Федеральный ядерный центр в Сарове (РФЯЦ-ВНИИЭФ) совместно с компанией Postgres Professional завершили (http://www.vniief.ru/wps/wcm/connect/vniief/site/presscenter...) проект по созданию защищенной системы управления базами данных «Синергия-БД», основанной на кодовой базе СУБД PostgreSQL. «Синергия-БД» предназначена для использования в качестве хранилища данных на предприятиях, предъявляющих повышенные требования к надежности и безопасности информационных систем. В первую очередь, это контур ядерно-оружейного и оборонно-промышленного комплекса страны, а также органы исполнительной власти федерального и регионального уровня.
СУБД «Синергия-БД» обеспечивает многопользовательский доступ к данным с разным уровнем конфиденциальности. Она способна взаимодействовать с двумя ОС отечественной разработки - ОС «Синергия-ОС v.1.0» и ОС Astra Linux Special Edition - для получения информации о мандатных метках пользователей посредством провайдеров безопасности. СУБД «Синергия-БД» будет сертифицирована как самостоятельный продукт, что дает возможность внесения в нее нужных заказчику доработок и быстрой сертификации изменений вне зависимости от поставщиков поддерживаемых операционных систем.
URL: http://www.vniief.ru/wps/wcm/connect/vniief/site/presscenter...
Новость: http://www.opennet.me/opennews/art.shtml?num=46160
Неужели правда безопаснее PostgreSQL? Или там только сертификат делает разницу?
Менеджер по продажам: Конечно безопаснее! Видите, у нас даже сертификат есть.
Спросите Бартунова.
Но прежде спросите, сколько NDA он подписал.
Да, он говорил что делают такое, но главный вопрос - какая версия PG базовая????а то до сих пор 9.0 была - уж больно старая.
зы. а сложности работы с защищенной отечественной СУБД действительно хватает :)))))
В этой стране информационные продукты делятся на 2 типа: отбашлявшие ФСТЭК и все остальные.
> В этой стране информационные продукты делятся на 2 типа:Что расскажете про страну происхождения Common Criteria?
Просьба не вылупливать невинно-прозрачные глаза навстречу, а по существу.
Да там те же проблемы.
https://en.wikipedia.org/wiki/Common_Criteria#Criticisms
>> В этой стране информационные продукты делятся на 2 типа:
> Что расскажете про страну происхождения Common Criteria?
> Просьба не вылупливать невинно-прозрачные глаза навстречу, а по существу.Так если бы разработка действительно была отечественной, а так взяли код вероятного противника, залили туда мандатки (скорее всего, криво, т.к. публичного аудита кода нет, а заказчику нужно "чтоб работало") и получили бумажку, что безопасно — это самое важное, т.к. у нас безопасность определяется бумажкой, а не реальной защищённостью системы.
Самостоятельно обновлять сертифицированный софт на аттестованном рабочем месте/сервере нельзя, а уязвимости ползут и ползут. Следующее обновление от производителя приедет через годик в лучшем случае, поэтому аттестованное рабочее место или сервер уже полугодовой давности превратится в р е ш е т о, где любой желающий сможет выудить любую интересную ему информацию при должном усердии. Но с точки зрения юридической ответственности всё будет хорошо: аттестовано же — значит, безопасно.
P.S. Господа админы, с каких это пор слово "р е ш е т о" стало ненормативной лексикой? Не слишком ли много вы на себя берёте, переиначивая Великий и Могучий?
> — это самое важное, т.к. у нас безопасность определяется бумажкой,
> а не реальной защищённостью системы.Вообще-то комплексом мер.
> Самостоятельно обновлять сертифицированный софт на аттестованном рабочем месте/сервере
> нельзя, а уязвимости ползут и ползут.Насколько понимаю, не позже прошлого года наконец снялись с ручника и ожидаются перемены.
> P.S. Господа админы, с каких это пор слово "р е ш е т о" стало ненормативной лексикой?
>> P.S. Господа админы, с каких это пор слово "р е ш е т о" стало ненормативной лексикой?
> http://www.opennet.me/contact.shtml :)Прекрасный ответ от модератора сам по себе, хотя вопрос был к админам.
(заметив пять лет спустя) Дорогой XoRe, так это и было указание админконтакта -- вдруг кто не в курсе :-)
>В этой стране информационные продукты делятся на 2 типа...информационные продукты делятся на 2 типа...
Начало фразы - лишнее...
> Неужели правда безопаснее PostgreSQL? Или там только сертификат делает разницу?Скорее сделали набор кастомных фич, которые могут повысить безопастность.
Порассуждаем что могли сделать:
* Шифрование всего что попадает на винт, включая файлы данных и WAL.
* Запрет на использование не шифрованных соединений.
* Запрет на авторизацию через пароль - только по мандатам от провайдера безопасности.
* Создание дампов только в шифрованном виде. Админ может сделать дамп/рестор, но не видит сами данные.Поможет ли это сделать более защищенную систему - да, потенциально поможет.
Сделано что то уникальное - схожие фичи есть в других СУБД.Нужно ли это компаниям вне оборонки? Скорее всего нет, т.к. повышение безопасности снижает удобство, значит повышает косты. Подавляющему большинству компаний выгоднее снизить косты, чем упражняться с провайдерами безопасности.
> Скорее всего нет...есть ещё работа с персноальными данными, там так раз используют прочие аналоги с похожими фичами
К чему фантазии? Сказано же — сделали MAC.
Зачем рассуждать, если русским по белому 1-м пунктом: они MAC на постгрю навесили (и т.д., по мелочи).
"На пальцах" https://ru.wikipedia.org/wiki/%D0%9C%D0%...
> Зачем рассуждать, если русским по белому 1-м пунктом: они MAC на постгрю
> навесили (и т.д., по мелочи).В PostgreSQL MAC реализован с 9.1 версии, вышедшей в 2011 году. Шесть лет назад.
Получилась маркетоидная новость ни о чём.Что конкретно сделано? Какие "провайдеры безопасности" имеются ввиду? Результат закрыт или где-то можно исходники почитать хотя бы?
Видимо, речь идёт об ALD из состава Astra Linux SE, поскольку на ней безопасность сильно завязана.
Так это ж реклама и есть.
А сколько стоить будет? Astralinux, к примеру, дерет за каждое обновление каждой системы 24703р. Windows 7 Professional и та стоит 17000р и обновления бесплатно, и это без учета скидки за опт.
> Windows 7 Professional и та стоит 17000рСмело делите на два.
Это скидка из-за скорого окончания поддержки?
Вы правы. И в таком случае тем более импортозамещение - лишь повод содрать с бюджета, с налогоплательщиков больше денег.
А вы как хотели? Чтобы 25 лет просирать, а потом за год все сделать/восстановить?
Речь же не о восстановлении, а о том, что за околонулевую величину проделанной работы дерут в три дорога относительно тех, кто сделал всё полностью и более качественно.
> а потом за год все сделать/восстановить?Взяли готовую операционку и понапихали весьма сомнительных костылей, это вот восстановление, да? Ерунда. Восстановления в любом случае уже не будет, хотя бы из-за экономической нецелесообразности, отстали ведь капитально.
Так это отставание написанием исконно своего, с нуля, только усугубить можно.
Нереально отгородиться от мэйнстрима и при этом догнать его.
> Нереально отгородиться от мэйнстрима и при этом догнать его.Вообще-то Олега Бартунова не зря уже упомянули.
Вообще да, это беда всех российских сертифицированных ФСТЭК операционок, цена была бы конкурентна с форточками и линукс зашагал бы по школам!
он уже там был Линукс в школах, почти на каждом компьютере(кроме бух и администрации). Потом школы обязали ежегодные лицензии покупать, хоть лицензии на ХР не закончили действие к тому моменту! базу АРМ директор на firebird 1.5 на Линуксе ставил, а на компах завучей нужно было винду оставлять, так клиенская часть не работала под Линукс.
"совместно с компанией Postgres Professional..."
"Компания Postgres Professional была выбрана исполнителем в результате открытого конкурса."
в астре зарплату задерживают на 3 месяца хотел к ним пойти но не надо
Дак пошел бы, а там и в прокуратуру можно потом написать, что з/п задерживают.
И что? По закону 3 месяца норм.
И сколько нынче платят за такой вот пост, дорогое геббельсовское чудовище?
145.1 УК РФ1. Частичная невыплата свыше трех месяцев заработной платы, пенсий, стипендий, пособий и иных установленных законом выплат, совершенная из корыстной или иной личной заинтересованности руководителем организации, работодателем - физическим лицом, руководителем филиала, представительства или иного обособленного структурного подразделения организации, -
наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на срок до одного года.Спорить будешь?
"совершенная из корыстной или иной личной заинтересованности" - личную заинтересованность как доказывать собираетесь?
Мне ничего не нужно доказывать. Если вы только родились и не знаете законов РФ, то поясняю: в РФ система защиты строится на презумции виновности (ответчику нужно доказать, что он не виновен). А в фильмах про штаты, и собственно в самих штатах, там используется презумция невиновности (истцу нужно доказать, что ответчик виновен).Это не я писал законы. Не я придумывал эту систему правосудия. Просто либо вы живете и набираетесь опыта, либо перестанете говорить чушь и подстрекать людей ввязываться в проблемы. Потому что ответным иском может быть уголовщина, которую обычный смерд никак не защитит. А жизнь человека будет сломана.
Читайте законы и делайте выводы, когда можно делать "наезды", а когда нельзя. У нас не рабство -- не хотите работать и получать ЗП с задержками -- досвиданья, никто кнутом вас работать не заставляет.
> Мне ничего не нужно доказывать. Если вы только родились и не знаете
> законов РФ, то поясняю: в РФ система защиты строится на презумции
> виновности (ответчику нужно доказать, что он не виновен).Как же хорошо сперва выяснить и только затем пояснять, чтоб не соврать -- не находите?
> А в фильмах про штаты
Вот разве что.
> и собственно в самих штатах, там используется презумция
> невиновности (истцу нужно доказать, что ответчик виновен).Это когда неважно. Когда важно -- законы "отключаются".
> Это не я писал законы. Не я придумывал эту систему правосудия.
Континентальную или островную?
> Просто либо вы живете и набираетесь опыта, либо перестанете говорить чушь
Слазьте с пьедестала и проверьте для начала на себе, что ли.
Ага, спасибо. С 01.01.2017 у нас все "как у них": УПК РФ, Статья 14. Презумпция невиновности. Ну, что ж. Посмотрим как это все будет работать :)
Не с 1 января 2017, а с самого 12 декабря 1993 года. Этот принцип закреплён в конституции РФ:Статья 49
1. Каждый обвиняемый в совершении преступления считается невиновным, пока его виновность не будет доказана в предусмотренном федеральным законом порядке и установлена вступившим в законную силу приговором суда.
2. Обвиняемый не обязан доказывать свою невиновность.
3. Неустранимые сомнения в виновности лица толкуются в пользу обвиняемого.
Напоминаю, что конституция - самый главный закон страны. Все остальные законы, включая УПК, не могу противоречить конституции.
Вот тут есть все редакции конституции: http://konstitucija.ru/1993/
>"совершенная из корыстной или иной личной заинтересованности" - личную заинтересованность как доказывать собираетесь?Вот Миша тут поправил и с учетом того, что у нас якобы работает презумция невиновности -- доказывать виновность нужно вам, рабам. =))) <сарказм>
Так даже лучше. Вперед и с песней. Собирайте доказательства, пишите куда хотите. Потом расскажите, как вы победили "систему" и наказали плохих дядь и тетенек =)))
>>"совершенная из корыстной или иной личной заинтересованности" - личную заинтересованность как доказывать собираетесь?
> Вот Миша тут поправил и с учетом того, что у нас якобы
> работает презумция невиновности -- доказывать виновность нужно вам, рабам. =))) <сарказм>
> Так даже лучше. Вперед и с песней. Собирайте доказательства, пишите куда хотите.
> Потом расскажите, как вы победили "систему" и наказали плохих дядь и
> тетенек =)))Есть трудовой договор, там расписаны обязанности сторон. Если у вас там не написаны даты выдачи зарплаты и размеры выплат, то можете работать бесплатно. У меня на работе с изменением пункта ТК работодатель со всеми работниками подписал новые трудовые договора, где оговариваются конкретные сроки и объёмы выплат. Если что, то: "В случае задержки выплаты заработной платы на срок более 15 дней работник имеет право, известив работодателя в письменной форме, приостановить работу на весь период до выплаты задержанной суммы". Задержали зарплату на 15 дней - пишешь заказное письмо на работу с уведомлением о доставке. При получении квитанции о доставке приостанавливаешь работу. Ещё 2.5 месяца работодатель может не доказывать умысел и не платить, а думать, что делать дальше. Если попробует кого-то другого нанять на работу - так ему же тоже платить надо будет, поэтому это не выход.
Да просто, надеюсь, руководство "Астры" хотя бы третий коллектив будет беречь, а не действовать по принципу "перебьются" (второй при смене собственника терпеливо дождался выплаты долгов по з/п и дисциплинированно уволился, насколько сорока на хвосте приносила).Или возьмёт на вооружение давний альтовый принцип: при денежных проблемах начальство получает зарплату последним.
Так-то мир тесен, земля слухом полнится. Жадность и непрофессионализм наказывают себя же в итоге.
> личную заинтересованность как доказывать собираетесь?Тебя общий случай интересует, или ты в голове какой-то частный случай имеешь? Общий алгоритм действий начинается с того, что надо выяснить в чём собственно эта личная заинтересованность состоит. После этого алгоритм начинает сильно ветвиться, и поэтому ты зря надеешься, что тебе здесь кто-нибудь изложит всё это ветвление.
> 145.1 УК РФКроме УК существуют и другие законы, в частности ТК и КоАП (ст. 5.27.6).
>в частности ТК и КоАП (ст. 5.27.6)Так рекомендовали-то идти в прокуратуру. ТК они не занимаются. Статья КоАП 5.27.6 может быть даже выгодней, чем выплачивание всей ЗП: штраф, плюс по минималке оплата за наезд (без премиальных и прочих). Хорошие советы от местных аналитиков!
Если Вы про РусБИТех, то я рад. Заколбался, мягко сказать, с их произведением уже. А другими дистрибутивами пользоваться не допускается.
Эээ, а где ссылка на исходники?
Оригинальная PostgreSQL - BSDL, значит производные продукты никому не обязаны показывать исходники. Ну, быть может, кроме органов сертификации.
> Оригинальная PostgreSQL - BSDL, значит производные продукты никому не обязаны показывать
> исходники. Ну, быть может, кроме органов сертификации.Тогда нехрен лезть со своей проприетарщиной на опеннет.
Где хотя бы независимая экспертиза известных исследователей безопасности, ну, хотя бы от того же Мыщъх?!
он как бы погиб недавно, допрыгался (извиняюсь конечно).
Мыщъх всё, к сожалению. 18 февраля умер в США из-за травм, полученных при прыжке с парашютом.
Ого! И правда, всё...https://ria.ru/world/20170307/1489529332.html
R.I.P.
видать помогли ему..
Ох. Не знал. Жаль, хороший был парень.
Гостайна же ;))
Чего, на Альт Линукс не пойдёт? Как так!?
Тоже удивился. Разве у альта нет сертификата ФСТЭК? Несправедливо.
Сертификаты есть у Альта, Росы, Астры, Goslinux. Но надо смотреть на какие версии дистрибутивов и сроки действия.Однако, дело не в сертификатах, а в сумме затрат на установку и поддержку сертифицированных продуктов этих компаний и экономической целесообразности этих затрат по сравнению с инвестициями в собственную разработку.
> Сертификаты есть у Альта, Росы, Астры, Goslinux. Но надо смотреть на какие
> версии дистрибутивов и сроки действия.Сертификат сертификату рознь. Для сабжа, как следует из новости, требуется сертифицированная MAC, а она есть из перечисленного только в Астре (ну может быть ещё в Goslinux, тут я не в теме).
> Для сабжа, как следует из новости, требуется сертифицированная
> MAC, а она есть из перечисленного только в АстреУгу.
> (ну может быть ещё в Goslinux, тут я не в теме).
Не слышал там такого (это вообще-то CentOS 6 с точечными доработками).
Им платить надо за каждую лицензию, а в Росатоме (и РЖД, т.к. это их совместная разработка) потенциально большой объём инсталляций. Им есть смысл заплатить 1 раз за разработку, а потом платить небольшие деньги своей собственной конторе за поддержку.По факту у нас сейчас некоторые ведомства (или группы ведомств) создают свои линкусы: Astra Linux (МО, ФСБ), Goslinux (ФССП), теперь ОС «Синергия» (Росатом, РЖД).
> информации о мандатных метках пользователей посредством
> провайдеров безопасностиЧто???
Несмотря на все эти потуги, прочие программулины, для бухгалтеров, юристов и такие как составление отчётов, справки, крипто и пр.-пр. всё ещё требуют Винды и дотнет. Я уже не говорю, что многие сайты *.gov.ru вообще все бланки предоставляют в docx пожатые винраром.. vkznm! какого чёрта винраром то? Чем зип-то не устроил!
*butthert* .. бомбит
> бланки предоставляют в docx пожатые винраром..Небольшой лайфхак, у микрософта есть бесплатный просмоторощик документов word который работает под wine. Когда у меня были сомнения в отображении бланка в формате docx в libreoffice я им воспользовался, кстати тогда оказался кривой бланк, а не libreoffice.
Скачай и схорани: они его в обозримом будущем уберут с сайта, сами так там пишут.
что такое кривой бланк, ворд может по разному отображать документ в зависимости от версии ворда в каком создавался и в каком читается, от ОС, и от подключенного принтера. Если разные версии оффиса, виндоус и принтеры то будет отличатся от того как выглядит на том компе где создавался, так что в либре расхождений чаще меньше чем в разных версиях офиса.
> Несмотря на все эти потуги, прочие программулины, для бухгалтеров, юристов и такие
> как составление отчётов, справки, крипто и пр.-пр. всё ещё требуют Винды
> и дотнет. Я уже не говорю, что многие сайты *.gov.ru вообще
> все бланки предоставляют в docx пожатые винраром.. vkznm! какого чёрта винраром
> то? Чем зип-то не устроил!
> *butthert* .. бомбитзип не сохраняет информацию о кодировке названий файлов. Скачиваешь зип, открываешь...
-- ...а там может быть...
-- Что там может быть?
-- Все, что угодно, понял?(с) Особенности национальной рыбалки
Очевидно, имелось в виду "чем 7z не устроил". Нужность RAR-а сейчас в принципе нулевая.
> Очевидно, имелось в виду "чем 7z не устроил"Конечно, именно это и имелось в виду. Ведь всем очевидно: когда пишут rar, имеют в виду tar.gz, а когда пишут зип, имеют в виду 7z.
Окей, переформулирую: "либо автор имел в виду очевидную и нормальную замену древним архиваторам, но неправильно ее назвал, либо он сказал столь же очевидную ерунду". Можете выдохнуть.
По стандарту zip может содержать имена только в CP437 и UTF-8
Вообще говоря к зипу есть ими же разработанный метод кодировать юникодные названия файлов, но он а) стрёмный; б) ничем не реализуется всё равно, то есть его итоговая ценность близка к нулю, к сожалению.
Ай, да фиг бы с ним, с unrar-ом. Лицензия unrar-а плоха прежде всего её вселенским идиотизмом, а так ничего страшного не вижу. :)Вот docx-ы, "сверстанные" пробелом так, что все упирается в плюс-минус пиксель и едет в open/libreoffice - куда существеннее проблема.
А чем их .7z не устроил?Наверное, накупили коммерческих лицензий на WinRAR и жмут им. Правительственным конторам невдомёк, что есть бесплатный архиватор 7zip.
А сайт госзакупок (ЕИС по-новому) прибили гвоздями к уже почившему в бозе IE (заменяемому на Edge) в купе с устаревшей прокладкой capicom. И таких безобразий полно в госконторах.
unrar открыт. То, что 7zip "бесплатный" ничего не значит, ни поддержки, ничего нет: http://7-zip.org/support.html
Очень смешно, автор сам себя обломал от госзаказов. Ну и поделом дураку.
> unrar открыт. То, что 7zip "бесплатный" ничего не значит, ни поддержки, ничего
> нет: http://7-zip.org/support.html
> Очень смешно, автор сам себя обломал от госзаказов. Ну и поделом дураку.Так это отдельный вариант программы, программ поддерживающих 7z "не одна".
> автор сам себя обломал от госзаказовМысль, что это специально так, потому что нафиг ему не надо такое счастье, в голову не приходила? ;)
Опять же это опенсорс, хочешь заняться этим - никто не запрещает.
>МысльА людям, которые говорят, что есть 7zip, бери не хочу, глаза промывать надо и вникать в суть дела, мысль не приходила? У меня нет личных неприязни ни к Рошалю, ни к Павлову. Кто как может, тот так и воротит.
Я бы еще понял наезды, что вместо Рара использовали WinZip, там и дядьки не наши и все шароварно. Хоть дядьки-то и про в своих делах (совместная работа gzip/zlib). Т.е. гос-во не поддерживало _бы_ соотечественников. А так-то. Рошал есть -- есть. Русский? Русский. Что еще надо?
Да ладно файлы, mos.ru платёжку с firefox ESR из под linux не оплатить (ответы тех. поддержки - поменяйте браузер)...
Так-же на gosuslugi.ru регулярный web 5/0 который только в хроме работает.
Это модификацией назвать-то сложно, а они уже быстро гордо обозвали "Синергия-БД" Тьфу!
Где репозиторий? Где патчи в сообщество?
лицензия BSD. Сообщество получило то, что заслужило.
Аккуратней, а то тебе сейчас путтей в лицо швырнут:)
"Завершена разработка защищенной отечественной СУБД Синергия-БД"Новое слово в разработке ПО. Судя по заголовку, они выпустили сразу последнюю версию своего продукта.
> "Завершена разработка защищенной отечественной СУБД Синергия-БД"
> Новое слово в разработке ПО. Судя по заголовку, они выпустили сразу последнюю
> версию своего продукта.Традиция. Линтер ДБ, многочисленные "национальные операционные системы" с собственными обоями.
> Традиция. Линтер ДБ, многочисленные "национальные операционные системы"
> с собственными обоями.Знаете, почитаю я таких ыкспердов ещё немножко на https://www.youtube.com/channel/UC6pnRoVljXKpo5bgkVyQMJg и, пожалуй, родится в пару к "админу локалхоста" какое-нибудь ещё определение навроде "специалиста с собственными обоями".
Откуда вы такие самоуверенные берётесь и что в своей жизни сами-то сделали, на которое ни у одного подонка не поднимется рука вылить ведро помоев?
Разграничение прав на уровне БД - это классно и правильно, но разве этим реально кто-то пользуется в наши дни? Мне казалось обычно делают одного БД-юзера на всё приложение, а реальных юзеров приложения хранят в БД как обычные записи...
Такое решение избавляет от ситуации, когда определение, может ли конкретный пользователь получить конкретные данные, раскидано по всей бизнес-логике и при любой небрежной правке может быть изменено. Естественно, вся бизнес-логика при таком разграничении вынуждена строиться иначе. Хотя теоретически, если выстроить ее вот так "иначе" изначально, становится не так уж и важно, есть ли у базы такие возможности. Так что здесь скорее защита от стрельбы себе в ногу, как со строгой типизацией.
> Разграничение прав на уровне БД - это классно и правильно, но разве
> этим реально кто-то пользуется в наши дни? Мне казалось обычно делают
> одного БД-юзера на всё приложение, а реальных юзеров приложения хранят в
> БД как обычные записи...Если вы "забудете" про web и задумаетесь о внутренних приложениях, то "толстый клиент" + "база данных" во многих вопросах (особенно удобства для пользователя) выигрывает.
Помимо прочего во многих системах помимо общего приложения есть ещё прямой доступ к БД для специальных пользовательских целей.
Это точно современные приложения, а не тяжкое наследие наивности и любви к велосипедам прошлого века?
>«Синергия-ОС v.1.0» и ОС Astra Linux Special EditionТаки Альт опять лесом?
А что Альт какой-то особенный линукс? Договорятся и скомпилируют приложение под Альт. Но вроде Альт не позиционирует себя как дистрибутив для работы с гостайной, военными или атомными секретами (там нет всяких там мандатных доступов и т.д., хотя при желании это можно сделать).
> А что Альт какой-то особенный линукс? Договорятся и скомпилируют приложение под Альт.Суть сабжа -- в поддержке мандатки, а у нас это пока не слишком проработанное место (кстати, есть желающий возиться с SELinux на полный рабочий день?).
> Суть сабжа -- в поддержке мандатки, а у нас это пока не
> слишком проработанное место (кстати, есть желающий возиться с SELinux на полный
> рабочий день?).Тебе уже говорили: с SELinux имеет смысл возиться только когда есть ограниченный жёстко контролируемый репозиторий. А не та свалка протухшего, натыренного из федоры и прочего, что у вас.
> Тебе уже говорили: с SELinux имеет смысл возиться только когда есть ограниченный
> жёстко контролируемый репозиторий. А не та свалка протухшего, натыренного из федоры
> и прочего, что у вас.Саш, в _дистрибутивах_ ты чайник.
> смысл возиться только когдаТак сделай. Это вроде оплачиваемо.
Об этом и говорю.
> Суть сабжа -- в поддержке мандатки, а у нас это пока не
> слишком проработанное место (кстати, есть желающий возиться с SELinux на полный
> рабочий день?).Давно ли SELinux стал соответствовать требованиям сертификации? Он про безопасность, а не про то, как дать Васе права читать петины доки, а Пете не дать читать васины.
>Давно ли SELinux стал соответствовать требованиям сертификации?Вы путаете техреализацию и требования. Сам по себе SELinux не знает ничего про требования, а реализовать их в состоянии (с напильником и наждачкой).
>то, как дать Васе права читать петины доки, а Пете не дать читать васины
Вполне решается средствами SELinux. Более того, Вася сможет прочитать доки от Пети, только с разрешения Вовы (аля, под присмотром начальника). При необходимости, можно сделать так, что разрешение Вова получит только с разрешения Андрея (начальников начальник). И т.д.
Все эти сертификаты - это чистая профанация. Они по своей сути не дают оперативно закрывать 0-day уязвимости. Защита в Astra Linux хороший пример фанатичного параноизма. Требует обучение и лишних телодвижений, и значительно снижает производительность ПО и всей системы. А банальная Ubuntu c ежедневным обновлением и использованием контейнеров оказывается безопаснее, быстрее и абсолютно бесплатна.
> А банальная Ubuntu c ежедневным обновлением
> и использованием контейнеров оказывается безопаснее, быстрее и абсолютно бесплатна.Это заблуждение.
Нет, не заблуждение. Вот вам пруф:
Astralinux 24000р непонятно за что, и 24000р за каждое обновление раз в год. Ubuntu: 0р и 0р за каждое обновление раз в неделю.
Интересно, а есть хотя бы один ИТ-ресурс, куда ВНИИЭФ'овские пиарщики не растиражировали новость?
Не нужно. Печально только то, что за этим дерьмом в мой карман залезут без моего разрешения.
тут другой принцип если не согласен должен сказать
> Не нужно. Печально только то, что за этим дерьмом в мой карман
> залезут без моего разрешения.Ну вот давай представим.
Стоит хозяин квартиры в дверях, а совершенно незнакомые люди выносят у него из квартиры вещи. Один взял телевизор, другой компьютер, третий микроволновку тащит. По лестнице спускается сосед. Видя такое сосед окликает растаскивающих чужое имущество. -Че творите?!
-Не парься братюня, хозяин не против. Говорит один из расхитителей. Ну ладно подумал сосед.
И подойдя к хозяину квартиры спросил. -Можно тогда я шкаф заберу? Хозяин квартиры с задумчивым видом продолжал молчать. Подождав ответа минуту сосед подумал. Наверное можно коли он молчит и начал выносить шкаф.
Увы и ах, да. Из легальных выходов для себя вижу только прекращение быть налоговым резидентом. Путь не быстрый, но реальный.
> Увы и ах, да. Из легальных выходов для себя вижу только прекращение
> быть налоговым резидентом. Путь не быстрый, но реальный.Этой Планеты? :)