Функциональные возможности ГОСТ.ОС

  • Поддержка ГОСТ-алгоритмов: Реализация криптографии по ГОСТ Р 34.10-2012 (ЭЦП), 34.11-2012 (хэш), 34.12-2015 (шифрование Кузнечик, Магма), ГОСТ 28147-89 (режимы защиты каналов) с использованием OpenSSL через сертифицированные движки (engine) и PKCS#11.
  • ГОСТ-криптография в системных службах: Поддержка ГОСТ TLS (TLS 1.2/1.3 c ГОСТ-криптографией), IPsec, SSH, VPN, SMB, HTTPS, включая StrongSwan, OpenVPN, stunnel и nginx с российскими сертификатами и ГОСТ-алгоритмами (ГОСТ TLS 1.2 по ТК26).
  • Безопасная графическая подсистема на основе Wayland: Использование Wayland вместо X11 исключает перехват ввода и межпроцессный шпионаж. Передача буфера, курсора и событий строго изолирована. Повышение доверия к GUI реализовано в соответствии с ИТ.ОС.А1.ПЗ.
  • Мандатный и ролевой контроль доступа: Мандатная модель (MLS) и разграничение по ролям (RBAC) реализованы с помощью SELinux и NetLabel, включая политику контроля потоков информации, запрещение небезопасных межпроцессных каналов, ограничение доступа к объектам по конфигурации безопасности.
  • Целостность и доверенная загрузка: Использование механизмов Secure Boot и TPM 2.0, поддержка IMA/EVM и tboot (Measured Boot). Все исполняемые файлы и библиотеки подписаны ГОСТ ЭЦП. Проверка цепочек доверия и отклонение неподписанных компонентов при запуске.
  • ГОСТ-хэширование во всех подсистемах: Использование ГОСТ Р 34.11-2012-256/512 как основного алгоритма хэширования при аутентификации, контроле целостности, проверке резервных копий и во внутреннем механизме целостности RPM, journald и overlay-файлов.
  • Поддержка аппаратных средств защиты: Работа с токенами и смарт-картами (Рутокен, JaCarta, eToken), аппаратными модулями HSM, KDF и CRYPTO-PRO, криптографическими библиотеками через PKCS#11 и engine интерфейсы.
  • Безопасная аутентификация и вход в систему: Вход через ГОСТ-сертификат, токен или пароль с хэшированием по ГОСТ Р 34.11-2012; поддержка МФА (например, пароль + смарт-карта); входы регистрируются в защищённом журнале с метками времени и хэшем ГОСТ.
  • Изоляция и защита контейнеров (приказ ФСТЭК №239/118): Использование Podman/LXC с политиками SELinux/AppArmor, контроль доступа, идентификация пользователей, целостность образов, журналирование и блокировка уязвимых контейнеров.
  • Интеграция в защищённую инфраструктуру: Совместимость с УЦ Минцифры РФ, поддержка CRL и OCSP, автоматическая проверка отзывов сертификатов, шифрование каналов ГОСТ-TLS и идентификация клиентов по ГОСТ-сертификатам.
  • Журналирование безопасности: Все действия пользователей и администраторов фиксируются в аудируемых, неизменяемых журналах (`auditd`, `journald`), хешированных по ГОСТ Р 34.11-2012 с подписанием логов по ГОСТ Р 34.10-2012.
  • Контроль политик SELinux и защиты среды: Обязательное применение политик SELinux по умолчанию (enforcing), контроль всех операций IPC, ограничение CAPABILITIES, предотвращение перехвата ввод/вывод с устройств и сетей.
  • Безопасные настройки по умолчанию: Отключение SUID, запрещён прямой доступ к ядру (/dev/kmem), защищены точки монтирования tmpfs, запрет интерактивных shell в среде с низким уровнем доверия.
  • Поддержка сертификации по требованиям ФСТЭК: Реализация всех необходимых мер безопасности для сертификации ОС по профилю ИТ.ОС.А1.ПЗ, включая отсутствие НДВ, использование сертифицированных СКЗИ, контроль среды выполнения, проверку целостности и выполнение актуальных приказов ФСТЭК РФ №17, №21, №76, №119, №239/118.

  • IMA/EVM: Контроль запускаемых файлов и политик безопасности, с ГОСТ-хэшами и подписями.
  • TPM и PCR: Доверенная загрузка, контроль BIOS/bootloader и ядра через TPM PCR-регистры.
  • Подпись пакетов: Все RPM/OSTree/образы подписаны по ГОСТ Р 34.10-2012 с проверкой целостности по 34.11-2012.
  • dm-verity: Проверка целостности rootfs в read-only окружении с невозможностью внедрения НДВ.
  • Средства мониторинга нарушений: Аварийное оповещение при подмене файлов, журналов, компонентов ядра или бинарников.
  • Зашита от откатов и подмены политик: SELinux, auditd и системный watchdog блокируют попытки отключения контроля целостности.

  • Графическая и веб-админпанель: Единый GUI и web-интерфейс (на базе GTK и Cockpit) для настройки пользователей, служб, хранилищ, SELinux и сетевых правил, с поддержкой RBAC и аудита.
  • Разграничение административных ролей: Реализация многоуровневой модели доступа (RBAC, MLS) для системных, сетевых, криптографических и безопасностных администраторов — в соответствии с ФСТЭК №21 и ИТ.ОС.А1.ПЗ.
  • Консольные средства управления: Полноценный CLI на базе `systemctl`, `nmtui`, `firewall-cmd`, `semanage`, `auditctl` и др., с документацией и встроенными справками на русском языке.
  • Журналирование действий администраторов: Обязательная регистрация всех административных операций (локальных и удалённых), с неизменяемыми логами, хешированными по ГОСТ Р 34.11-2012 и возможностью экспорта в SIEM.
  • Мониторинг и оповещения: Централизованное отображение температуры, питания, ACPI и критичных состояний системы; уведомления по SNMP, email и syslog.
  • Управление пользователями и доступом: Встроенная поддержка локальной базы, LDAP/AD/SSSD, мандатных атрибутов, токенов и сертификатов ГОСТ (через PKCS#11).
  • Квотирование ресурсов: Поддержка управления квотами CPU, RAM, I/O и дискового пространства как для пользователей, так и для контейнеров и ВМ (через cgroups, systemd и btrfs-subvolumes).
  • Удалённое администрирование: Защищённый SSH-доступ с ГОСТ-криптографией, многофакторная аутентификация (TOTP + токены), контроль команд и вводимых данных (auditd).
  • Безопасные настройки по умолчанию: Отключение SUID, ограничение sudo, запрет прямого доступа к /dev/mem и ядру, интерактивные shell-интерпретаторы отключены в окружениях без доверия.
  • Управление политиками SELinux и AppArmor: GUI и CLI-интерфейсы для применения, отладки и назначения политик, маркировки объектов и трассировки инцидентов.
  • Автоматизация и контроль конфигураций: Интеграция с Ansible, SaltStack, systemd-таймерами, cron и gitOps-механизмами с полной регистрацией изменений.

  • KVM/QEMU и libvirt: Поддержка аппаратной виртуализации Intel VT-x / AMD-V, управление через libvirt и Cockpit, совместимость с Proxmox и Virt-Manager.
  • Мандатная изоляция виртуальных машин: Реализация sVirt с SELinux-контекстами, маркировка MLS/NetLabel, разграничение доступа в соответствии с ИТ.ОС.А1.ПЗ и приказом ФСТЭК №17.
  • Поддержка отказоустойчивых конфигураций: Живая миграция ВМ, управление через Pacemaker/Corosync, хранилища Ceph и GlusterFS с целостностью на уровне блоков (по ГОСТ Р 34.11-2012).
  • Контейнеризация на базе Podman и LXC: Rootless-контейнеры, разделение namespace, контроль syscalls через seccomp, ограничение capabilities и полная интеграция с SELinux и AppArmor.
  • Политики безопасности контейнеров: Использование CIPSO и NetLabel, разграничение сетевого трафика между контейнерами в соответствии с требованиями ФСТЭК №17 и №21.
  • Контроль целостности: Интеграция с IMA/EVM, защита контейнеров и гостевых ОС от модификаций и внедрения НДВ, аудит на уровне ядра (LSM, auditd, integrity subsystem).
  • Шифрование сред выполнения: Поддержка dm-crypt и LUKS с ГОСТ Р 34.12-2015 (Кузнечик), хранение ключей в TPM или HSM, автоматическое монтирование с контролем доверия.
  • Оркестрация и интеграция с Kubernetes: Совместимость с k3s/k0s, управление подами с SELinux-профилями, мониторинг контейнеров средствами OpenSCAP, Falco и auditbeat.
  • Изоляция и контроль устройств: Ограничение доступа к USB, PCI и сетевым интерфейсам внутри ВМ и контейнеров, управление доступом через polkit и udev-правила.
  • Соответствие приказу ФСТЭК №118: Поддержка средств защиты контейнеров:
    • аутентификация и разграничение прав пользователей контейнеров,
    • контроль целостности образов и среды выполнения,
    • журналирование доступа и действий,
    • блокировка запуска уязвимых контейнеров,
    • централизованное управление политиками безопасности.
  • Совместимость с ГОСТ-криптографией: IPsec/VPN, TLS и ssh внутри ВМ и контейнеров с использованием ГОСТ Р 34.10/11/12, поддержка криптопровайдеров через OpenSSL engine и PKCS#11.
  • Журналирование и аудит действий: Подробный учёт всех операций запуска, остановки, миграции, доступа к устройствам и изменения конфигураций, с возможностью экспорта в SIEM.

  • Аппаратная совместимость: Поддержка архитектур x86_64 и aarch64, совместимость с отечественными процессорами (Байкал, Эльбрус, МЦСТ, Комдив), а также виртуализация на уровне UEFI/BIOS, Secure Boot и TPM 2.0.
  • Методы загрузки и установки: DVD/USB, PXE/iPXE, TFTP, HTTP(S), IPMI, автозагрузка с преднастроенным профилем (kickstart/preseed), в том числе для headless-устройств. Соответствует требованиям ФСТЭК №76 и №119 по контролю среды установки.
  • Файловые и сетевые протоколы: SMB (1–3), NFS (v3/v4), FTP(S), WebDAV, HTTP(S), SFTP, iSCSI, FUSE-интеграция. Используется в защищённых сегментах по ГОСТ-криптографии.
  • Поддержка Windows-приложений: Интеграция с Wine (в изолированной среде), запуск бизнес-приложений и клиентского ПО, поддержка русифицированных интерфейсов и ГОСТ-сертифицированных СКЗИ в Wine-контейнере. Реализация требований ФСТЭК №21 и №17 по взаимодействию с доверенными компонентами.
  • Интеграция с инфраструктурой предприятия: Полная поддержка LDAP, FreeIPA, Active Directory (через Winbind, SSSD), Kerberos и NTLM с возможностью применения групповых политик (GPO) и централизованного управления SELinux-контекстами.
  • Поддержка отечественного ПО: Совместимость с офисными пакетами (Р7-Офис, МойОфис), CAD/ГИС-средствами, СУБД (PostgreSQL, Байт, ЛИНТЕР), бухгалтерским и архивным ПО в соответствии с реестром Минцифры. Актуально для исполнения требований приказа ФСТЭК №119 (импортозамещение).
  • СКЗИ и токены: Интеграция с PKCS#11 и PC/SC, работа с ГОСТ-сертификатами (eToken, JaCarta, Рутокен, VipNet CSP, Signal-COM), проверка CRL/OCSP, и аутентификация через токены и УЦ Минцифры.
  • Интеграция с SIEM и системами мониторинга: Поддержка передачи логов и событий в внешние системы через syslog, rsyslog, Elastic, Kafka и SNMP, с применением ГОСТ-хешей и подписей для неизменности. Требования ФСТЭК №17, №76.
  • Интероперабельность с DevOps и CMDB: Поддержка инструментов автоматизации (Ansible, SaltStack, Puppet), REST API, JSON, YAML, интеграция в корпоративные CMDB и сканеры безопасности (OpenSCAP, Lynis).
  • Межсетевое взаимодействие: IPsec, OpenVPN, WireGuard (c ГОСТ-плагинами), поддержка NetLabel и CIPSO для маркировки трафика и междоменного взаимодействия в системах с мандатным контролем (приказ №17, профиль ИТ.ОС.А1.ПЗ).
  • Облачная и гибридная совместимость: Поддержка OCI-совместимых контейнеров (Docker, Podman), взаимодействие с Kubernetes (k3s, k0s), OpenStack, Proxmox и отечественными решениями (VK Cloud, Госклуб, СКИФ).

  • Btrfs и контроль целостности: Использование встроенной поддержки контрольных сумм, автоматического восстановления повреждённых блоков и защитных снапшотов в соответствии с ГОСТ Р 34.11-2012 и профилем ИТ.ОС.А1.ПЗ.
  • OSTree для системных компонентов: Иммутабельное хранение слоёв файловой системы с возможностью атомарного обновления и отката, контроль целостности манифестов и содержимого (checksum + ГОСТ-подписи).
  • Откаты и восстановление: Мгновенный возврат системы в доверенное состояние через снапшоты Btrfs или коммиты OSTree, с обязательной верификацией подписи обновлений по ГОСТ Р 34.10-2012.
  • Соответствие Приказам ФСТЭК: Все механизмы соответствуют требованиям:
    • №17 (организационные и технические меры защиты ГИС);
    • №21 (защита ИСПДн, контроль доступа и восстановления);
    • №76 (сертификация и жизненный цикл СЗИ, отказоустойчивость);
    • №119 (минимальные функции безопасности для ОС).
  • Аудит и неизменяемость журналов: Все действия по созданию, применению и откату снапшотов/коммитов протоколируются и подписываются, с хешированием по ГОСТ Р 34.11-2012 и защитой от подмены.
  • Изоляция хранилищ: Снапшоты и репозитории OSTree помещаются в защищённые разделы с политиками SELinux и разграничением доступа по ролям (RBAC/MLS).
  • Интеграция с SIEM и реакция на события: Поддержка отправки событий восстановления, нештатных откатов и отклонений контрольных сумм в внешние системы безопасности (по TCP/UDP с шифрованием по ГОСТ).

  • Полный комплект документации: Включает техническое задание, модель угроз, эксплуатационную документацию, руководство администратора, руководство пользователя и формализованные процедуры сертификации.
  • ГОСТ-структура документации: Документы оформлены в соответствии с ГОСТ 34.602–2020, ГОСТ 19.101–77 и методическими рекомендациями ФСТЭК по сертификации средств защиты информации.
  • Сопровождение жизненного цикла: Поддержка всех этапов — от проектирования и тестирования до внедрения, обновлений и сопровождения в сертифицированной среде эксплуатации.
  • Сертификация ФСТЭК РФ: Комплексная подготовка к сертификации по 1 уровню доверия, включая соответствие профилю защиты ИТ.ОС.А1.ПЗ, отсутствие НДВ, формализованные процедуры оценки и контроль СЗИ.
  • Документы для Минцифры и Минобороны: Поддержка оформления комплектов документов для регистрации в реестрах отечественного ПО и применения в государственных ИС и КИИ.
  • Русскоязычные материалы: Вся документация, интерфейс и сообщения системы доступны на русском языке, включая термины, переведённые согласно ГОСТ Р ИСО/МЭК 2382.
  • Интерактивная справка и wiki: Встроенные справочные системы в консоли и GUI, офлайн- и онлайн-версии, поддержка форматов PDF, HTML и man-pages, а также web-портал с контекстной документацией.
  • Техническая поддержка в РФ: Локализованная поддержка 1–3 линии, сопровождение инцидентов, обновлений, консультаций по требованиям ФСТЭК и интеграции в ИБ-контуры заказчика.
  • Закрытый и открытый тикетинг: Поддержка через защищённый портал, с возможностью самостоятельного отслеживания состояния заявок и предоставлением SLA-отчетности.
  • Поддержка интеграторов и партнёров: Доступ к SDK, примерам интеграции с СКЗИ, антивирусами и SIEM-системами, включая исходные коды компонентов (при наличии лицензии).

  • Регистрация и корреляция событий: Встроенные механизмы `auditd`, `journald`, `rsyslog` обеспечивают централизованную регистрацию всех критичных действий: вход в систему, запуск процессов, изменение конфигурации, обращение к файлам и устройствам.
  • Интеграция с SIEM-системами: Передача событий в внешние SIEM (R-Vision, ArcSight, Zabbix, ELK, Kafka) с использованием структурированных форматов (JSON, CEF, LEEF), подписанных по ГОСТ.
  • Обнаружение атак и аномалий: Интеграция с Falco, Auditbeat, osquery и OpenSCAP позволяет в реальном времени отслеживать отклонения в поведении процессов, активности пользователей и контейнеров.
  • Автоматическое реагирование на инциденты: Использование fail2ban, systemd-watchdog и custom hook-скриптов (на основе `auditctl`, `inotify`, `fanotify`) для автоматической блокировки IP-адресов, пользователей или процессов при выявлении угрозы.
  • Анализ попыток НСД: Логгирование всех попыток несанкционированного доступа к файлам, устройствам, сети и административным функциям, с привязкой к SID/UID и MAC-контекстам SELinux.
  • Уведомление ответственных лиц: Интеграция с SMTP, Telegram-ботами, webhook, SNMP traps и D-Bus для немедленного оповещения системных администраторов и службы ИБ.
  • Журналирование недоверенных действий: Все действия в обход штатных интерфейсов фиксируются с хэшированием по ГОСТ Р 34.11-2012 и подписываются ЭЦП на основе ГОСТ Р 34.10-2012.
  • Контроль состояния и самодиагностика: Единая панель состояния безопасности (веб и CLI) отображает критичные события, рекомендации по реагированию, уязвимости, нарушенные политики SELinux и сбои integrity-систем (IMA/EVM).
  • Реагирование на события контейнеров и ВМ: Изоляция и приостановка подозрительных LXC/Podman-контейнеров или KVM-ВМ при нарушении политик, утечке памяти, превышении квот, неожиданной активности.
  • Формирование отчётности и расследование: Автоматизированный экспорт инцидентов в PDF/CSV, сопоставление журналов с временными метками, генерация отчётов для последующего анализа и хранения в архиве.

  • Цифровая подпись всех обновлений: Поддержка подписи RPM/OSTree-пакетов и метаданных с использованием ГОСТ Р 34.10-2012, проверка контрольных сумм по ГОСТ Р 34.11-2012 при установке, удалении и обновлении компонентов.
  • Откат системы к безопасному состоянию: Использование Btrfs snapshot и OSTree для атомарного применения обновлений и отката к предшествующему доверенному состоянию в случае нарушения целостности.
  • Централизованные и офлайн-репозитории: Поддержка зеркал репозиториев с проверкой подписи на уровне хранилища, возможность обновлений в средах без доступа к Интернету (air-gapped update).
  • Контроль целостности при обновлении: Все файлы сравниваются с хешами из подписанных манифестов, отклонение любого несоответствия; используется dm-verity, IMA/EVM при включённой защите ядра.
  • Журналирование операций обновления: Каждое обновление, удаление или попытка модификации фиксируется в `auditd` и `journald`, с метками времени, UID, именем пакета и подписью состояния (GOST-hash).
  • Разграничение прав на обновление: Только администраторы безопасности или системной среды могут проводить обновления; применение RBAC и маркировки MAC в процессе установки (SELinux).
  • Проверка обновлений контейнеров и образов: Контейнеры (LXC/Podman) и образы (qcow2, iso) также требуют наличия цифровой подписи; встроенные инструменты проверки внутри Orchestrator и загрузчика.
  • Мониторинг и оповещение о доступных обновлениях: Встроенный демон уведомляет администратора о новых доступных обновлениях с проверкой подлинности и цифровой подписи источника.
  • Защита от подмены каналов: Обновления осуществляются по TLS с ГОСТ-шифрованием или внутри зашифрованного VPN (IPsec, WireGuard с ГОСТ); проверяется подпись не только пакета, но и метаданных источника.

  • Проверка целостности файлов: Использование AIDE, IMA/EVM и Auditd для регулярного анализа файловой системы, хэшей и ACL, с хэшированием по ГОСТ Р 34.11-2012.
  • Анализ уязвимостей: Встроенные сканеры (OpenSCAP, oscap, Lynis) и внешние (Greenbone, Trivy, CVE-check-tool), с возможностью автоматического сравнения с базами CVE, БДУ ФСТЭК, OVAL.
  • Анализ сетевой активности: Использование `nmap`, `zeek`, `netstat`, `tcpdump`, eBPF-трейсинга и Snort для анализа аномалий, открытых портов и вторжений.
  • Контроль политик SELinux/AppArmor: Проверка соответствия политик безопасности в пользовательских, контейнерных и системных средах; анализ исключений, deny-событий и предупреждений.
  • Проверка настроек безопасности: Автоматическое тестирование конфигураций системных служб, шифрования, SUID/SUDO, разрешений и установленных приложений — с выдачей рекомендаций по усилению защищённости.
  • Плановые проверки: Поддержка запуска сканеров по расписанию (через systemd timers или cron), с отчётами по email, в SIEM или Telegram, включая PDF/CSV-отчёт.
  • Журналирование и аудит контроля: Все действия и результаты сканирования фиксируются в auditd/journald, хешируются и подписываются ГОСТ ЭЦП (34.10-2012).
  • Контроль уязвимостей в контейнерах: Проверка образов (Podman, LXC) на наличие CVE, небезопасных пакетов, открытых сервисов; интеграция с registry webhook и CI/CD пайплайнами.
  • Формирование отчётности: Отчёты совместимы с внутренним аудитом, ФСТЭК, СЗИ и технической экспертизой, с архивацией, классификацией и экспортом в ГОСТ-совместимых форматах.

  • Соответствие политике импортозамещения: Все компоненты ОС включены в Единый реестр российского ПО Минцифры РФ (ПП РФ №719, №325).
  • Полная локализация: Все интерфейсы (графические, командные, сетевые), справка, мануалы и служебные сообщения — на русском языке, включая техническую поддержку и документацию.
  • Лицензирование компонентов: Используются лицензии, допускающие модификацию и использование в сертифицированных решениях (GPLv2/v3, LGPL, BSD, Apache 2.0, EUPL); отсутствуют компоненты с неопределённым статусом.
  • Соответствие требованиям Минцифры: Учет положений методических рекомендаций по переходу на отечественные решения, в том числе поддержка "белых списков" ПО и взаимодействие с доверенными УЦ и поставщиками СКЗИ.
  • Юридическая защита и отчётность: Встроенные средства ведения отчётности по установленному и использованному ПО, подготовка документов для аудита, сертификации и аттестации (в формате PDF/ГОСТ XML).
  • Собственная система обновлений: Исключено использование зарубежных внешних репозиториев, все обновления — из защищённых локальных источников, сертифицированных на территории РФ.
  • Контроль легитимности СКЗИ: Интеграция только с сертифицированными средствами криптографической защиты информации, включёнными в реестр ФСТЭК и ФСБ РФ (например, КриптоПро CSP, ViPNet CSP, КриптоАРМ, Рутокен и др.).
  • Поддержка требований по защите персональных данных: Соответствие требованиям 152-ФЗ, постановлений Правительства РФ №1119, №687, а также методических документов ФСТЭК по защите ИСПДн.
  • Техническая поддержка в РФ: Все инциденты, сопровождение и документация предоставляются с гарантией локальной поддержки, в том числе для КИИ и ГИС.