБИТех» находится в партнёрских отношениях с The Linux Foundation^[10] и The Document Foundation^[11]. Разработчик заявляет, что «лицензионные соглашения на операционные системы Astra Linux разработаны в строгом соответствии с положениями действующих правовых документов Российской Федерации, а также международных правовых актов», при этом они «не противоречат духу и требованиям лицензии GPL».

Собственный репозиторий Astra Linux состоит из более чем 20 000 пакетов. На пакетной базе этого репозитория развиваются и другие программные продукты компании^[12]. В состав дистрибутива входят такие пакеты с открытым исходным кодом, как графическое окружение пользователя Fly, офисный пакет LibreOffice, доработанный в части управления доступом, серверные компоненты (web-сервер, СУБД и так далее), браузер Firefox, почтовый клиент Thunderbird, редактор растровой графики GIMP, проигрыватель мультимедиа VLC и другие^[13].

В феврале 2018 г. объявлено, что Astra Linux была адаптирована для российских микропроцессоров «Эльбрус»^[14].

С 17 декабря 2019 года правообладателем, разработчиком и производителем является ООО «РусБИТех-Астра»^[15], созданная в 2016 году как дочерняя компания АО «НПО РусБИТех», занимающаяся разработкой и сопровождением ОС. В 2019 году компания стала юридически самостоятельной, а в 2020 году на базе «Русбитех-Астра» была сформирована ГК «Астра».

Fly — собственная разработка создателей ОС, гибридное графическое окружение пользователя, которое включает в себя рабочий стол, написанный с использованием библиотеки xlib, а также набор графических утилит на Qt, разработанных в основном с использованием фреймворка KF5 и PyQt. Особенностью также является полная интеграция графической оболочки со всеми механизмами защиты информации, встроенными в операционную систему Astra Linux.

1 августа 2024 года вышел новый релиз Astra Linux Special Edition версии 1.8.1, где разработчик обновил интерфейс и назвал его Astra Proxima.

Система применяется в ряде государственных учреждений в сферах обороны, здравоохранения, науки и образования, финансов, промышленности и торговли, ЖКХ^[16]. В частности, на ней построена информационная система Национального центра управления обороной РФ^[17]. В июле 2015 г. состоялись переговоры о переводе на Astra Linux госучреждений Республики Крым, в которой официальное использование популярных ОС затруднительно из-за антироссийских санкций^[18]. В ноябре 2015 года подписано соглашение о сотрудничестве^[19] с производителем серверов Huawei, который начал тестировать свои серверы на совместимость с Astra Linux^[20]. В феврале 2019 года объявлено о внедрении Astra Linux на Тяньваньской АЭС (Китай, провинция Цзянсу)^[21].

С января 2019 года происходит тестирование Astra Linux в системах группы компаний «Газпром».

С 2019 года производятся «защищённые»^[22] планшетные компьютеры марки MIG с предустановленной Astra Linux, планируются продажи смартфонов^[23].

В 2021 году началось внедрение системы в ОАО РЖД^[24]. До конца 2024 года на Astra Linux планирует полностью перейти «Росатом» — всего на ОС будут работать около 130 тысяч пользователей.

В 2022 году ГК «Астра» сообщает об успешном переводе в Yandex Cloud собственных ключевых сервисов: «Центра загрузок» (репозитория с пакетами из состава операционной системы), «Справочного центра» и сервиса технической поддержки.^[25]

В 2023 году Astra Linux Common Edition перестал обновляться и поддерживаться (последняя версия 2.12.46.6). Развивается только коммерческая версия^[26].

Внешние видеофайлы
	Универсальная операционная система Astra Linux

Производителем разрабатывается версия Astra Linux Special Edition (специального назначения) и несертифицированная версия Common Edition (общего назначения):

• Common Edition — единственная российская ОС, репозиторий которой размещен в открытом доступе международной некоммерческой организации The Linux Foundation;
• Special Edition — сертифицированная ОС со встроенными средствами защиты информации (СЗИ) для стабильных и безопасных ИТ-инфраструктур любого масштаба и бесперебойной работы с данными любой степени конфиденциальности, лицензируется по трем уровням защиты.

Система доступна в четырех версиях: десктопная, мобильная, серверная^[27] и встраиваемая (Embedded)^[28]. Ранее выпускаемые релизы были отдельными дистрибутивами и носили названия городов-героев РСФСР и города воинской славы России:

Начиная с версии 1.7 релиз представлен несколькими версиями в одном установщике. В процессе установки предлагается выбрать версию: несертифицированную «Орел», либо одну из сертифицированных — усиленный уровень защиты «Воронеж» и максимальный уровень защиты «Смоленск».

Для краткого обозначения варианта исполнения ОС Astra Linux Special Editon (кроме варианта РУСБ.10230-02) используются два числа:

Код_дистрибутива. Номер_очередного_обновления_ОС

Для ОС Astra Linux Special Edition РУСБ.10230-02 используются три числа:

Код_дистрибутива. Код_версии_архитектуры. Номер_очередного_обновления_ОС

Если код дистрибутива 2, то это не Astra Linux Special Edition, а Astra Linux Common Edition. При этом может указываться три числа, третье число обозначает номер обновления ОС:

Код_дистрибутива. Номер_версии_ОС.Номер_обновления_ОС

Для Astra Linux Common Edition номер варианта исполнения представлен двумя или тремя числами:

Код_дистрибутива. Номер_версии_ОС[.Номер_обновления_ОС]

С релиза 2021 года (1.7/4.7) в Astra Linux Special Edition доступны режимы защищенности «Базовый» («Орел», несертифицированная версия), «Усиленный» («Воронеж») и «Максимальный» («Смоленск»). Режим «Усиленный» имеет все возможности режима «Базовый» и дополняет их, режим «Максимальный» имеет все возможности режима «Усиленный» и также дополняет их.

В режиме «Усиленный» доступны механизмы мандатного контроля целостности и замкнутой программной среды, существенно повышающие защиту ОС от взлома, вирусов, захвата полномочий и т. д. Входящая в режим «Усиленный» подсистема безопасности PARSEC разработана на основе верифицированной формальной модели безопасности управления доступом и информационными потоками (МРОСЛ ДП-модели).

В режиме «Максимальный» доступен полный комплект средств защиты информации, включая мандатное управление доступом для локальной и серверной инфраструктуры.

Начиная с режима «Усиленный», интерфейсы средств защиты информации Astra Linux Special Edition существенно сужают поверхность атаки, и формируют основной рубеж обороны от вредоносного внешнего воздействия.

Под мандатным контролем целостности (ГОСТ Р 59453.1-2021) понимается распределение информации или компонент в системе по некоторым заданным уровням целостности, исходя из которых назначаются права доступа на изменение объекта. Такой подход позволяет внести больше ясности в администрирование и настройку защиты системы. Удобство мандатного контроля целостности достигается путем четкого распределения компонентов ОС по уровням целостности, а подсистема безопасности PARSEC обеспечивает защиту высокоцелостных компонент от несанкционированной записи из низкоцелостных компонент. При этом пользователь root в Astra Linux Special Edition работает на минимальном уровне целостности 0, что позволяет сохранить контроль над системой в случае попытки захвата полномочий с использованием типовых атак на ОС семейства Linux.

Замкнутая программная среда позволяет ограничить запуск исполняемых файлов и загрузку исполняемых библиотек только теми, которые подписаны ЭЦП на доверительном ключе, что обеспечивает защиту от загрузки файла или библиотеки без корректной ЭЦП.

Под мандатным управлением доступом понимается именно принцип управления доступом, суть которого заключается в распределении информации по заданным уровням (конфиденциальности) и выполнении трех основных условий.

Первое условие — чтение данных доступно пользователю или процессу, который обладает уровнем конфиденциальности таким же, как у этих данных, или выше.

Второе условие — запись данных доступна процессу, обладающему таким же или меньшим уровнем конфиденциальности по сравнению с данными.

Третье условие — действия процессов не приводят к утечке данных с высокого уровня конфиденциальности на низкий.

Таким образом, сочетание мандатного контроля целостности, мандатного управления доступом и замкнутой программной среды обеспечивают комплексную защиту системы^[37].

Контроль за соблюдением правил мандатного контроля целостности и мандатного управления доступом реализуется посредством монитора обращений PARSEC.

С 2018 года в состав дистрибутива включается ядро Linux с усиленной самозащитой (hardened) с интеграцией наработок проекта KSPP (Kernel Self Protection Project).

Для повышения качества верификации научной основы подсистемы безопасности PARSEC — МРОСЛ ДП-модели, описанной на языке формального метода Event-B — она осуществляется дедуктивно с использованием инструментального средства Rodin и по методу проверки моделей (model checking) с применением инструментального средства ProB.

Для демонстрации корректности реализации мандатной сущности-ролевой ДП-модель, (ДП-модель — модель логического управления доступом «Д» и информационными потоками «П»), (МРОСЛ ДП)-модели в программном коде ОС на языке ACSL разработаны спецификации функций подсистемы безопасности PARSEC, которые дедуктивно верифицируются инструментальным средством Frama-C.

Программный код ОС Astra Linux анализируется с использованием лучших практик разработки безопасного ПО, таких как Secure Software Development Lifecycle (SSDL), для этого применяется статический и динамический анализ с учётом передовых результатов теорий системного программирования, методов верификации, символьных вычислений и искусственного интеллекта. При этом осуществляется приоритизация компонентов ОС на основании их роли в выполнении требований безопасности и обеспечении поверхности атаки с целью адаптировать проводимый анализ в зависимости от этих приоритетов.

Кроме того, разработчики ОС Astra Linux совместно с Институтом системного программирования им. В. П. Иванникова Российской академии наук (ИСП РАН) принимали участие в создании национальных стандартов ГОСТ Р 59453.1-2021 «Защита информации. Формальная модель управления доступом. Часть 1. Общие положения^[38]» и ГОСТ Р 59453.2-2021 «Защита информации. Формальная модель управления доступом. Часть 2. Рекомендации по верификация формальной модели управления доступом^[39]», утвержденные Росстандартом.

• Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.
• Маркировка документов: разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
• Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.
• Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного управления доступом в графических приложениях, запущенных в собственном изолированном окружении.
• Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2012 и внедряемых в исполняемые файлы в процессе сборки.
• Контроль целостности: для решения задач контроля целостности применяется функция хеширования в соответствии с ГОСТ Р 34.11-94.1.

Начиная с очередного обновления x.7, операционная система Astra Linux Special Edition использует вложенную структуру репозиториев пакетов.

С обновления x.8, обновлена структура репозиториев, которые разделили на два репозитория — Main (основной) и Extended (расширенный).

Main включает в себя компоненты, прошедшие полный цикл сертификации, а Extended содержит средства разработки и пакеты для сборки Main-репозитория вместе с дополнительными прикладными и системными пакетами.

Расширенный репозиторий содержит версии пакетов ПО, которых нет в основном и базовом репозиториях. Такое программное обеспечение функционирует в среде Astra Linux, не подвергается доработке для интеграции функций безопасности с КСЗ, может быть несовместимо с пакетами из базового и основного репозитория и не проходит сертификационные испытания.

Расширенный репозиторий предоставляет большую функциональность по сравнению с базовым и основным, при этом пакеты расширенного репозитория могут изменять пакеты базового, но не могут изменять пакеты основного.

Также расширенный репозиторий содержит компонент backports, предоставляющий новейшие версии пакетов, которые могут быть несовместимы с пакетами из базового и расширенного репозиториев и компонент astra-ce, предоставляющий пакеты для обеспечения максимальной совместимости со сторонним ПО.

Использование расширенного репозитория позволяет устанавливать и эксплуатировать ПО, изначально созданное для других систем на Linux, разрабатывать свое ПО и переносить Astra Linux на различные аппаратные платформы.

Основные группы пакетов ПО расширенного репозитория представляют собой пакеты, не входящие в состав базового репозитория, пакеты, обновляющие состав базового репозитория, то есть более новые версии пакетов базового репозитория (в случае несовместимости они включаются в состав компонента backports), и пакеты, заменяющие пакеты из состава основного репозитория. Последние объединены в компоненте astra-ce, в состав которого входят: СУБД PostgreSQL, электронная почтовая служба Exim4, пакеты СУБД Mariadb, средства Java openjdk и пакеты комплекта офисных программ LibreOffice.

• РЕД ОС
• ALT Linux
• Мандатное управление доступом

• Буренин П.В., Девянин П.Н., Лебеденко Е.В., Проскурин В.Г., Цибуля А.Н.  Безопасность операционной системы специального назначения Astra Linux Special Edition. — М.: Горячая линия - Телеком, 2016. — 312 с. — ISBN 978-5-9912-0623-5.

• astralinux.ru/ - официальный сайт ОС Astra Linux
• wiki.astralinux.ru/ - официальный справочный центр
• gk-astra.ru/ - официальный сайт Группы Астра
• mirror.yandex.ru/astra - зеркало для скачивания Common Edition