Astra Linux — на хромой лошади экономику не объедешь
В советские времена был тотальный дефицит и иногда приходилось спать на полу, потому что в магазинах не было даже кроватей. Сейчас в эпоху загнивающего капитализма всё есть, но государство в приказном порядке заставляет спать на полу. Проблема в том, что мы не делаем своих «кроватей», а в чужих могут скрываться подслушивающие устройства. По логике вещей надо бы всё-таки начать делать свои. Во всех случаях на хромой лошади экономику не поднимешь.
Для тех, кто не знает: Astra Linux – это устаревшая версия (5 летней давности) почти свободно распространяющейся операционной системы Linux, в которую добавлено несколько программ. При этом они немного меняют интерфейс по типу всем известных ТЕМ для рабочих столов или смартфонов. Этот нехитрый конгломерат якобы проверен сотрудниками ФСО на предмет отсутствия в нем шпионских закладок, и данный фактор является основным для всех наших госучреждений – ведь в каждом управлении дворниками так много государственных тайн!
У нас как у программистов вызывает легкий антагонизм попытка загнать страну в каменный век. И тяжелый смех по поводу уверенности наших властей в том, что информацию с камней прочитать невозможно. В век сверхскоростного прогресса пытаться развивать технологии на рунах – мракобесие, мы так и до святой инквизиции дойдем, или дошли? Государственные органы России на законодательном уровне отлучены от всего нового – разрешено только хорошо проверенное соответствующими органами старое. И в общем-то в этой фразе звучит некий позитив, типа старое – надежнее. Но, к сожалению, это не так, все развивающиеся операционные системы, все антивирусы, любое ПО постоянно обновляется не только потому, чтобы дать людям новых функций, 90% новшеств – это устранение старых ошибок и защита от постоянно появляющихся угроз. И именно тот, кто не успевает бороться с нападением, обречен на поражение.
Ладно, допустим тот факт, что нарушить жизнедеятельность российской инфраструктуры и предприятий сложно – просто потому что они ни к чему не подключены. (Вообще, фраза достойна первого места на каком-нибудь юмористическом стендап-шоу.) Только почему постоянным диссонансом звучат все государственные тендеры? Какую закупку ни возьми, в техзаданиях огромный список интеллектуальных функций. Причем российская специфика закупок отличается особенной изощренностью в требованиях сказочных возможностей. Попытка из булыжников сложить искусственный интеллект – редкостное безумие. Как говорил Жванецкий, может что-то в консерватории подправить?
Спецлаб, как и другие, перестроился под безусловное требование всех гостендеров, хочешь кушать – ваяй из того, что дают. Чтобы заставить новые видеотехнологии работать, приходится в свой софт включать все обновления для Линукс, которые накопились за последние 5 лет в этой операционке. Плюс добавлять массу других библиотек, не делающих ось надежнее и безопаснее. И это прокатывает, потому что там наверху волнует лишь сам процесс покупки Астралинукса. Кстати сказать, много кто пытался продавать свои версии Линукса, но быстро менял название, т.к. у операционной системы Linux, если кто-то еще не знает, есть свой хозяин. Нисколько не удивимся, что и Астралинукс проживет недолго.
А так можно и Astra Windows забацать, по сути, добавить туда свою оболочку – и получите новый продукт. Тексты Windows также хранятся и проверены в ФСО, поэтому нет никакой разницы. Лишь мы точно знаем, что деньги придется отчислять американцам, а не якобы русским в случае с Астралинуксом – поглубже копни, счета найдутся в тех же заграницах. Так может погреть руки на тупости и разгильдяйстве? Кто готов покупать российскую операционную систему Astra Windows? Вы спросите, что в ней русского? – А что русского в Astra Linux?
Вообще сам Линукс — дело хорошее. Конечно, не Астра, которую мы якобы новую все время скачиваем с сайта производителя конгломерата, где новое только сам конгломерат. Если брать современный Линукс — классная чтука. Но кто из наших государственных мужей умеет им пользоваться?
Если и раньше чиновники боялись подходить к компьютеру, то теперь и подавно никто не освоит Линукс.
От человека, который получает 30 рублей в час, требовать знание Линукс, серьезно?
На весь наш регион в почти миллион жителей есть только два сотрудника в ВЦ УВД, кто знает Линукс. Один из них — постоянно уходящая в декрет женщина. Другой — молодой парнишка, пытавшийся откосить от армии, но и его забирают.
Господа, кто придумал делать деньги на бесплатном Линуксе, вы положили нашу экономику!
Источник
Astra Linux 1.6 (Смоленск). Готова ли система к работе с простыми пользователями? Примеры костылей
Нейтрализация пользователя и процесс установки новой ОС
Привет, Хабр. Сегодня хотим поделиться опытом миграции одной организации (далее – Заказчик) на отечественную ОС в рамках выполнения требований по импортозамещению. Сразу нужно обозначить, что Заказчик выбрал и закупил эту ОС самостоятельно. Нам же досталось удовольствие развертывания, оптимизации этой ОС и выполнение требований по защите информации.
Задача
Имеется государственная информационная система 2 класса защищенности (далее – ГИС) с порядка 1000 условно однотипных пользователей, со строго определенным кругом служебных задач. Сама ГИС состоит из веб-сервисов, распределенных примерно на 30 объектах с локальными базами. Также есть удаленные рабочие места в поселениях. При этом есть общий домен (но далеко не везде), есть шары локальные/корпоративные. Парк компьютеров и оргтехники кое-где не первой свежести, каналы передачи между объектами не ахти. Есть системные администраторы на местах и главные в управлении. В общем, стандартная ситуация, характерная для средних госучреждений перед великой миграцией на отечественное ПО.
Проблемы, тесты, изучение
1. Шару мы подключали через астровский графический файловый менеджер (fly-fm). С отображением русских имён файлов на «оконных» шарах проблем нет. Но эти имена превращаются в набор нечитаемых человеком символов при копировании этих файлов на рабочий стол и в другие места на диске. По этому вопросу работали с разработчиками, вопрос сложный, хоть и фиксы есть.
Есть способ монтирования шары средствами Linux, независимо от особенностей астровского софта. Способ работает, но требует времени на тестирование в реальных условиях. Предварительные испытания показали, что файлы не коверкаются при отображении и копировании, но есть проблемы с совместимостью с некоторыми версиями Windows Server. Суть проблем с разграничением доступа к файлам на шаре при подключении Linux-клиента, тестируем подключение с различными опциями, рекомендуемыми разработчиками пакета cifs-tools, который отвечает за монтирование шар. Иногда используем autofs, в остальных случаях инструктируем как «не надо делать» из того что они привыкли.
2. Связано с первым. При монтировании шары из астровского fly-fm, пользователи не могут сохранять файлы из Firefox непосредственно на «шару». Им приходится делать две операции, из Firefox они сначала сохраняют на рабочий стол, а потом перекидывают документ на шару. Тоже самое для того, чтобы выложить файл на сайт, сначала берут его с шары на рабочий стол, а потом уже закидывают с него в свои базы данных.
Это происходит из-за того, что Firefox использует свой собственный диалог открытия и записи файлов, в котором нет возможности указать на ту символическую ссылку шары, которую мы создали в астровском fly-fm.
Данной проблемы бы не было, используй астра не своё графическое окружение, а какое-нибудь из популярных в Linux. Пока что остается использовать autofs или писать инструкции сотрудникам о правилах копирования и загрузки файлов.
3. Расшаривание USB-принтеров в сеть. Два варианта стандартных: через сервер печати cups и samba протокол не взлетели со стандартными настройками. ПокрутилиПеревели в режим клиента, и подключили к CUPS другого компьютера и заработало, только с оговоркой – у одного клиента может быть только 1 сервер печати и компьютер, настроенный в режим клиента, не может использовать свои локальные Принтеры, потому как свой сервер печати глушится.
4. В учреждениях часто используют макросы в документах предыдущего офисного пакета. Эти макросы несовместимы с макросами в Libre Office, потому что в последнем они пишутся не на Visual Basic, а на Java.
И более того, создатели Астры выкинули из дистрибутива всё связанное с Java, т. к. она принадлежит американской компании Oracle. Т. е. написать макросы в астровском офисе пока вообще невозможно. Единственный вариант — эмуляция или рядом стоящий компьютер с «Окнами».
Выводы и принятые решения
По анализу сложившейся ситуации с инфраструктурой было решено, что автоматизация процесса перехода на отечественную ОС может повлечь неожиданные неприятности. Такой подход можно было применять только в управлении (центральный офис) – в случае чего можно было оперативно отреагировать. На локальных объектах в районах хоть и были вполне типовые рабочие места и техпроцессы, это не дает полной стандартизации и возможности «тихой установки».
Что все-таки мешало запустить одновременную установку по сети:
- отсутствие общего домена;
- зоопарк железа и периферии;
- загрузка из сети не является приоритетной, все равно нужно доехать до удаленного рабочего места и сменить порядок загрузки (как следствие отсутствия централизованного домена – нет оперативной возможности устанавливать какие-либо агенты для предварительной настройки);
- плохие каналы связи с удаленными рабочими местами и между объектами;
- техпроцесс хоть по большей части и типовой, но по факту все равно переводились не все пользователи, т. к. у значительной части есть задачи, которые можно пока что выполнять только по Windows;
- одновременная переустановка ОС на всех компьютерах без дополнительной пользовательской донастройки парализует работу всего учреждения, что является недопустимым.
В итоге было принято решение сформировать максимально универсальный дистрибутив для развертывания руками на месте. Дополнительно пришлось организовать каналы технической поддержки системных администраторов на местах, для консультаций и транслирования опыта работы со служебными задачами.
В целом по теме перехода на отечественное программное обеспечение: на данный момент так и не решены вопросы с миграцией многих приложений. Как совершенно стандартных, так и экзотических (в том числе – самописных). Поэтому миграция на новую ОС сейчас это, в том числе, нахождение оптимальных решений выполнения служебных задач заново и, возможно, существенное изменение существующих технологических процессов организаций. Что в свою очередь может повлечь потребность в актуализации/пересмотре проектных и аттестационных документов, ну и прочие философские размышления на тему ИБ в масштабах страны.
Миграция в рассмотренной организации продолжается. Намечены этапы, выбраны следующие объекты и другие рабочие места для перехода на новую ОС. Также этот проект коррелируется со спущенным сверху планом перехода на отечественное ПО в других наших Заказчиках и новых клиентах. Пока процесс прогрессирует сложно, хоть и порой срочно, но разнообразные подходы тестируются и затем применяются. Информации для аналитики, выбора решений предостаточно, будем обязательно освещать по мере сил и возможности.
Далее технические детали, шаманства и костыли.
Подготовка флэшки и установка
1. Для установки понадобится флэшка или иной внешний USB-накопитель NTFS объёмом не
менее 16Гб. Образ Porteus весит 270Мб. Это по сути мобильный Линукс, который нужен только для запуска нашего скрипта-инсталятора. Образ устанавливаемого Астра Линукс весит 8Гб. При желании можно ужать образ на пол гига и тогда хватит и 8 гиговой флэшки.
2. Скопируйте на неё образ системы и дерево каталогов слегка изменённой нами портативной ОС Porteus.
3. Сделайте флэшку загрузочной, запустив скрипт:
4. Загрузитесь с подготовленного накопителя и следуйте инструкции:
Для Porteus нами был создан модуль, содержащий bash-скрипт развёртывания Astra Linux в диалоговом режиме.
Скрипт сканирует загрузочный накопитель на наличие образов системы, позволяет выбрать диск для установки системы, разворачивает на него образ, и позволяет сделать некоторые установки перед первой загрузкой системы.
Изменения, внесённые нами в конфигурацию системы
1. Включили цифровую клавиатуру на экране приветствия системы, по умолчанию была выключена. Опция «NumLock=On» в конфигурационном файле:
2. Устранили артефакты и медленную отрисовку окон для встроенных видеокарт на базе чипов Intel, включив режим отрисовки UXA в файле:
3. Добавлена возможность сделать локальный сервер печати CUPS клиентом другого сервера. Это позволяет использовать принтеры, подключенные к другим Linux машинам по USB, когда возникают проблемы с их подключением по сети через веб интерфейс.
Здесь необходимо убрать комментарий строки и дописать адрес удалённой машины с принтером. После этого принтер сразу же будет доступен для печати.
4. Переписаны файлы конфигурации отображения шрифтов. Добавлена возможность включения и отключения их сглаживания на общесистемном уровне, а не на уровне приложений.
За включение и выключения сглаживания отвечают скрипты:
5. Добавлена сетевая папка для сканирования с сетевых МФУ, позволяющих сохранять изображения по smb протоколу. В стандартный файл конфигурации Samba-сервера:
а так же комментированная секция для быстрого создания публичной папки обмена:
в системе зарегистрирован samba-пользователь scan с паролем scan
6. Создан скелет настроек для вновь регистрируемых локальных пользователей системы. Он содержит мелкие изменения внешнего вида рабочего стола, изменённые настройки пользовательских приложений, сертификаты для подключения браузера к необходимым сетевым ресурсам и т.д. Некоторые изменения будут описаны подробно далее по тексту.
7. Создан файл конфигурации сервиса rc-local для подсистемы инициализации Linux. Это даёт возможность по необходимости подгружать какие-либо скрипты на стадии инициализации системы.
8. Добавлены фирменные драйвера Xerox для некоторых сетевых принтеров.
9. Установлен и настроен пакет autofs. Позволяет подключать сетевые папки через cifs-utils на системном уровне. В файл:
создан файл конфигурации с инструкцией внутри:
10. Написан скрипт для инициализации сервера обновлений для антивируса Касперского и проверки обновления баз:
11. Добавлены обои рабочего стола и собственная тема экрана приветствия системы.
Настройка принтеров производится через страницу конфигурации CUPS в браузере по адресу: 127.0.0.1:631 или localhost:631
Страница переведена на русский язык и интуитивно понятна. Для установки принтера нужны права администратора системы. Для публикации принтеров в сети нужно активировать два пункта в параметрах сервера.
При добавлении сетевого принтера обычно используется AppSocket/HP JetDirect или протокол интернет-печати (ipp) c указанием ip адреса.
Если же сетевой принтер не подключился данными способами, то можно сделать локальный сервер печати CUPS клиентом другого сервера, отредактировав файл /etc/cups/client.conf, указав в нём сетевой адрес машины с подключенными принтерами. В этом случае вам не понадобится установка каких-либо драйверов. Хотя в базе CUPS есть огромное количество драйверов, всё же иногда требуется установка фирменных.
Для некоторых сетевых принтеров Xerox нами уже установлены фирменные драйвера и конфигуратор, команда:
При обнаружении принтера нужно будет его выбрать и указать имя очереди, оно же название принтера в системе. Некоторые модели принтеров, по умолчанию, настроены на печать страницы с номером для каждого отдельного задания. Найдите эту опцию в настройках очереди и отключите её.
Если у вас принтер HP, то лучше воспользоваться фирменными драйверами, которые так же предустановлены в систему. Перейдите в панель управления > оборудование > установка дополнительного плагина HP, затем там же > установка принтеров, факсов, сканеров HP.
Для установки сканера нужно в терминале от администратора системы ввести команду scanimage -L. Если сканер найден, вы увидите вывод с его названием. Если вывод будет пустым, то вам следует поискать фирменные драйвера в сети Интернет.
На этом пока все. Делитесь в комментариях своим опытом внедрения отечественных ОС.
Источник
