Astra Linux на выделенном сервере: установка, настройка, особенности Parsec

Astra Linux - дистрибутив на базе Debian, разработанный компанией RusBITech-Astra. Выпускается в двух редакциях: Common Edition (бесплатная) и Special Edition (лицензированная, с сертификатом ФСТЭК). THE.Hosting поддерживает установку Astra Linux Common Edition 2.12 на выделенных серверах - автоматически, за 30 минут.

Отличие от других дистрибутивов

Технически Astra Linux собрана на базе Debian 10/11 и использует ядро Linux 5.15 LTS. Пакетный менеджер - apt/dpkg, репозитории частично совместимы с Debian. На этом сходство с обычным Debian заканчивается.

Ключевое отличие - мандатная модель управления доступом Parsec. Это не SELinux и не AppArmor: Parsec реализует полномочное управление доступом (ПУД) на уровне ядра, где каждый субъект и объект получает метку безопасности. Процесс не может получить доступ к объекту с более высокой меткой, даже имея root-права - это принципиальное отличие от дискреционной модели Unix.

Встроенная подсистема аудита фиксирует все события безопасности - попытки повышения привилегий, изменения меток, доступ к защищённым объектам. Журналы доступны через journald и auditd.

Fly-desktop - собственная графическая оболочка на базе Qt. Для серверных сценариев не нужна, но при необходимости устанавливается из репозитория.

Сертификация безопасности. Special Edition сертифицирована ФСТЭК до класса 1Б и ФСБ. Это важно для организаций, работающих с данными ограниченного доступа и обязанных использовать сертифицированные решения.

Когда Astra Linux имеет смысл

Прежде всего - организации с жёсткими требованиями к информационной безопасности. Если система обрабатывает данные ограниченного доступа и требует сертифицированную ОС, Special Edition закрывает этот вопрос: у неё есть сертификат ФСТЭК до класса 1Б и поддержка вендора.

Работа с конфиденциальными данными. Мандатная модель Parsec даёт возможность жёстко разграничить доступ к данным на уровне ядра - не через политики SELinux, а через метки безопасности. Для систем, где утечка данных критична, это более надёжный механизм, чем стандартный Unix-подход.

Сектора с регуляторными требованиями к ОС: финансовые организации, медицинские системы с данными пациентов, промышленные системы управления, среды с требованиями к сертифицированным решениям.

Совместимость с экосистемой Astra. Если у организации уже есть внутренние системы, сотрудники, знакомые с Astra, или корпоративные регламенты, предписывающие именно этот дистрибутив - Common Edition позволяет строить тестовые и dev-среды без лицензионных затрат.

Common Edition для задач, требующих сертификации, не подходит - у неё нет сертификатов ФСТЭК/ФСБ. Она используется там, где нужна совместимость с экосистемой Astra (пакеты, конфигурации, обучение сотрудников) без требований к сертификации.

Common Edition vs Special Edition

Common Edition - свободно распространяемая редакция. Нет лицензионного договора, нет сертификатов ФСТЭК/ФСБ, обновления через открытые репозитории. Подходит для разработки, тестирования, обучения, внутренних систем без регуляторных требований.

Special Edition - лицензируемая редакция с уровнями защищённости ("Смоленск"):

• Сертифицирована ФСТЭК до класса 1Б - гостайна уровня "совершенно секретно"
• Обновления и патчи безопасности поставляются через закрытый репозиторий по подписке
• Требует заключения лицензионного договора с "РусБИТех-Астра" или авторизованным партнёром
• Расширенный формат аудиторских журналов, принятый для систем защиты гостайны

THE.Hosting предоставляет Common Edition 2.12. Special Edition - отдельный продукт: лицензию покупают у вендора, а не у хостинг-провайдера. Хостинг-провайдер в этой схеме предоставляет только железо.

Как всё устроено на серверах THE.Hosting

При заказе выделенного сервера Astra Linux CE 2.12 доступна как вариант ОС в конфигураторе. После подтверждения заказа установка проходит автоматически - типичное время 30 минут.

После установки доступен SSH. Данные для входа (пароль root и IP-адрес) приходят на email и в личный кабинет. Переустановка ОС - через панель управления в один клик, без обращения в поддержку.

Параметры серверов: 2x Intel E5-2697Av4, от 64 до 384 GB ECC RAM, SSD RAID, порт 10 Gbps, безлимитный трафик. Включены IPMI/iKVM/iLO - полный доступ к серверу даже если ОС не загружается. Это важно при экспериментах с настройками ядра или политиками Parsec: через IPMI можно восстановить доступ без переустановки.

Первые шаги после получения сервера

Сразу после подключения по SSH - обновить систему и проверить версию:

# Обновить список пакетов и установить обновления
apt update && apt upgrade -y

# Проверить версию дистрибутива
cat /etc/os-release

# Проверить версию ядра
uname -r

Настройка брандмауэра. В Astra Linux CE доступен ufw:

# Установить ufw, если не установлен
apt install ufw -y

# Разрешить SSH, запретить весь входящий трафик по умолчанию
ufw allow ssh
ufw default deny incoming
ufw default allow outgoing
ufw enable

# Проверить правила
ufw status verbose

Обновление через astra-update (если доступен в данной сборке):

# Проверить наличие утилиты
which astra-update

# Запустить обновление
astra-update

Смена порта SSH - стандартная практика для серверов с публичным IP:

# Отредактировать конфигурацию SSH
nano /etc/ssh/sshd_config
# Изменить строку: Port 22 -> Port <ваш_порт>

# Разрешить новый порт в брандмауэре до перезапуска сервиса
ufw allow <ваш_порт>/tcp

# Перезапустить SSH
systemctl restart sshd

Проверить статус подсистемы Parsec и текущую политику мандатного контроля:

# Проверить загрузку модуля
lsmod | grep parsec

# Просмотр меток пользователей
pdpl-user -l

Часто задаваемые вопросы

Чем Common Edition отличается от Special Edition на практике? Common Edition - это Debian-based дистрибутив с набором инструментов Astra: Parsec, Fly, репозиторий Astra. Нет лицензии, нет сертификатов ФСТЭК/ФСБ. Special Edition - сертифицированный продукт с закрытым репозиторием, уровнями защищённости и поддержкой вендора. Если задача - соответствие требованиям регулятора, требующего сертифицированную ОС, нужна SE. CE достаточно для внутренних систем, разработки и обучения персонала.

Можно ли устанавливать пакеты из репозиториев Debian? Технически - да, бинарная совместимость с Debian сохранена. Но ряд пакетов может конфликтовать с компонентами Astra или нарушить целостность политики безопасности Parsec. На практике лучше использовать репозиторий Astra Linux, а внешние пакеты проверять на совместимость перед установкой в продакшн.

Есть ли поддержка cPanel или Plesk? cPanel официально не поддерживает Astra Linux. Plesk - аналогично. Для серверов с Astra актуальны ISPmanager (поддерживает Debian-based дистрибутивы) или ручная конфигурация через nginx/Apache + PHP-FPM. THE.Hosting предоставляет ISPmanager отдельно - уточнять совместимость с конкретной версией при заказе.

Какой пакетный менеджер используется? apt и dpkg - те же, что в Debian. Команды полностью совместимы: apt install, apt remove, dpkg -l, dpkg-query. Дополнительно доступны специфичные для Astra утилиты: astra-update, pdpl-user, parsec-init.

Какое ядро используется в Astra Linux CE 2.12? Ядро Linux 5.15 LTS. Это стабильная версия с длительным циклом поддержки, подходит для продакшн-нагрузок. Версию можно проверить командой uname -r сразу после входа на сервер.

Выбрать выделенный сервер: https://the.hosting/ru/server

Для вопросов по конфигурации - support@the.hosting или Telegram @thehosting_sale.