Компания ALT Linux объявляет (http://www.altlinux.ru/company_news/alt_linux_4.0_desktop_pr...) об успешном завершении сертификации ALT Linux 4.0 Desktop Professional — операционной системы для рабочих мест.
ALT Linux 4.0 Desktop Personal Сертифицирован Федеральной службой по техническому и экспортному контролю (ФСТЭК России (http://www.fstec.ru/)). Сертификат соответствия №1649 от 23 июля 2008:
- Классификация по уровню контроля отсутствия недекларированных возможностей (http://www.fstec.ru/_docs/doc_3_3_010.htm) - 4 уровень.
</li>- Показатели защищенности от несанкционированного доступа к
информации (http://www.fstec.ru/_docs/doc_3_3_003.htm) - по 5 классу защищенности.
</li>
Ранее подобная сертификация была пройдена серверной редакцией дистрибутива ALT Linux 4.0. По словам Алексея Смирнова, Генерального директора компании Альт Линукс, появление связки серверной и настольной версии позволит удовлетворить возросший спрос...URL: http://www.altlinux.ru/company_news/alt_linux_4.0_desktop_pr...
Новость: http://www.opennet.me/opennews/art.shtml?num=17221
А чем Альт отличается от других дистрибутивов общей направленности? И вообще, как проходит такая сертификация, если по-простому?
Наверное тем, что они захотели пройти эту сертификацию.
А вообще вот ссылка
http://www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty...
Подаешь заявку, платишь деньги и сертифицируешь. Сертификат выдается на тот продукт, который был указан в заявке. Сертифицировать могут единичный экзкмпляр, серию или всю линейку продукта.
Если есть желание Сертифицировать свой дистрибутив, то компания подаёт заявки в ФСТЭК, те в свою очередь говорят нормы и что им нужно будет показать, по которым будут сертифицировать...
Компания показывает документацию + исходники (определённые), и после небольших нервотрёпок, дистр сертифицирован.Соответственно цена дистра повышается:) так уже сделал Ред Хард с Энтерпрайзами 4, Винда (XP и 2003) и АльтЛинукс...
> как проходит такая сертификация, если по-простому?Как, как - иметь друга или подкармливать человека и ФСБ/ФСТЭК, для остальных много болтать,
обещать, при каждом приезде сертификационной комиссии накрывать поляну, особо сомневающихся, так же, подкормить. Особенно они тащатся, когда документация оформлена по ГОСТ (ЕСКД).
так вот у кого есть исходники винды!!! )))
Сначала, подумал классно, но решил поинтересоваться, а что это может значить:
Показатели защищенности от несанкционированного доступа к информации - по 5 классу защищенности
в переводе
Простейшие фильтрующие маршрутизаторы - 5 классВторой пункт, более длинный, перечислять его нет смысла...
Обобщить можно так:
Только самые младшие классы пройдены... :(
Мнда. До Государственной Тайны нам еще, как до Китая раком...Интересно вот что: почему, все-таки, до третьего-то не дотянули? В ALT Linux Desktop не поставляется RBAC?
> До Государственной Тайны нам еще, как до Китая раком...Ой, не надо про Китай, он на деле слишком близко. Соответственно и тут -- будет интерес, не думаю, что результат заставит долго ждать.
Штатный альт заметно сильнее многих закручен -- знакомые openbsd'шники охарактеризовали наш basesystem как "ну вы и параноики", СБУ вот тоже лет пять-шесть как использует ALT ("мы его внутри сертифицировали, потому как надо же на чём-то _работать_"). Поэтому кажется мне, что там как раз дело техники.
> В ALT Linux Desktop не поставляется RBAC?
Нет. RSBAC-дистрибутив (Castle) помер бетой лет пять тому. IMHO он попросту на эти пять лет раньше времени и появился. Недавно было обсуждение по части SELinux, но каких-либо движений ещё не видел (хотя мог и пропустить). Что там ещё есть из RBAC/MAC...
>> В ALT Linux Desktop не поставляется RBAC?
>> Нет. RSBAC-дистрибутив (Castle) помер бетой лет пять тому.Я не имел в виду конкретную реализацию RBAC -- SELinux при правильно спроектированной полиси полностью эквивалентен тому, что предоставляет RSBAC. Я, когда увидел, что есть отдельная LSM'ка, реализующая RSBAC, долго читал пейджер и много думал над вопросом: "А нахрена попу гармонь?"
Но, насколько мне известно, в Linux'е нет Trusted Networking'а, так что бить надо именно в эту стену. Но это задача не из легких, осознаю. ;)
> Штатный альт заметно сильнее многих закручен -- знакомые openbsd'шники охарактеризовали наш basesystem как "ну вы и параноики",Плохая шутка.
>> Штатный альт заметно сильнее многих закручен -- знакомые openbsd'шники
>> охарактеризовали наш basesystem как "ну вы и параноики",
>Плохая шутка.Какой аноним, такая и шутка.
А фраза принадлежит Игорю Грабину, конкретно была про only_from = 127.0.0.1 в /etc/xinetd.conf по умолчанию (при том, что это же плюс disabled=yes содержится в xinetd-конфигурации, кажется, каждого сервиса, который из-под него запускается).
Ещё можно спросить Серёжу Рыбальченко, хотя он вроде не хакер, просто опёнковод с альтовым стажем в том числе.
# grep only_from /etc/xinetd.conf
only_from = localhost
# uname -a
Linux carceri 2.6.24-gentoo-r8 #1 SMP Fri Jul 11 18:45:46 YEKST 2008 i686 Intel(R) Pentium(R) III CPU 1200MHz GenuineIntel GNU/LinuxЙа параноег?
>Йа параноег?Следующий шаг: grep PermitRootLogin /etc/*ssh/sshd_config ;)
grep PermitRootLogin /etc/ssh/sshd_config
PermitRootLogin noЯ обратно параноег?
>PermitRootLogin no
>Я обратно параноег?Теперь покажите права на sudo и su ;-) См. тж. http://wiki.sisyphus.ru/admin/control
Михаил, а вы случайно не знаете, как в Украине дела обстоят с такими вещами? Очень грустно?
>Михаил, а вы случайно не знаете, как в Украине дела обстоят с
>такими вещами? Очень грустно?С сертификацией чего-либо куда-либо? Насколько помню, по продуктам сертифицировался только [скорее покойный] myLinux. По реально используемому -- что слышал из первых рук в публичной обстановке, то сказал рядом.
У меня может быть пессимистический взгляд, но когда бодаются за власть, а не работают -- то до таких мелочей нескоро руки дойдут...
> У меня может быть пессимистический взгляд, но когда бодаются за власть, а не
> работают -- то до таких мелочей нескоро руки дойдут...+100
>Мнда. До Государственной Тайны нам еще, как до Китая раком...
>
>Интересно вот что: почему, все-таки, до третьего-то не дотянули?Это вопрос бизнеса. Подготовка к сертификации на более высокий класс стоит заметно дороже, -- нужен гарантированный спрос, чтобы за нее браться. Сертификация же на конфиденциальность, особенно при наличии опыта прежних, у нас, как правило, окупается.
>> Интересно вот что: почему, все-таки, до третьего-то не дотянули?
> Это вопрос бизнеса. Подготовка к сертификации на более высокий класс стоит заметно
> дороже, -- нужен гарантированный спрос, чтобы за нее браться.Из праздного любопытства: насколько заметно? Порядок величины есть?
>>> Интересно вот что: почему, все-таки, до третьего-то не дотянули?
>> Это вопрос бизнеса. Подготовка к сертификации на более высокий класс стоит заметно
>> дороже, -- нужен гарантированный спрос, чтобы за нее браться.
>
> Из праздного любопытства: насколько заметно? Порядок величины есть?На порядок.
>
>Сначала, подумал классно, но решил поинтересоваться, а что это может значить:Это значит, что государственные организации могут законно использовать Альтлинукс при работе с конфиденциалкой. Раньше безАЛЬТернативно требовался МС.
> Сначала, подумал классно, но решил поинтересоваться, а что это может значить:Показатели защищенности от несанкционированного доступа к информации - по 5 классу защищенности в переводе Простейшие фильтрующие маршрутизаторы - 5 класс
Ты попутал, НСД 5 класс и межсетевые экраны 5 класс -- это очень разные вещи.
fstec.ru тебе для чтения.
>> Сначала, подумал классно, но решил поинтересоваться, а что это может значить:
>
>Показатели защищенности от несанкционированного доступа к информации - по 5 классу защищенности
>в переводе Простейшие фильтрующие маршрутизаторы - 5 класс
>
>Ты попутал, НСД 5 класс и межсетевые экраны 5 класс -- это
>очень разные вещи.
>fstec.ru тебе для чтения.Я сначала туда и сунулся ;) только на сайте чистый-белый-лист
1) это приятное преодоление бюрократических барьеров, или ядро Альта имеет драматические отличия от ванильного, для прохождения сертификации?
2) народ, проясните пожалуйста такой момент: допустим сертифицируют систему на ядре 2.6.18 с утилитами - ура, сертифицировали на офигительный уровень безопасности. Через полгода имеем уже 2.6.22, с тележкой пофиксенных и не очень уязвимостей в changelog-e, что даёт сертификат в таком случае?
Насколько знаю сертифицируется конкретная версия ПО.
Странное у нас государство само с себя денег требует
(госучреждения с персональными данными).
Обновления тоже нужно сертифицировать :)
Про безопасность при сертификации думают в последнюю очередь.К примеру покупается ОДИН CDROM WinXP PRO на 70 пользователей,
CD отсылается в Москву для проверки.
Такое удовольствие стоит: 70*2.5~175000 руб, но диск был ОДИН :)
В качестве бонуса - получаете доступ 70 клиентов к защищенному сайту
для скачивания обновлений. Установка обновлений с microsoft.com запрещена.Встречное предложение:
выложить на сайта ФСТЭК или другой организации контрольные суммы всех CDROM microsoft.При работе с электронной подписью (шифрованием) почти такая же смешная ситуация?
Насколько помню, сертифицированный вариант Master 2.0 ("Утёс-К") проходил как "вместе с обновлениями" -- уж не знаю, что это означает -- сертификацию процесса их выпуска, что ли?PS: дело не в 2.6.18 vs 2.6.22, дырки-то и в .18 можно затыкать. А в том, каков статус системы, к которой применён исправляющий известную дырку апдейт -- всё так же сертифицированный или уже нет.
>1) это приятное преодоление бюрократических барьеров, или ядро Альта имеет драматические отличия
>от ванильного, для прохождения сертификации?Нет, в случае сертификации на конфиденциальность, не имеет.
>2) народ, проясните пожалуйста такой момент: допустим сертифицируют систему на ядре 2.6.18
>с утилитами - ура, сертифицировали на офигительный уровень безопасности. Через полгода
>имеем уже 2.6.22, с тележкой пофиксенных и не очень уязвимостей в
>changelog-e, что даёт сертификат в таком случае?Существует возможность ускоренной сертификации обновлений ограниченного числа пакетов. Но это все равно не так быстро, как хотелось бы.
Дает бумажку ;)
Т.е. в некоторых областях не разрешается использовать не сертифицированые решения.
и когда дяди будут проверять, проверять они будут не по факту того что система уязвима, а со стороны соблюдения всех правовых норм ;).
> Дает бумажку ;)Безусловно.
> Т.е. в некоторых областях не разрешается использовать не сертифицированые решения.
> и когда дяди будут проверять, проверять они будут не по факту того
> что система уязвима, а со стороны соблюдения всех правовых норм ;).Гражданин имеет богатый опыт сертификации в ГТК/ФСТЭК программно-аппаратных комплексов? Можно увидеть список засертифицированного с участием гражданина?
Ну и если сюда заглянёт Илья Шпаньков -- дружеское предложение вспомнить моё предупреждение насчёт разнесения непроверенной и неправдивой информации, а заодно и вообще подумать, что к чему... про сертификацию мандривы так ничего и не слышно, стоило сыр-бор разводить.
ЛЮДИ!!!! Можете ставить Debian Etch 4.0 - Он прошел проверку ФСБ. :)
подробностей не скажу, а то ещё посодют.
>ЛЮДИ!!!! Можете ставить Debian Etch 4.0 - Он прошел проверку ФСБ.
>:)
>подробностей не скажу, а то ещё посодют.Ну может и не посодють, а проведут "разьяснительную работу" после которой отпадет всякое желание на подробности ;)
>>ЛЮДИ!!!! Можете ставить Debian Etch 4.0 - Он прошел проверку ФСБ.
>>:)
>>подробностей не скажу, а то ещё посодют.
>
>Ну может и не посодють, а проведут "разьяснительную работу" после которой отпадет
>всякое желание на подробности ;)Мда, какие вы все зашуганные... ну прям как при Брежневе.