1.1, Вереск (?), 08:59, 04/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А чем Альт отличается от других дистрибутивов общей направленности? И вообще, как проходит такая сертификация, если по-простому?
| |
|
2.4, Diozan (??), 09:05, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Подаешь заявку, платишь деньги и сертифицируешь. Сертификат выдается на тот продукт, который был указан в заявке. Сертифицировать могут единичный экзкмпляр, серию или всю линейку продукта.
| |
2.6, wS (?), 09:09, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Если есть желание Сертифицировать свой дистрибутив, то компания подаёт заявки в ФСТЭК, те в свою очередь говорят нормы и что им нужно будет показать, по которым будут сертифицировать...
Компания показывает документацию + исходники (определённые), и после небольших нервотрёпок, дистр сертифицирован.
Соответственно цена дистра повышается:) так уже сделал Ред Хард с Энтерпрайзами 4, Винда (XP и 2003) и АльтЛинукс...
| |
2.23, pavlinux (ok), 13:44, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
> как проходит такая сертификация, если по-простому?
Как, как - иметь друга или подкармливать человека и ФСБ/ФСТЭК, для остальных много болтать,
обещать, при каждом приезде сертификационной комиссии накрывать поляну, особо сомневающихся, так же, подкормить. Особенно они тащатся, когда документация оформлена по ГОСТ (ЕСКД).
| |
|
1.2, Читатель (?), 09:02, 04/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Сначала, подумал классно, но решил поинтересоваться, а что это может значить:
Показатели защищенности от несанкционированного доступа к информации - по 5 классу защищенности
в переводе
Простейшие фильтрующие маршрутизаторы - 5 класс
Второй пункт, более длинный, перечислять его нет смысла...
Обобщить можно так:
Только самые младшие классы пройдены... :(
| |
|
2.7, Andrew Kolchoogin (?), 09:18, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Мнда. До Государственной Тайны нам еще, как до Китая раком...
Интересно вот что: почему, все-таки, до третьего-то не дотянули? В ALT Linux Desktop не поставляется RBAC?
| |
|
3.13, Michael Shigorin (ok), 11:23, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
> До Государственной Тайны нам еще, как до Китая раком...
Ой, не надо про Китай, он на деле слишком близко. Соответственно и тут -- будет интерес, не думаю, что результат заставит долго ждать.
Штатный альт заметно сильнее многих закручен -- знакомые openbsd'шники охарактеризовали наш basesystem как "ну вы и параноики", СБУ вот тоже лет пять-шесть как использует ALT ("мы его внутри сертифицировали, потому как надо же на чём-то _работать_"). Поэтому кажется мне, что там как раз дело техники.
> В ALT Linux Desktop не поставляется RBAC?
Нет. RSBAC-дистрибутив (Castle) помер бетой лет пять тому. IMHO он попросту на эти пять лет раньше времени и появился. Недавно было обсуждение по части SELinux, но каких-либо движений ещё не видел (хотя мог и пропустить). Что там ещё есть из RBAC/MAC...
| |
|
4.18, Andrew Kolchoogin (?), 12:43, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>> В ALT Linux Desktop не поставляется RBAC?
>> Нет. RSBAC-дистрибутив (Castle) помер бетой лет пять тому.
Я не имел в виду конкретную реализацию RBAC -- SELinux при правильно спроектированной полиси полностью эквивалентен тому, что предоставляет RSBAC. Я, когда увидел, что есть отдельная LSM'ка, реализующая RSBAC, долго читал пейджер и много думал над вопросом: "А нахрена попу гармонь?"
Но, насколько мне известно, в Linux'е нет Trusted Networking'а, так что бить надо именно в эту стену. Но это задача не из легких, осознаю. ;)
| |
4.22, Аноним (22), 13:12, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
> Штатный альт заметно сильнее многих закручен -- знакомые openbsd'шники охарактеризовали наш basesystem как "ну вы и параноики",
Плохая шутка.
| |
|
5.31, Michael Shigorin (ok), 22:25, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>> Штатный альт заметно сильнее многих закручен -- знакомые openbsd'шники
>> охарактеризовали наш basesystem как "ну вы и параноики",
>Плохая шутка.
Какой аноним, такая и шутка.
А фраза принадлежит Игорю Грабину, конкретно была про only_from = 127.0.0.1 в /etc/xinetd.conf по умолчанию (при том, что это же плюс disabled=yes содержится в xinetd-конфигурации, кажется, каждого сервиса, который из-под него запускается).
Ещё можно спросить Серёжу Рыбальченко, хотя он вроде не хакер, просто опёнковод с альтовым стажем в том числе.
| |
|
6.35, anonymous (??), 07:55, 05/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
# grep only_from /etc/xinetd.conf
only_from = localhost
# uname -a
Linux carceri 2.6.24-gentoo-r8 #1 SMP Fri Jul 11 18:45:46 YEKST 2008 i686 Intel(R) Pentium(R) III CPU 1200MHz GenuineIntel GNU/Linux
Йа параноег?
| |
|
|
4.26, anesth (ok), 15:11, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Михаил, а вы случайно не знаете, как в Украине дела обстоят с такими вещами? Очень грустно?
| |
|
5.32, Michael Shigorin (ok), 22:32, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Михаил, а вы случайно не знаете, как в Украине дела обстоят с
>такими вещами? Очень грустно?
С сертификацией чего-либо куда-либо? Насколько помню, по продуктам сертифицировался только [скорее покойный] myLinux. По реально используемому -- что слышал из первых рук в публичной обстановке, то сказал рядом.
У меня может быть пессимистический взгляд, но когда бодаются за власть, а не работают -- то до таких мелочей нескоро руки дойдут...
| |
|
6.33, anesth (ok), 23:59, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
> У меня может быть пессимистический взгляд, но когда бодаются за власть, а не
> работают -- то до таких мелочей нескоро руки дойдут...
+100
| |
|
|
|
3.16, aen (ok), 12:25, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Мнда. До Государственной Тайны нам еще, как до Китая раком...
>
>Интересно вот что: почему, все-таки, до третьего-то не дотянули?
Это вопрос бизнеса. Подготовка к сертификации на более высокий класс стоит заметно дороже, -- нужен гарантированный спрос, чтобы за нее браться. Сертификация же на конфиденциальность, особенно при наличии опыта прежних, у нас, как правило, окупается.
| |
|
4.19, Andrew Kolchoogin (?), 12:44, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>> Интересно вот что: почему, все-таки, до третьего-то не дотянули?
> Это вопрос бизнеса. Подготовка к сертификации на более высокий класс стоит заметно
> дороже, -- нужен гарантированный спрос, чтобы за нее браться.
Из праздного любопытства: насколько заметно? Порядок величины есть?
| |
|
5.21, aen (ok), 13:12, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>> Интересно вот что: почему, все-таки, до третьего-то не дотянули?
>> Это вопрос бизнеса. Подготовка к сертификации на более высокий класс стоит заметно
>> дороже, -- нужен гарантированный спрос, чтобы за нее браться.
>
> Из праздного любопытства: насколько заметно? Порядок величины есть?
На порядок.
> | |
|
|
|
2.10, Paver (ok), 10:11, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Сначала, подумал классно, но решил поинтересоваться, а что это может значить:
Это значит, что государственные организации могут законно использовать Альтлинукс при работе с конфиденциалкой. Раньше безАЛЬТернативно требовался МС.
| |
2.29, anonim (?), 17:46, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
> Сначала, подумал классно, но решил поинтересоваться, а что это может значить:
Показатели защищенности от несанкционированного доступа к информации - по 5 классу защищенности в переводе Простейшие фильтрующие маршрутизаторы - 5 класс
Ты попутал, НСД 5 класс и межсетевые экраны 5 класс -- это очень разные вещи.
fstec.ru тебе для чтения.
| |
|
3.30, Читатель (?), 17:59, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>> Сначала, подумал классно, но решил поинтересоваться, а что это может значить:
>
>Показатели защищенности от несанкционированного доступа к информации - по 5 классу защищенности
>в переводе Простейшие фильтрующие маршрутизаторы - 5 класс
>
>Ты попутал, НСД 5 класс и межсетевые экраны 5 класс -- это
>очень разные вещи.
>fstec.ru тебе для чтения.
Я сначала туда и сунулся ;) только на сайте чистый-белый-лист
| |
|
|
1.5, Onotoley (?), 09:07, 04/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
1) это приятное преодоление бюрократических барьеров, или ядро Альта имеет драматические отличия от ванильного, для прохождения сертификации?
2) народ, проясните пожалуйста такой момент: допустим сертифицируют систему на ядре 2.6.18 с утилитами - ура, сертифицировали на офигительный уровень безопасности. Через полгода имеем уже 2.6.22, с тележкой пофиксенных и не очень уязвимостей в changelog-e, что даёт сертификат в таком случае?
| |
|
2.11, WinLin (??), 10:21, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Странное у нас государство само с себя денег требует
(госучреждения с персональными данными).
Обновления тоже нужно сертифицировать :)
Про безопасность при сертификации думают в последнюю очередь.
К примеру покупается ОДИН CDROM WinXP PRO на 70 пользователей,
CD отсылается в Москву для проверки.
Такое удовольствие стоит: 70*2.5~175000 руб, но диск был ОДИН :)
В качестве бонуса - получаете доступ 70 клиентов к защищенному сайту
для скачивания обновлений. Установка обновлений с microsoft.com запрещена.
Встречное предложение:
выложить на сайта ФСТЭК или другой организации контрольные суммы всех CDROM microsoft.
При работе с электронной подписью (шифрованием) почти такая же смешная ситуация?
| |
|
3.14, Michael Shigorin (ok), 11:26, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Насколько помню, сертифицированный вариант Master 2.0 ("Утёс-К") проходил как "вместе с обновлениями" -- уж не знаю, что это означает -- сертификацию процесса их выпуска, что ли?
PS: дело не в 2.6.18 vs 2.6.22, дырки-то и в .18 можно затыкать. А в том, каков статус системы, к которой применён исправляющий известную дырку апдейт -- всё так же сертифицированный или уже нет.
| |
|
2.17, aen (ok), 12:29, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>1) это приятное преодоление бюрократических барьеров, или ядро Альта имеет драматические отличия
>от ванильного, для прохождения сертификации?
Нет, в случае сертификации на конфиденциальность, не имеет.
>2) народ, проясните пожалуйста такой момент: допустим сертифицируют систему на ядре 2.6.18
>с утилитами - ура, сертифицировали на офигительный уровень безопасности. Через полгода
>имеем уже 2.6.22, с тележкой пофиксенных и не очень уязвимостей в
>changelog-e, что даёт сертификат в таком случае?
Существует возможность ускоренной сертификации обновлений ограниченного числа пакетов. Но это все равно не так быстро, как хотелось бы.
| |
|
1.8, Аноним (8), 09:31, 04/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Дает бумажку ;)
Т.е. в некоторых областях не разрешается использовать не сертифицированые решения.
и когда дяди будут проверять, проверять они будут не по факту того что система уязвима, а со стороны соблюдения всех правовых норм ;).
| |
|
2.20, Andrew Kolchoogin (?), 12:46, 04/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
> Дает бумажку ;)
Безусловно.
> Т.е. в некоторых областях не разрешается использовать не сертифицированые решения.
> и когда дяди будут проверять, проверять они будут не по факту того
> что система уязвима, а со стороны соблюдения всех правовых норм ;).
Гражданин имеет богатый опыт сертификации в ГТК/ФСТЭК программно-аппаратных комплексов? Можно увидеть список засертифицированного с участием гражданина?
| |
|
1.15, Michael Shigorin (ok), 11:30, 04/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну и если сюда заглянёт Илья Шпаньков -- дружеское предложение вспомнить моё предупреждение насчёт разнесения непроверенной и неправдивой информации, а заодно и вообще подумать, что к чему... про сертификацию мандривы так ничего и не слышно, стоило сыр-бор разводить.
| |
1.24, pavlinux (ok), 13:58, 04/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ЛЮДИ!!!! Можете ставить Debian Etch 4.0 - Он прошел проверку ФСБ. :)
подробностей не скажу, а то ещё посодют.
| |
|
2.34, SkyRanger (??), 01:17, 05/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>ЛЮДИ!!!! Можете ставить Debian Etch 4.0 - Он прошел проверку ФСБ.
>:)
>подробностей не скажу, а то ещё посодют.
Ну может и не посодють, а проведут "разьяснительную работу" после которой отпадет всякое желание на подробности ;)
| |
|
3.37, Piter Ring (?), 16:47, 05/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>ЛЮДИ!!!! Можете ставить Debian Etch 4.0 - Он прошел проверку ФСБ.
>>:)
>>подробностей не скажу, а то ещё посодют.
>
>Ну может и не посодють, а проведут "разьяснительную работу" после которой отпадет
>всякое желание на подробности ;)
Мда, какие вы все зашуганные... ну прям как при Брежневе.
| |
|
|
|