Сразу обновляйте ядро. Без последнего патча на версии 5.10.213 – вы вне игры. Ошибки безопасности фиксируются регулярно. Не ждите. Используйте dnf update kernel и перезагружайтесь. Проверяйте, чтобы GRUB подгрузил корректный initrd. Почему? Потому что при откате система может уйти в emergency shell без предупреждений.
Следующее – SELinux. В Enforcing режиме на новых сборках появляется больше fine-grained политик. Проверяйте контексты. Не работайте с setenforce 0 – вы только ухудшаете себе логирование. Используйте audit2why и audit2allow при необходимости корректировки модулей.
Заметили, как изменилась работа с USB-накопителями? С недавнего времени mount обрабатывается через udisks2, не через старый udisk. Это ломает кастомные правила udev. Проверьте файл /etc/udev/rules.d/ на устаревшие конструкции. Вместо RUN+="mount ..." – используйте systemd-монтаж с unit-файлами. Тихо, незаметно, но критично.
Да, графическая оболочка обновлена. Но не всё гладко. GNOME в версии 42 через Wayland ведёт себя иначе. RDP отваливается. Если вы на VNC – проверьте, запущен ли gdm в режиме Xorg. Внимание!
При использовании удалённого рабочего стола всегда указывайте переменную окружения
GDK_BACKEND=x11, если клиент нестабильный.
Развертывание контейнеров стало ближе к Fedora. Podman вытесняет Docker. Всё так. И если вы обновились, но продолжаете использовать systemd-сервисы для управления Docker-контейнерами – вы тратите время. Создавайте .service напрямую через podman generate systemd. Пример:
podman run --name nginx -d -p 80:80 nginx
podman generate systemd --name nginx --files --restart-policy=always
Проблемы с обновлениями dnf? Переход на zchunk-репозитории ломает старые скрипты автоматизации. Если видите ошибку failed to load metadata, отключите zchunk: echo "zchunk=false" >> /etc/dnf/dnf.conf. В некоторых случаях – единственный способ заставить cron-задачи работать стабильно.
Переход на nftables. iptables всё, ушло в legacy. Если ваш firewall-cmd отказывается работать – значит, не включён backend на nft. Исправляется так:
firewall-offline-cmd --set-default-zone=public
firewall-offline-cmd --add-service=ssh
Важно помнить!
Если вы ещё используете iptables-persistent – вы создаёте себе будущие проблемы. Перейдите на firewalld + nftables.
Ну и главное. Не игнорируйте cockpit. Особенно если у вас парк из 50+ машин. С его помощью легко управлять логами, сетями, контейнерами. Активируется за минуту:
dnf install cockpit
systemctl enable --now cockpit.socket
Веб-интерфейс на 9090 порту. Поддерживает двухфакторную авторизацию, журналирование, роли. Без лишних слов – must-have.
Содержание статьи
Как Red OS адаптируется к требованиям отечественного законодательства в сфере ИБ
Настрой SELinux в режиме Enforcing. Это не обсуждается. Проверка контекстов и политик обязательна. Несовпадения – потенциальная уязвимость. Используй команду semanage fcontext -a -t для назначения правильных типов. Потом не забудь restorecon -Rv /путь. Без этого регулятору будет, к чему придраться.
Реализована поддержка ГОСТ-алгоритмов. Без сертифицированных криптографических модулей в ФСТЭК даже не подойдёшь. Библиотеки libgost, kcapi – обязательные компоненты. Используй openssl engine gost при настройке TLS. В /etc/ssl/openssl.cnf пропиши engine параметры вручную.
Интеграция с Континент TLS, ViPNet, КриптоПро CSP – по умолчанию. Подключай PKCS#11-токены. Внимание! Использование аппаратных средств защиты информации должно быть подтверждено реестрами ФСБ и ФСТЭК.
Важно: перед сдачей на соответствие требованиям по безопасности, проверь, чтобы все службы в автозагрузке были известны и легитимны. Используй
systemctl list-unit-filesиchkconfig --list.
Механизмы аутентификации – через pam-фреймворк. Поддерживается ГОСТ-хеширование паролей. Поставь libpam-gost, измени /etc/pam.d/system-auth, включи sha512_gost. Иначе получишь замечание по криптостойкости.
Поддержка аудита – через auditd. Обязательная компонента. Отчёты по событиям безопасности формируются в соответствии с требованиями к СОИБ. Используй ausearch и auditctl. Не забудь про логгирование удалённого доступа. Всё, что не пишется – не существует.
Модули управления политиками доступа реализованы через polkit. Гибко, чётко, настраиваемо. Внимание! Файлы .rules и .conf в /etc/polkit-1/ должны быть предельно детализированы, иначе контекст доступа будет размыт. Это прямое нарушение требований НДВ.
Помните: любое обновление пакетов должно быть согласовано с внутренним регламентом. Не доверяй внешним репозиториям. Только проверенные, локальные зеркала. Используй
createrepoиreposync.
Поддержка механизма защиты среды исполнения – реализована через контроль целостности. AIDE, integritysetup – обязательны. Генерация сигнатур и регулярная сверка с эталоном. Любое отклонение – тревога. Алгоритм контроля – ГОСТ Р 34.11-2012.
Что в итоге? Продукт не просто вписан в рамки. Он создан под диктовку нормативки. Но расслабляться нельзя. Законы меняются. А значит, надо быть на шаг впереди. Или вылетаешь из реестра. Без шансов.
Какие изменения ожидаются в интерфейсе Red OS для повышения удобства работы в госсекторе
Первое, что будет – переработка панели задач. Текущий подход не выдерживает нагрузки реального офиса. Новая концепция: фиксированные зоны для приложений, преднастроенные для типовых сценариев. Никаких лишних иконок. Только нужное. Профили настроек под «делопроизводство», «аналитика», «архив». Переключение – за одно касание.
Ожидается внедрение адаптивной компоновки окон. Раскладка по шаблонам: два, три, четыре окна одновременно. Без танцев с Alt+Tab. Это не «приятный бонус» – это требование отдела документооборота. Распараллеливание процессов на рабочем столе – необходимость, а не роскошь.
Следующее – централизованная настройка цветовой схемы и размеров элементов UI. Масштабирование – нативное, без искажений и дерганий. Да, это особенно критично на дисплеях 4K в ситуационных центрах. Все элементы интерфейса будут соответствовать ГОСТ 19.604 и СПДС. Простыми словами – ничего лишнего, всё читаемо, контрастно и строго по регламенту.
Госструктурам нужен контроль над интерфейсом. Это означает – централизованная блокировка кастомизации. Админ выдает преднастройки, пользователь не может их сбить. Всё. Точка.
Расширяется поддержка клавиатурных сценариев. Да, горячие клавиши. Не просто «Ctrl+C» – а полноценная настройка на уровне ~/.config/xdg/redos/keybindings.conf. Можно привязать макросы, запускать процедуры документооборота, выполнять подпись документов без мыши. Это экономия минут, а в масштабе отдела – часов.
Важно: новый интерфейс будет поддерживать шаблоны взаимодействия с ЕПГУ, ГИС ЖКХ и другими критичными сервисами. Прямо из панели задач. Без браузера. Без логинов. С интеграцией сертификатов ГОСТ Р 34.10-2012.
Упрощенная авторизация через смарт-карты и USB-токены будет визуально интегрирована. Не модуль сбоку, а часть UX. Вставил ключ – всё, доступ открыт. Без всплывающих окон. Система знает, что ты – сотрудник, и ведет себя соответственно.
Старый файловый менеджер – в архив. Новый, с интеграцией с СЭД, шифрованием на лету и визуальными маркерами статуса документов. Цветовая индикация: зелёный – проверено, синий – на подписи, красный – просрочено. Никаких догадок. Смотришь – понимаешь.
Будет переработан модуль уведомлений. Сейчас он бесполезен. После обновления: приоритеты, фильтрация, логирование в отдельный файл. Можно будет выгружать по инцидентам, подключать к SIEM. Да, это уже не про удобство – это про контроль и безопасность.
Помните: интерфейс – не декорация. Это инструмент. Он должен работать, а не радовать глаз. Функциональность важнее эстетики.
И последнее. Введена единая строка поиска по системе: приложения, документы, команды, шаблоны. Алгоритм подбирает точные совпадения, исключая мусор. Сравните с Alt+F2 – и почувствуйте разницу.
Итог: никто не говорит о «красоте». Говорят об удобстве. Быстром доступе. Минимуме действий. Максимуме результата. Интерфейс перестанет мешать. Начнет помогать. Это – не опция. Это – требование времени.
Что нового появится в инструментах для разработчиков внутри экосистемы Red OS
Обновлённый dnf-wrapper будет поддерживать кастомные хуки до и после установки пакета. Это даёт контроль над всем процессом: можно валидировать зависимости, подгружать собственные скрипты, автоматически запускать тесты. Не использовать – преступление.
В dev-контейнерах теперь можно включать режим безопасной изоляции через флаг --secure-rootfs. Работает только с SELinux в enforcing-режиме и требует перезапуска контейнерной службы. Нарушения правил логируются в /var/log/audit/audit.log.
Наконец-то, появилась нативная поддержка rpm-макросов на уровне пользовательского пространства. В ~/.rpmmacros можно задавать специфичные макросы без прав root. Особенно полезно при сборке через mock или rpmbuild --nodeps.
Разработка UI-приложений упростится: библиотека libredui получила обёртку на Python и Go. Поддерживаются сигналы, слоты, реактивное обновление интерфейса. Пример подключения:
from redui import Button
btn = Button("Нажми меня")
btn.on_click(lambda: print("Сработало!"))
Интеграция с systemd стала глубже. Можно генерировать юниты прямо из сборочного скрипта через redctl create-unit --from-template. Гибко. Быстро. Без лишней писанины.
Изменения в SDK: теперь можно собирать модули ядра под кастомные конфигурации без пересборки всей системы. Используется red-kmod compile --target=custom. Поддержка DKMS встроена.
Внимание! Поддержка устаревших тулкитов вроде GTK2 официально прекращена. Не компилируется – значит, пришло время переписать.
Обновлённый system profiler: теперь он сохраняет снапшоты состояния памяти и CPU в формате совместимом с perf. Команда red-profiler --snapshot создаёт отчёт, пригодный для CI/CD пайплайнов.
Расширение introspect-утилиты: можно пробросить через DBus информацию о запуске конкретных бинарников, включая хэш исполняемого файла и время жизни процесса. Используется для безопасности и диагностики.
Важно помнить: все инструменты синхронизированы с системой контроля политик безопасности. Несоблюдение профилей AppArmor или SELinux приведёт к фатальным ошибкам при разработке под продуктив.
Рефакторинг документации завершён: /usr/share/doc/red-devtools теперь содержит Markdown-файлы с актуальными примерами и схемами архитектуры. Можно парсить напрямую или просматривать через встроенный рендер red-docs-viewer.
Серьёзный апгрейд получил и отладчик red-gdb. Теперь поддержка reverse-debugging работает без патчей ядра, через виртуализацию ptrace-эвентов. Работает только на x86_64. И только при наличии отладочных символов. Не обольщайтесь – магии нет, только хардкор.