Astra Linux SE 1.7

[Olej]

Но в составе нет никакого браузера, чтобы можно было сюда что-то скопировать.

Так же как я нарываюсь что нет привычного файлового менеджера mc.
И невозможно ничего доустановить:

Код: Выделить всё

root@alse-vanilla-gui:/etc# apt upgrade
...
Err:1 http://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/uu/2/repository-extended 1.7_x86-64/main amd64 astra-version amd64 8.1.34+ci4+v1.7.3.ext1.3
  Could not connect to download.astralinux.ru:80 (51.250.6.116), connection timed out
Err:2 http://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/uu/2/repository-extended 1.7_x86-64/main amd64 mariadb-common all 1:10.3.36-0+deb10u2+b1
  Unable to connect to download.astralinux.ru:http:
Err:3 http://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/uu/2/repository-extended 1.7_x86-64/main amd64 libmariadb3 amd64 1:10.3.36-0+deb10u2+b1
  Unable to connect to download.astralinux.ru:http:
E: Failed to fetch http://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/uu/2/repository-extended/pool/main/a/astra-version/astra-version_8.1.34+ci4+v1.7.3.ext1.3_amd64.deb  Could not connect to download.astralinux.ru:80 (51.250.6.116), connection timed out
E: Failed to fetch http://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/uu/2/repository-extended/pool/main/m/mariadb-10.3/mariadb-common_10.3.36-0+deb10u2+b1_all.deb  Unable to connect to download.astralinux.ru:http:
E: Failed to fetch http://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/uu/2/repository-extended/pool/main/m/mariadb-10.3/libmariadb3_10.3.36-0+deb10u2+b1_amd64.deb  Unable to connect to download.astralinux.ru:http:
E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?

И это история понятная и известная: я с территории Украины не могу иметь напрямую доступ по IP хостам России

[Olej]

И это история понятная и известная: я с территории Украины не могу иметь напрямую доступ по IP хостам России

Тут единственный выход: научить apt ходить через прокси.
И выручает меня тут то, что в Astra изначально открыт доступ по SSH и я могу заходить туда со своего компа с терминала (понятно что user astra:astra):

Код: Выделить всё

olej@R420:~$ ssh astra:astra@192.168.1.190
astra:astra@192.168.1.190's password: 
Last login: Tue Jun 13 00:02:43 2023

Код: Выделить всё

astra@alse-vanilla-gui:~$ lsb_release -a
No LSB modules are available.
Distributor ID:	AstraLinux
Description:	Astra Linux 1.7 x86-64
Release:	1.7_x86-64
Codename:	1.7_x86-64

И у них там ьеспарольный sudo:

Код: Выделить всё

astra@alse-vanilla-gui:~$ sudo -i
root@alse-vanilla-gui:~# 

[Olej]

Тут единственный выход: научить apt ходить через прокси.

У меня есть в наличии SOCKS5 прокси:

Код: Выделить всё

root@alse-vanilla-gui:~# curl -x socks5://proxy_user_02:xxxxxx@90.156.230.27 ifconfig.co
90.156.230.27

По поводу apt поиск даёт Победил apt-get в его не желании ходить через proxy

RIANON - 26 Февраль, 2008 - 18:32

А дальше информация:

Код: Выделить всё

olej@R420:~$ man apt-transport-http
...
Proxy Configuration
       The environment variable http_proxy is supported for system wide configuration. Proxies specific to APT can be configured via the option Acquire::http::Proxy. Proxies which
       should be used only for certain hosts can be specified via Acquire::http::Proxy::host. Even more fine-grained control can be achieved via proxy autodetection, detailed further
       below. All these options use the URI format scheme://[[user][:pass]@]host[:port]/. Supported URI schemes are socks5h (SOCKS5 with remote DNS resolution), http and https.
       Authentication details can be supplied via apt_auth.conf(5) instead of including it in the URI directly.

       The various APT configuration options support the special value DIRECT meaning that no proxy should be used. The environment variable no_proxy is also supported for the same
       purpose.

       Furthermore, there are three settings provided for cache control with HTTP/1.1 compliant proxy caches: Acquire::http::No-Cache tells the proxy not to use its cached response
       under any circumstances.  Acquire::http::Max-Age sets the allowed maximum age (in seconds) of an index file in the cache of the proxy.  Acquire::http::No-Store specifies that
       the proxy should not store the requested archive files in its cache, which can be used to prevent the proxy from polluting its cache with (big) .deb files.
...

[Olej]

Тут единттвенный выход: научить apt ходить через прокси.

Создаю:

Код: Выделить всё

root@alse-vanilla-gui:/etc# touch /etc/apt/apt.conf.d/proxy

И прописываю (через vim в том же SSH):

Код: Выделить всё

root@alse-vanilla-gui:/etc# cat /etc/apt/apt.conf.d/proxy
Acquire::http::Proxy "socks5h://proxy_user_02:xxxxxx@90.156.230.27:1080";
Acquire::ftp::Proxy  "socks5h://proxy_user_02:xxxxxx@90.156.230.27:1080";
Acquire::::Proxy     "true";

Вот это самое главное действие ... но я на него убил больше часа
И:

Код: Выделить всё

root@alse-vanilla-gui:~# apt update
Hit:1 http://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/uu/2/repository-base 1.7_x86-64 InRelease
Hit:2 http://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/uu/2/repository-extended 1.7_x86-64 InRelease
Reading package lists... Done
Building dependency tree
Reading state information... Done
3 packages can be upgraded. Run 'apt list --upgradable' to see them.

Код: Выделить всё

oot@alse-vanilla-gui:~# apt upgrade
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
The following packages will be upgraded:
  astra-version libmariadb3 mariadb-common
3 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 212 kB of archives.
...
Setting up astra-version (8.1.34+ci4+v1.7.3.ext1.3) ...
Setting up libmariadb3:amd64 (1:10.3.36-0+deb10u2+b1) ...
Processing triggers for libc-bin (2.28-10+deb10u2+ci202302271750+astra5) ...

Дальше всё поехло. Дальше дело техники.

[Olej]

Дальше всё поехло. Дальше дело техники.

Код: Выделить всё

root@alse-vanilla-gui:~# apt install mc
Reading package lists... Done
...
Processing triggers for xserver-xorg-core (2:1.20.14-1ubuntu1astra.se26) ...
update exec ids due to /usr/bin changed

Screenshot_20230613_020616.png (135.49 КБ) 1374 просмотра

Код: Выделить всё

root@alse-vanilla-gui:/etc# apt install firefox-astra firefox firefox-esr firefox-esr-l10n-ru firefox-locale-en firefox-locale-ru
Reading package lists... Done
Building dependency tree
...
Processing triggers for xserver-xorg-core (2:1.20.14-1ubuntu1astra.se26) ...
update exec ids due to /usr/bin changed
Processing triggers for man-db (2.8.5-2) ...

Снимок экрана от 2023-06-13 02-00-51.png (131.17 КБ) 1375 просмотров

И с этого момента все изменения в системе я могу писать непосредственно из Astra 1.7

[Olej]

И с этого момента все изменения в системе я могу писать непосредственно из Astra 1.7

Что и делаю оттуда ... зафиксирую некоторые параметры, которые возможно нужно подправить в настройках виртуальной машины:

Код: Выделить всё

astra@alse-vanilla-gui:~$ df
df: /run/user/1000/doc: Операция не позволена
Файловая система 1K-блоков Использовано Доступно Использовано% Cмонтировано в
udev               1978524            0  1978524            0% /dev
tmpfs               401772        30948   370824            8% /run
/dev/sda1         30104440      4878312 23673848           18% /
tmpfs              2008844           12  2008832            1% /dev/shm
tmpfs                 5120            0     5120            0% /run/lock
tmpfs              2008844            0  2008844            0% /sys/fs/cgroup
tmpfs               401768            0   401768            0% /run/user/107
tmpfs               401768           16   401752            1% /run/user/1000

Код: Выделить всё

astra@alse-vanilla-gui:~$ free
              total        used        free      shared  buff/cache   available
Mem:        4017692     1013484     1539208       66116     1465000     2692176
Swap:             0           0           0

Код: Выделить всё

astra@alse-vanilla-gui:~$ ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:8b:27:ee brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.190/24 brd 192.168.1.255 scope global dynamic noprefixroute eth0
       valid_lft 164500sec preferred_lft 164500sec
    inet6 fe80::9dce:8a06:cf2d:162e/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Код: Выделить всё

astra@alse-vanilla-gui:~$ uname -a
Linux alse-vanilla-gui 5.15.0-33-generic #astra2+ci162 SMP Mon Feb 6 09:14:09 UTC 2023 x86_64 GNU/Linux

[Olej]

зафиксирую некоторые параметры,

Этого вы не найдёте (предполагаю) ни в одном типовом дистрибутиве:

Код: Выделить всё

olej@alse-vanilla-gui:/etc/apt/apt.conf.d$ which gostsum
/usr/bin/gostsum

Код: Выделить всё

olej@alse-vanilla-gui:/etc/apt/apt.conf.d$ gostsum --help
Использование: gostsum [ОПЦИИ]... [ФАЙЛ]...
Печать контрольной суммы файла по стандартам ГОСТ Р 34.11-94 (хеш функция) и ГОСТ Р 34.11-2012.

Если файл не задан или в качестве файла указан -, чтение осуществляется из стандартного потока ввода.

  --gost-94              - подсчитать контрольную сумму файла по стандарту ГОСТ Р 34.11-94
  --gost-2012            - подсчитать контрольную сумму файла по стандарту ГОСТ Р 34.11-2012. Размер хеша 256 бит. Используется в ка
  --gost-2012-512        - подсчитать контрольную сумму файла по стандарту ГОСТ Р 34.11-2012. Размер хеша 512 бит

  -b                     - указать размер блоков, которыми будет считываться файл. По умолчанию равен 512 байтам
  -o                     - задать имя файла для вывода контрольной суммы, по умолчанию - стандартный поток вывода
  -d, --device           - включить режим работы с образом или устройством в формате ISO9660 или UDF
  -e, --deb              - включить режим работы с *.deb пакетом, в котором для каждого файла из указанного пакета будут напечатаны
  
  -r, --recursive        - включить режим рекурсивного обхода директорий
  
  -E, --include-deb-only - исключить все файлы, кроме *.deb пакетов
  
  -H, --hide             - отключить показ индикаторов прогресса
  
  -t                     - тестировать алгоритмы
  -h, --help             - показать справку и выйти
  -v, --version          - показать информацию о версии и выйти

Код: Выделить всё

olej@alse-vanilla-gui:~$ gostsum -r --gost-2012-512 ~ | head
c4f90462ac316a09aa06b1eefe7c152feaac24bf0f386a57bf0016c30248c386f2549b8e1e4f1f729853f482075cf2dd5ef76925f43e45d734344623eeaba7af  /home/olej/.config/pulse/115d97a7c8df4fb48932f93a10c2c583-device-volumes.tdb
2d55f2dce6d5f330018b0365d2ad17e55087ec11bd8fb96b9e628de2d367ecbeed977dff7e9c99fcf96c6c8bd3def79e4625fbfb6fa5ad25480f31b525c21889  /home/olej/.config/compton.conf
c217d9ced41f4615e13b633d4213642d34d90ea645f5b0866bd470125617dd23febdba3ba97a55d9a977e1d9392afd4180c96ed354da6efde968faf90171e990  /home/olej/.config/user-dirs.locale
9a8c7b64d17dcea71614217e46c7cf6c426f7a68b80198c7fd6fd246cfe3d9626fa19147685e2113005dbb5e6b6bb510d455703c7d540831719fe5f5657ce4d1  /home/olej/.config/Trolltech.conf
72330e0ff2ba4b35def87caed7f7287eff301bb43e232e33fff7a872d6c850ef37ebcdd7595bcbf499cb370cdda2b818956c0dedf20487fae9c3c1d536bff39d  /home/olej/.mozilla/firefox/Crash Reports/InstallTime20221010114559
d6fedc4a1efa766178c2bcac713dd8479edaf0b495bea2d8bd798b6c677a432f7be35e263ec2afbc38c8b2e049a7c5aa68496639a62650340c0cf654435a4fcc  /home/olej/.mozilla/firefox/2oy2v042.default-esr/storage/ls-archive.sqlite
54e3fa6c16e6d39f74843f24514d4fc43734bca5ef263390e47d27573a8e8b83e7d4e8c6f3ca90492363b14750615ffdcf6453af2484dd23dd6d1f6b71a63759  /home/olej/.mozilla/firefox/2oy2v042.default-esr/storage/permanent/chrome/idb/1657114595AmcateirvtiSty.sqlite
13eb38fc0e1f160a42fc2618da44dc772fcecbfea6adbbef4bef0d617ee831921a8bc4707949a7a49e458fce4222d02709d19d7d6a01c7a5e3cd9c0763623e74  /home/olej/.mozilla/firefox/2oy2v042.default-esr/storage/permanent/chrome/idb/3870112724rsegmnoittet-es.files/1
2b866d432a899c4b21a2e802f63a77310f562d47caed6adbdc84917f83ead3c9e3e140528f3a8c6beda1976cf420b8f4fb459a23f7ac952828e4b6b10eb58153  /home/olej/.mozilla/firefox/2oy2v042.default-esr/storage/permanent/chrome/idb/1451318868ntouromlalnodry--epcr.sqlite
8e945da209aa869f0455928529bcae4679e9873ab707b55315f56ceb98bef0a7362f715528356ee83cda5f2aac4c6ad2ba3a715c1bcd81cb8e9f90bf4c1c1a8a  /home/olej/.mozilla/firefox/2oy2v042.default-esr/storage/permanent/chrome/idb/3870112724rsegmnoittet-es.sqlite-wal

Код: Выделить всё

olej@alse-vanilla-gui:~$ time gostsum -r --gost-2012-512 ~ | wc -l
2162

real    0m2,090s
user    0m1,614s
sys     0m0,495s

[Olej]

Очень интересное место в "Панель управления" -> "Система" -> "Инициализация системы":

Screenshot_20230613_214431.png (23.17 КБ) 1366 просмотров

Базовый уровень защищённости "Орёл"

Означает ли это что в этом базовом уровне мандатный метод доступа отключён
Очень интересный и очень принципиальный вопрос...

P.S. Разработчики с фирмы ответили: "Да".

[Olej]

Управление сервисами (systemd) сделано, нужно отдать должное, классно:

Screenshot_20230613_222525.png (142.6 КБ) 1362 просмотра

[Olej]

Источники пакетной системы:

Код: Выделить всё

root@alse-vanilla-gui:/etc/apt# grep -v ^# sources.list 
deb http://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/uu/2/repository-base 1.7_x86-64 main non-free contrib
deb http://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/uu/2/repository-extended 1.7_x86-64 main contrib non-free

Код: Выделить всё

root@alse-vanilla-gui:/etc# cat /etc/debian_version 
10.0

Т.е., в принципе, можно добавить в источники обновлений ещё и Debian codename "Buster"
Вот хотя бы как на сервере этого форума:

Код: Выделить всё

olej@277938:/etc/apt$ cat /etc/debian_version 
10.13

Код: Выделить всё

olej@277938:/etc/apt$ grep -v ^# /etc/apt/sources.list | grep -v ^$ | grep ^"deb "
deb http://mirror.timeweb.ru/debian buster main
deb http://security.debian.org/debian-security buster/updates main
deb http://mirror.timeweb.ru/debian buster-updates main