Про военный Линукс

Компьютеры, которые используются для хранения американской государственной информации (военные или, например, компьютеры, принадлежащие Администрации Социального Страхования), должны быть определённым образом защищены (hardened — есть ли более подходящий русский термин для этого слова?) Для этого после установки ОС, к ней необходимо применить дополнительные настройки, как-то: усиленные требования к паролям, методам криптографии, общее снижение поверхности для сетевых атак, и т.д. Так, например, на компьютерах, работающих под управлением ОС Линукс, не должен стоять FTP сервер, должна стоять обязательная проверка контрольной суммы устанавливаемых пакетов, должен быть врублен SELinux, и т.п.

Все эти настройки собраны в документы, называемые Руководства по Техническому Обеспечению Безопасности (Security Technical Implementation Guides, STIG). РТОБов есть туева хуча для всякого разного — от HP UX до роутеров, брандмауэров, и смартфонов. Их, вообще, полезно почитать для общего развития себя как сисадмина. Некоторые требования, конечно, немного перегибают палку (как, вам, например, требование невозможности копипасты пароля — только печатание пароля лапками), но в целом их внедрение способствует улучшению компьютерной безопасности.

РТОБы берут здесь:

https://iase.disa.mil/stigs/Pages/index.aspx

Они распространяются в XML формате, и там же можно сгрузить просмотрщик (STIG Viewer) — глазами XML читать сложно.

Но помимо чтения самих РТОБов ещё интересно смотреть, а для каких устройств они есть, а для каких нет. Потому что если нет РТОБов, то устройства в государственной компьютерной сети использовать невозможно. Что часто говорит о том, что устройства тупо невозможно защитить надлежащим образом или же производитель не спешит делиться техническими деталями с государственными структурами.

Так, например, среди РТОБов для смартфонов, разумеется, есть iOS. Конечно, есть BlackBerry (ещё бы, они первые подсуетились с FIPS), есть Виндофоны. А вот ведроидов — только два: ЛыЖа и Гнусмас. То-есть, все остальные производители (включая, ЧСХ, сам Гугол) государственным требованиям по безопасности — не отвечают:

https://iase.disa.mil/stigs/mobility/Pages/smartphone.aspx

А ещё я, можно сказать, обидился на то, что для Фрюниксов нет РТОБов под мою любимую FreeBSD, и совершенно отсутствует ветвь Debian, включая Ubuntu. Из Линуксов тока Красная Шапка, тока хардкор!!!! Ну ещё есть Оракл Линукс (та же Шапка, только в профиль), и разумеется, есть Солярка и прочий AIX. А вот Убунты или Фряхи — нету как класса. Обидно. Конечно, можно взять РТОБ от Шапки и перекострячить его под Убунту. Процентов 90 вполне можно применить и там и там. Но всё же это лишние телодвижения.

https://iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx

Mirrored from Лабораторный Журнал №6.

То-есть, все остальные производители (включая, ЧСХ, сам Гугол) государственным требованиям по безопасности — не отвечают:
Кроме цены за само лицензирование (которая наверняка существует) там вероятнее всего есть куча требований, внедрение которых достаточно бессмыслено для обычных пользователей, а для производителя недешево. Далее работает принцип целесообразности - сколько мы сможем заработать на вояках? а сколько портратим времени/денег на реализацию... и нафиг нам это нужно.
Хорошим примером является получение уровня защиты IP68 - фича в принципе полезная всем, однако далеко не все производители делают такие телефоны
Там нет цены за лицензирование, эти руководства разрабатываются самими DISA. Но там есть доптребования, да. Так, например, необходимо иметь возможность коммерческой поддержки от самого производителя. Это абсолютно не проблема для RHEL, но полная проблема для какого-нибудь там Gentoo.

Но мне слабо понятно, каким таким образом получилось так, что лыжный ведроид -- это ОК, а гугловский -- не ОК. ОС ведь одна и та же.