[Comm] Еще раз об Мастере и Утес-К

[Comm] Еще раз об Мастере и Утес-К

[ASA]

Hello community,

Мне,   как  системному  администратору,  хочется  понять  точную
разницу между словами "Мастер" и "Утес-К", т.к. сейчас я работаю
на  как  раз  таком предприятии, где эта разница в будущем может
оказаться существенной.

Поэтому несколько вопросов "на засыпку":

Соотношение между "Мастером" и "Утес-К" с математической точки
зрения. То есть: 
  Является ли множество пакетов "Мастера" тождественным множеству
пакетов "Утес-К" (с точностью до количества пакетов и их
контрольных сумм), и если: 
  1) ответ: "да", то получается, что я могу свою установку
    "Мастера" назвать "Утес-К" или нет? если могу, то при
    установке пакетов из Сизифа я теряю это право или нет?
  2) ответ "почти да" (то есть где-то заменены слова "Мастер" на
    "Утес-К") - почему такое оказалось возможным, и что дальше
    делать?
  3) ответ - "нет" - то в чем же собственно различие (списки
    различающихся пакетов)?

Далее. После каких действий "Утес-К" перестает удовлетворять
условиям сертификации:
  - после обновления из Сизифа (или другие дистрибутивные
      решения ALT Linux)?
  - после установки постороннего (т.е. от других производителей)
      rpm-пакета? (ответ, очевидно, "да, перестает", но хотелось
      бы понять, есть ли тут какие нибудь нюансы)
  - после установки самосборного пакета (make install или
      самостоятельное заворачивание в rpm)? Тут есть еще такой
      нюанс: есть ли разница, если в rpm завернет либо
      официальный разработчик ALT Linux Team (т.е. чел, имеющий
      адрес @altlinux.ru), либо кто-то другой?
  - после написания своего "hello, world!" (или другой
      программы, написанной с нуля для нужд пользователей
      системы) и помещения его (без создания пакета или с его
      созданием): а) в /usr/bin; б) в /usr/local/bin
То есть, где проходит граница, превращающая "Утес-К" в "просто
Линух", нарушающий требования сертификата?

Дополнительный   вопрос   ("на  суперприз"):  откатим  все  (или
некоторые)  изменения,  на  которые в предыдущем вопросе был дан
ответ  "да,  перестает"  - восстановится ли система до состояния
"удовлетворяет   условиям"?   Если   нет,   то  какие  изменения
допустимы для сохранения возможности восстановления?

-- 
Best regards,
 ASA                          mailto:llb@udm.ru

Re: [Comm] Еще раз об Мастере и Утес-К

[AntonFarygin]

[-- Attachment #1: Type: text/plain, Size: 6729 bytes --]

ASA пишет:

>Hello community,
>
>Мне,   как  системному  администратору,  хочется  понять  точную
>разницу между словами "Мастер" и "Утес-К", т.к. сейчас я работаю
>на  как  раз  таком предприятии, где эта разница в будущем может
>оказаться существенной.
>
>Поэтому несколько вопросов "на засыпку":
>
>Соотношение между "Мастером" и "Утес-К" с математической точки
>зрения. То есть: 
>  Является ли множество пакетов "Мастера" тождественным множеству
>пакетов "Утес-К" (с точностью до количества пакетов и их
>контрольных сумм), и если: 
>  1) ответ: "да", то получается, что я могу свою установку
>    "Мастера" назвать "Утес-К" или нет? если могу, то при
>    установке пакетов из Сизифа я теряю это право или нет?
>
1) - ответ нет. Утес-К - это Master + Security updates

>  2) ответ "почти да" (то есть где-то заменены слова "Мастер" на
>    "Утес-К") - почему такое оказалось возможным, и что дальше
>    делать?
>  3) ответ - "нет" - то в чем же собственно различие (списки
>    различающихся пакетов)?
>
+ Во многих местах master заменено на Утес-К (это все-таки юридически 
другой продукт, и это не наше требование) и поэтому контрольные суммы 
отличаются. Соответственно превратить Master в _сертифицированный_ 
Утес-К не получится.

>
>Далее. После каких действий "Утес-К" перестает удовлетворять
>условиям сертификации:
>  - после обновления из Сизифа (или другие дистрибутивные
>      решения ALT Linux)?
>
Да

>  - после установки постороннего (т.е. от других производителей)
>      rpm-пакета? (ответ, очевидно, "да, перестает", но хотелось
>      бы понять, есть ли тут какие нибудь нюансы)
>
Ответ - не совсем - смотрите внизу ограничения по применению.

>  - после установки самосборного пакета (make install или
>      самостоятельное заворачивание в rpm)? Тут есть еще такой
>      нюанс: есть ли разница, если в rpm завернет либо
>      официальный разработчик ALT Linux Team (т.е. чел, имеющий
>      адрес @altlinux.ru), либо кто-то другой?
>
см. ниже

>  - после написания своего "hello, world!" (или другой
>      программы, написанной с нуля для нужд пользователей
>      системы) и помещения его (без создания пакета или с его
>      созданием): а) в /usr/bin; б) в /usr/local/bin
>
см. ниже.

>То есть, где проходит граница, превращающая "Утес-К" в "просто
>Линух", нарушающий требования сертификата?
>
см.ниже.

>
>Дополнительный   вопрос   ("на  суперприз"):  откатим  все  (или
>некоторые)  изменения,  на  которые в предыдущем вопросе был дан
>ответ  "да,  перестает"  - восстановится ли система до состояния
>"удовлетворяет   условиям"?   Если   нет,   то  какие  изменения
>допустимы для сохранения возможности восстановления?
>
>  
>
Часть вопросов освещена тут:
Ограничения по применению ЗИС "Утес-К"

    Установка, настройка, администрирование и выполнение всех работ по 
контролю за функционированием и безопасностью ЗИС "Утес-К" должны 
выполняться квалифицированными сотрудниками, прошедшими обучение на 
соответствующих учебных курсах.
    В случае интеграции ЗИС "Утес-К" в какую-либо сетевую инфраструктуру 
и организации работы ЗИС "Утес-К" в сети, подключение, администрирование 
и контроль безопасности системы должны выполняться квалифицированными 
сотрудниками, прошедшими обучение на учебных курсах, посвященных 
вопросам сетевой безопасности.
     На этапе эксплуатации ЗИС "Утес-К" должны быть предусмотрены 
организационно-технические процедуры по сопровождению программных 
продуктов, входящих в ЗИС "Утес-К".
    Серверные программные продукты сторонних производителей, 
устанавливаемые в ЗИС "Утес-К", должны запускаться с ограниченными 
правами доступа и должны быть сконфигурированы на работу в условиях 
ограниченного доступа к файловой системе (так называемый "chrooted 
enviroment").
    При эксплуатации ЗИС "Утес-К" не должен производиться запуск 
прикладного программного обеспечения от имени пользователя с 
административными правами доступа к системе.
    На компьютере с ЗИС "Утес-К" не должно быть других операционных систем.
    Должна быть исключена возможность загрузки системы с любых устройств 
компьютера (или по сети) кроме жесткого диска, на который установлена 
ЗИС "Утес-К". Выбор устройств первоначальной загрузки, изменение 
настроек BIOS должны быть закрыты паролем. Системный блок, клавиатура, 
монитор должны быть опечатаны, и иметь единую инвентарную нумерацию.
    При удалении пользователя из ЗИС "Утес-К" должны быть выполнены: 
блокировка учетной записи пользователя; анализ содержимого его файлов на 
предмет передачи прав владения другому пользователю либо уничтожения; 
удаление учетной записи пользователя из учетного файла.
    Должны быть предусмотрены организационно-технические меры для 
резервного хранения и восстановления информации пользователей ЗИС "Утес-К".
    При установке ЗИС "Утес-К" должны быть заданы пароли, как для 
администратора системы, так и для всех пользователей. Функциональные 
возможности "вход без пароля" и "пользователь по умолчанию" 
использоваться не должны.
    Доступ к системе через средство удаленного администрирования ssh для 
администратора должен быть закрыт. Действия по администрированию в 
данном случае должны выполняться через механизмы предоставляемые 
средствами su/sudo.
    Для выполнения аутентификации в ЗИС "Утес-К" должны быть 
использованы механизмы управления теневыми паролями TCB.
    Не допускается внесение изменений в компоненты КСЗ ЗИС "Утес-К". В 
случае необходимости модификации КСЗ ЗИС "Утес-К" проводится повторная 
сертификация.
    При функционировании ЗИС "Утес-К" должен быть запущен модуль 
регистрации событий доступа к объектам (protocol). В связи с большим 
объемом регистрационной информации, получаемой в процессе контроля 
доступа к объектам (файлам) необходимо провести тщательную настройку 
средств автоматического архивирования регистрационной информации (c 
помощью программы logrotate) и предусмотреть организационно-технические 
меры по ежедневному анализу регистрационной информации.
    При анализе записей аудита по использованию средств безопасного 
удаления учитывать, что имя удаляемого файла в регистрационных записях 
не будет соответствовать целевому имени файла. Это обусловлено 
механизмом работы программы безопасного удаления файлов (shred), где 
сначала файл открывается на запись, с ним производятся действия, 
изменяющие его содержимое (перезапись случайной информацией), затем 
переименование и удаление. Целевое имя файла удаляемого данным методом 
регистрируется в системных журналах не в качестве удаляемого файла 
(protocol on unlink), а в качестве открываемого (protocol on open).


Rgds,
Rider

P.S. В дальнейшем такие вопросы просьба отправлять на org@, т.к. в этом 
списке есть вероятность не получить ответ на подобный вопрос.


[-- Attachment #2: Type: application/pgp-signature, Size: 252 bytes --]

[Comm] Re[2]: [Comm] Еще раз об Мастере и Утес-К

[ASA]

Hello AntonFarygin,

Saturday, December 21, 2002, 11:08:53 AM, you wrote:

Спасибо за ответы.

A>     Доступ к системе через средство удаленного администрирования ssh для
A> администратора должен быть закрыт. Действия по администрированию в 
A> данном случае должны выполняться через механизмы предоставляемые 
A> средствами su/sudo.
То есть имеется в виду, что вообще доступ по ssh - разрешен,
но не root. Что ж, вполне стандартное и логичное требование.

A> P.S. В дальнейшем такие вопросы просьба отправлять на org@, т.к. в этом
A> списке есть вероятность не получить ответ на подобный вопрос.
Ок. Пока что этот вопроос был мной задан неофициально (в порядке
моих собственных исследований существующего положения дел).

-- 
Best regards,
 ASA                            mailto:llb@udm.ru

Re: [Comm] Re[2]: [Comm] Еще раз об Мастере и Утес-К

[AntonFarygin]

[-- Attachment #1: Type: text/plain, Size: 615 bytes --]

ASA пишет:

>Hello AntonFarygin,
>
>Saturday, December 21, 2002, 11:08:53 AM, you wrote:
>
>Спасибо за ответы.
>
>A>     Доступ к системе через средство удаленного администрирования ssh для
>A> администратора должен быть закрыт. Действия по администрированию в 
>A> данном случае должны выполняться через механизмы предоставляемые 
>A> средствами su/sudo.
>То есть имеется в виду, что вообще доступ по ssh - разрешен,
>но не root. Что ж, вполне стандартное и логичное требование.
>  
>
Да. Т.е. - система по умолчанию поставляется именно в таком состоянии. А 
это просто требование к администраторам.

Rgds,
Rider


[-- Attachment #2: Type: application/pgp-signature, Size: 252 bytes --]

Re: [Comm] Еще раз об Мастере и Утес-К

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 674 bytes --]

On Sat, Dec 21, 2002 at 10:08:53AM +0300, AntonFarygin wrote:
> > Является ли множество пакетов "Мастера" тождественным множеству
> >пакетов "Утес-К" (с точностью до количества пакетов и их
> >контрольных сумм), и если: 
> > 1) ответ: "да", то получается, что я могу свою установку
> >   "Мастера" назвать "Утес-К" или нет? если могу, то при
> >   установке пакетов из Сизифа я теряю это право или нет?
> >
> 1) - ответ нет. Утес-К - это Master + Security updates

... + ещё несколько пакетов специально для Утес-К.

> P.S. В дальнейшем такие вопросы просьба отправлять на org@, т.к. в этом 
> списке есть вероятность не получить ответ на подобный вопрос.

Именно.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Еще раз об Мастере и Утес-К

[sam]

21 Декабрь 2002 10:08, Вы написали:
<skip>
> Rgds,
> Rider
>
> P.S. В дальнейшем такие вопросы просьба отправлять на
> org@, т.к. в этом списке есть вероятность не получить
> ответ на подобный вопрос.
Большое спасибо за то, что Вы все таки ответили на вопрос 
,я думаю было весьма интересно не только автору вопроса. 
Может быть выложить эту информацию в каком либо виде на 
www.altlinux.ru?
-- 
С уважением, Степанов Алексей, СПб

Re: [Comm] Еще раз об Мастере и Утес-К

[AntonFarygin]

[-- Attachment #1: Type: text/plain, Size: 510 bytes --]

sam пишет:

>21 Декабрь 2002 10:08, Вы написали:
><skip>
>  
>
>>Rgds,
>>Rider
>>
>>P.S. В дальнейшем такие вопросы просьба отправлять на
>>org@, т.к. в этом списке есть вероятность не получить
>>ответ на подобный вопрос.
>>    
>>
>Большое спасибо за то, что Вы все таки ответили на вопрос 
>,я думаю было весьма интересно не только автору вопроса. 
>Может быть выложить эту информацию в каком либо виде на 
>www.altlinux.ru?
>  
>
Да, обязательно выложим. Как только Утес-К появится в продаже.

Rgds,
Anton


[-- Attachment #2: Type: application/pgp-signature, Size: 252 bytes --]