Запрет на установку linux на
Обновлено: 04.07.2024
Новые рекомендации по добавлению программ в реестр отечественного ПО запрещают вносить в него софт, компоненты которого распространяются по свободным лицензиям GPL и MPL. Рекомендации противоречат правилам, установленным Правительством России, и это, считают эксперты, может привести к тому, что из реестра будут удалены десятки имеющихся в нем программ, включая российские ОС на ядре Linux, которое распространяется как раз под GPL.
Свободные лицензии как камень преткновения
В новых рекомендациях по добавлению программ в реестр отечественного ПО обнаружены значительные противоречия: в частности, они не позволяют пополнять реестр программами и ОС, распространяемыми под свободными лицензиями GPL и MPL.
В настоящее время добавление ПО в реестр осуществляется по методическим рекомендациям, подготовленным «Центром компетенций по импортозамещению в сфере информационно-коммуникационных технологий» (ЦКИТ), возглавляемым экс-замминистра связи Ильей Массухом. Этими рекомендациями и устанавливается запрет на программы под GPL и MPL, и проблему обнаружил разработчик ПО из Томской области Антон Кулагин. Своим наблюдением он поделился в своем блоге на «Хабре».
Создание реестра отечественного программного обеспечения закреплено федеральным законом об импортозамещении ПО в госсекторе, подписанным Президентом России Владимиром Путиным в июне 2015 г. Оригинальные правила формирования реестра утверждены постановлением правительства России № 1236 от 16 ноября 2015 г. Реестр начал работу 1 января 2016 г., и на 26 мая 2020 г. в нем числится более 6600 записей.
Оригинальные правила допускают добавление в реестр ПО с компонентами, распространяемыми под свободной лицензией. По словам Кулагина, подобное противоречие парадоксально, поскольку в настоящее время в реестре отечественного ПО содержатся программы, так или иначе имеющие отношение к свободным лицензиям.
Выявленные противоречия
Разногласия между требованиями оригинальных правил и теми, что были предложены ЦКИТ, находятся в пункте 4 второго раздела рекомендаций. В нем сказано, что использованные при разработке российского ПО, указанного в заявке на добавление в реестр российского софта, сторонние компоненты должны: «правомерно использоваться (на основании открытой лицензии, лицензионного договора/оферты правообладателя компонента и т.п.) и позволять получить исключительные права на ПО, использующее их в своем составе (ключевые компоненты ПО не должны распространяться на условиях таких лицензий, как GPL, MPL и т.п.)». На запрос CNews о том, почему рекомендациями запрещено все, что связано с GPL и MPL, представители ЦКИТ на момент публикации материала ответить не смогли.
Антон Кулагин отметил, что именно этот пункт может привести к тому, что из реестра отечественного ПО могут быть удалены десятки программ. В качестве примера он привел российские ОС. По его словам, в реестре числятся не менее 40 таких систем, построенных на ядре Linux, которое с 1991 г., когда Линус Торвальдс (Linus Torvalds) приступил к его разработке, распространяется под GPL-лицензией.
К таким продуктам относятся, к примеру, ОС «Альт», ранее известная под названием AltLinux), РЕД ОС, «ОСь», а также ROSA и Astra Linux. Последняя, как сообщал CNews, выпускается в версиях для обычных пользователей и для госкомпаний и ведомств.
Кулагин подчеркнул, что, согласно действующим рекомендациям, все эти ОС были внесены в реестр с нарушением правил. Другими словами, они должны быть исключены из него без промедлений.
Возможные последствия
По мнению Антона Кулагина, если из реестра отечественного ПО будут удалены все программы, нарушающие четвертый пункт второго раздела рекомендаций ЦКИТ, одним из последствий этого станет возможность российским чиновникам официально закупать иностранное ПО. Они смогут делать это, поскольку российских аналогов у такого софта не останется.
Станет ли госсектор драйвером развития российского рынка BI
На примере операционных систем Кулагин показал, что если из реестра будут удалены Astra Linux, «Альт», и другие ОС, то чиновники смогут закупать и эксплуатировать ОС Microsoft Windows и Apple macOS. На момент публикации материала в России не было на 100% отечественных операционных систем – имеющиеся экземпляры базируются на Linux, поскольку собственного ядра для ОС в России нет.
Откуда у ЦКИТ полномочия менять правила Правительства
ЦКИТ был создан в 2016 г. по личной инициативе Президента России, и в его задачи входит оказание поддержки и решение методических и организационных вопросов в сфере импортозамещения. Центр был учрежден АНО «Институт развития интернета», Ассоциацией разработчиков ПО «Отечественный софт» и АНО «Экспертный центр электронного государства».
Согласно правилам, решение о внесении и исключении программ из реестра российского ПО принимает Минкомсвязи, опираясь, в том числе, на результаты голосования экспертного совета при этом министерстве. 26 декабря 2019 г. этот совет утвердил методические рекомендации ЦКИТ, после чего они были опубликованы на сайте Центра и получили юридическую силу равную силе других документов, имеющих отношение к реестру российского ПО.
Данный факт означает, что разработчикам ПО при направлении заявки на добавление своего продукта в реестр следует в первую очередь учитывать требования рекомендаций ЦКИТ, а затем непосредственно правил, установленных изначально. Любое отклонение от требований ЦКИТ будет служить отказом в рассмотрении заявки, а также поводом для удаления из реестра уже числящегося в нем ПО.
Другие изменения в правилах работы реестра
За четыре года существования реестра Минкомсвязи неоднократно меняла правила его функционирования. Так, в апреле 2017 г. ведомство засекретило отбор программного обеспечения, попадающего в него
Год спустя, в апреле 2018 г. Минкомсвязи выступило с предложением о внесении в правила процедуры апелляции или досудебного разрешения разногласий между разработчиками ПО и экспертным советом при министерстве. На апрель 2019 г. пришлись новые коррективы, на этот раз связанные с гарантийным обслуживанием. Они гласят, что после вступления новых правил в силу этим обслуживанием, а также технической поддержкой и модернизацией программ из состава реестра могут заниматься исключительно российские компании без преобладающего иностранного участия или непосредственно граждане России (физлица).
Этот призыв к действию вызвал бурю среди IT-блоггеров. Сторонников открытого кода представляет Стивен Дж. Воган-Николс ( Steven J. Vaughan-Nichols ), который называет UEFI клеткой и убеждает всех подписать петицию Фонда, чтобы «ваш компьютер оставался в ваших руках, а не в руках Microsoft». По другую сторону баррикад – Эд Ботт (Ed Bott), который задается вопросом, почему «фанатики Linux» хотят сделать «Windows 8 менее защищенной».
Ребята, давайте жить дружно, а? Во всяком случае, стоило бы попытаться.
Примечание: Следует заметить, что «безопасная загрузка» лишит владельцев компьютеров возможности устанавливать не только Linux, но и старые версии Windows.
На самом деле, для того чтобы вникнуть в суть проблемы, нужно оценить картину в целом, а не только с точки зрения одной из сторон. Если вы считаете, что речь идет о «Windows против Linux» или «Windows против открытого ПО», вы заблуждаетесь, и причем глубоко. Почему? Потому что, грубо говоря, «враг народа» в данном случае – не Microsoft, не Linux и даже не «безопасная загрузка», а производители, которые будут выпускать компьютеры с Windows 8.
Да, действительно, Microsoft сделал «безопасную загрузку» обязательным условием программы сертификации на совместимость с Windows 8. Другими словами, если производитель хочет прилепить на свой компьютер наклейку «Сертифицировано для Windows 8», он обязан снабдить ПК функцией «безопасной загрузки». А ни один производитель не захочет выпускать компьютеры без сертификации, потому что это поставит его в исключительно невыгодные условия с маркетинговой точки зрения.
Так что от «безопасной загрузки» нам никуда не деться.
Но важно понять, что делая «безопасную загрузку» обязательной, Microsoft вовсе не претендует на мировое господство. На самом деле, «безопасная загрузка» – это даже хорошо, потому что позволяет защитить компьютер от руткитов. Руткиты – очень приставучая зараза, вывести их нелегко, поэтому любая технология, способная предотвратить их установку – это хорошая штука. Ботт прав, «безопасная загрузка» сделает Windows 8 более защищенной.
Автор: Adrian Kingsley-Hughes
Перевод SVET
Оцените статью: Голосов
По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:
| Номер уровня | Название по умолчанию |
|---|---|
| 0 | Уровень_0 |
| 1 | Уровень_1 |
| 2 | Уровень_2 |
| 3 | Уровень_3 |
При необходимости, количество уровней конфиденциальности может быть увеличено до 255.
Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
и назначать их пользователям, необходимо:
-
в файле конфигурации мандатных атрибутов файловой системы /usr/sbin/pdp-init-fs
задать параметру sysmaclev значение, равное максимальному созданному уровню конфиденциальности
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатные атрибуты ->
Уровни целостности
Управление в консольном режиме:
userlev
0 Уровень_0
1 Уровень_1
2 Уровень_2
3 Уровень_3
Управление в графическом режиме с помощью графического инструмента fly-admin-smc :
Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатный контроль целостности
Управление в консольном режиме:
cat /proc/cmdline | grep "parsec.max_ilev"
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Мандатный контроль целостностиУправление в консольном режиме
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная средаУправление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасностиУправление в консольном режиме
systemctl is-enabled astra-console-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасностиУправление в консольном режиме
systemctl is-enabled astra-interpreters-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасностиУправление в консольном режиме
cat /parsecfs/nochmodx
1 включен
0 выключен
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасностиУправление в консольном режиме
systemctl is-enabled astra-macros-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядраУправление в консольном режиме
systemctl is-enabled astra-ptrace-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памятиУправление в консольном режиме
Добавить опцию монтирования secdel в файле /etc/fstabУправление в графическом режиме
Управление в консольном режиме
ufw status
Status: active включен
Status: inactive выключен
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасностиУправление в консольном режиме
systemctl is-enabled astra-ulimits-control
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядраУправление в консольном режиме
sysctl -w kernel.sysrq=0
sysctl -w kernel.sysrq=1
cat /proc/sys/kernel/sysrq
0 включен
1 выключен
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасностиУправление в графическом режиме с помощью графического инструмента fly-admin-kiosk:
Компания Microsoft официально декларирует политику «любви» к Linux и свободному программному обеспечению. Компания периодически публикует исходные коды своих программ, внедрила подсистему Linux в ядро Windows. У Microsoft рекордное количество помощников на Github, по этому показателю она вышла на 1-е место, опередив Facebook, Docker и Google.
Тем не менее, очистить свою репутацию и начать жизнь с чистого листа не так просто. Из памяти людей ещё не стёрлись воспоминания об ужасных поступках компании в те времена, когда у руля стоял Стив Балмер. Да и сейчас не всё гладко: Microsoft продолжает вымогать лицензионные отчисления у производителей устройств под Android, предъявляя сомнительные «патенты на Linux», заставляя производителей предустанавливать проприетарный софт от Microsoft. Последней жертвой такой политики месяц назад стала компания Lenovo, которая обязалась предустановить на смартфоны программы Microsoft Office, OneDrive и Skype.
Неудивительно, что в этой ситуации некоторые пользователи подозревают Microsoft в «нечестной игре».
В последнее время на форумах появились слухи, что некоторые модели персональных компьютеров с предустановленной операционной системой Windows 10 не так уж дружественны к Linux. В частности, свободную ОС невозможно установить на ряд ноутбуков Lenovo, которые поставляются с некоей версией Windows 10 Signature Edition. По предположениям пользователей, обозначение “Signature Edition” означает, что в отношении этих компьютеров у Microsoft действует соглашение с производителем, что компьютер «залочен» на операционную систему Windows.
Оказалось, например, что на ноутбук Lenovo Yoga 900 ISK2 UltraBook невозможно установить Linux в проприетарном режиме RAID, который залочен через UEFI/BIOS. Система Linux просто «не видит» этот SSD-накопитель.
Скриншот с форума, где пользователь жалуется на невозможность установить Linux на ноутбук Lenovo
Это известная проблема: на платформах Intel накопитель конфигурируется в UEFI/BIOS двумя способами: как «стандартный» или как RAID. Во втором случае просто изменяются идентификаторы PCI ID, чтобы отключить стандартные драйверы и гарантировать использование специфичных драйверов Intel, в которых точно есть поддержка RAID. Компания Intel не подготовила коммитов в ядро Linux для поддержки режима RAID для этих драйверов, поэтому с такими настройками UEFI/BIOS операционная система Linux «не видит» накопитель.
В данном случае в ноутбуках Lenovo нет возможности изменить конфигурацию накопителя, она жёстко установлена как RAID.
Недовольный пользователь обратился с претензией к представителю компании Lenovo. Тот разъяснил, что в данном случае на ноутбук установлена версия Signature Edition операционной системы Windows 10 Home. «Она залочена по нашему соглашению с Microsoft», — сказал сотрудник.
Не совсем понятно, что это может значить. Вполне возможно, что никто не хотел притеснять операционную систему Linux. Возможно, жёсткая установка режима RAID связана с необходимостью обязательно использовать драйверы от Intel, а не драйверы от Microsoft. Скорее всего, потому что последнее оборудование Intel нуждается в особых настройках для управления питанием, а стандартный драйвер от Microsoft не обеспечивает этого.
Тем не менее, проблема де-факто существует. На такие ноутбуки можно установить Linux, но Linux не сможет работать с SSD-накопителем. В то же время остаётся открытым вопрос, что на самом деле означает классификация “Signature Edition” операционной системы Windows 10 Home. Согласно определению самой Microsoft, это компьютеры «без предварительно установленных избыточных программ» (without pre-installed bloatware), которые ухудшают быстродействие ПК, с включенным антивирусом Windows Defender по умолчанию, с качественной клавиатурой, с тачпадом, который соответствует стандартам Microsoft и другим оборудованием, которое соответствует стандартам сертификации аппаратного обеспечения Windows.
Если верить сотруднику Lenovo, то в этот список нужно добавить ещё и «залочку» на операционную систему Windows, но официально такое требование не декларируется.
В данный момент в Microsoft Store доступен большой список настольных компьютеров, ноутбуков и планшетов в категории “Signature Edition”.
Конечно, компания Lenovo могла бы предоставить пользователю возможность выбора настроек в UEFI/BIOS, но из-за упомянутых потенциальных проблем с управлением питанием это привело бы к лишним вопросам в службу технической поддержки Lenovo. Вероятно, руководство китайской компании приняло решение, что число пользователей Linux настолько мало, что ими можно пренебречь ради сокращения количества звонков в службу технической поддержки от обычных пользователей.
По мнению Мэтью Гарретта, разработчика подсистем управления питания Linux, подсистемы безопасности CoreOS и члена Фонда свободного программного обеспечения, основная проблема заключается в том, что компания Intel предпринимает недостаточно усилий для того, чтобы свободные ОС хорошо работали на последних версий её оборудования — у разработчиков не хватает информации от Intel о том, как обеспечивать максимально эффективное управление питанием, нет поддержки устройств в режиме RAID и нет уверенности, что ситуация как-то улучшится в будущем. Если бы Intel обеспечивала разработчиков всей необходимой информацией, то проблема с ноутбуками Lenovo вообще никогда бы не возникла, считает Мэтью Гарретт.
Читайте также: