Проблема
В государственных учреждениях, оборонных предприятиях и организациях с высокими требованиями к информационной безопасности переход на отечественное программное обеспечение это не рекомендация, а требование законодательства. Astra Linux Special Edition (ранее известная как «Смоленск», «Воронеж», «Орел») единственная платформа, сертифицированная ФСТЭК России для работы с информацией ограниченного распространения и государственной тайной вплоть до особой важности (степень секретности «Особой важности»). Однако у администраторов, привыкших к Debian, Ubuntu или CentOS, возникает ряд сложностей. Специфическая политика безопасности. Мандатный доступ. Закрытые репозитории. Настройка сетевых служб в условиях строгих ограничений.
В этой статье мы развернём сервер на Astra Linux Special Edition, настроим базовые сетевые службы, организуем безопасное удалённое управление и подготовим платформу для развёртывания прикладного ПО (1С, PostgreSQL, Samba AD).
Решение
Astra Linux Special Edition (SE) базируется на Debian GNU/Linux, но дополнена собственными средствами защиты информации (СЗИ), сертифицированными ФСТЭК России. Выбор редакции определяется требованиями к защите информации.
«Орел» (базовый уровень) для систем, обрабатывающих персональные данные (УЗ-3 и УЗ-4).
«Воронеж» (усиленный уровень) для государственных информационных систем и персональных данных УЗ-2.
«Смоленск» (максимальный уровень) для государственной тайны, реализует мандатный доступ к данным (MAC).
В статье мы будем использовать Astra Linux Special Edition с уровнем «Орел» (как наиболее простой для ознакомления) на примере очередного обновления 1.7. Все команды проверены для архитектуры x86-64. Основные источники: официальная документация Astra Linux и Справочный центр.
Пошаговая инструкция
1. Установка Astra Linux Special Edition
1.1. Создание загрузочного носителя
Скачайте ISO образ Astra Linux SE с официального портала. Для записи на USB накопитель используйте Rufus в режиме DD образа (Windows) или команду dd (Linux).
text
sudo dd if=astra_linux.iso of=/dev/sdb bs=4M status=progress
В UEFI системах перед установкой отключите Secure Boot (Безопасная загрузка).
1.2. Процесс установки
Загрузитесь с флешки, выберите «Графическая установка». Выберите язык Русский, локаль ru_RU.UTF-8. На этапе «Имя компьютера» укажите полное доменное имя (FQDN), например server.gov.local. Создайте пароль для суперпользователя (root) и обычного пользователя.
Разметка диска. Для сервера рекомендуется ручная разметка.
/ (root) 20-30 ГБ, ext4
/home остальное пространство, ext4
swap размер = ОЗУ (для серверов с большим объёмом памяти достаточно 4-8 ГБ)
На этапе выбора компонентов tasksel обязательно отметьте.
SSH server для удалённого управления.
Fly desktop (опционально) если нужен графический интерфейс.
Base system базовая система.
Выберите уровень безопасности («Орел», «Воронеж» или «Смоленск»). Для начала выберите «Орел». Дождитесь установки и перезагрузитесь.
2. Первичная настройка сети и имени хоста
После входа в систему откройте терминал (Ctrl+Alt+T) и выполните настройку от имени root или через sudo.
2.1. Установка FQDN
text
sudo hostnamectl set-hostname server.gov.local
Проверьте, что в файле /etc/hosts указана корректная привязка IP к имени.
text
127.0.0.1 localhost
192.168.1.10 server.gov.local server
2.2. Настройка сетевого интерфейса
Если используется статический IP, отредактируйте /etc/network/interfaces или используйте Network Manager. Для сервера удобнее статическая конфигурация.
text
auto eth0
iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 8.8.8.8 1.1.1.1
Перезапустите сеть.
text
sudo systemctl restart networking
3. Настройка репозиториев
Официальные репозитории Astra Linux разделены на main, contrib, non-free. Для Special Edition доступны базовый (repository-base) и расширенный (repository-extended) репозитории.
3.1. Отключение CD-ROM и подключение сетевых репозиториев
Отредактируйте /etc/apt/sources.list. Закомментируйте строку с deb cdrom: и добавьте для версии 1.7.
text
deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free
deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free
Для Astra Linux SE 1.8 используются другие адреса репозиториев, уточняйте в официальной документации.
3.2. Обновление системы
text
sudo apt update
sudo apt upgrade -y
4. Настройка SSH для удалённого управления
На сервере обязательно должен быть включён SSH сервер для безопасного удалённого доступа.
Установите пакет, если не был выбран при установке.
text
sudo apt install openssh-server
Отредактируйте /etc/ssh/sshd_config для повышения безопасности.
text
PermitRootLogin no # запрет входа root
PasswordAuthentication no # отключение паролей (оставляем ключи)
PubkeyAuthentication yes
AllowUsers admin # разрешить только определённых пользователей
Перезапустите службу.
text
sudo systemctl restart sshd
5. Настройка средств защиты информации (СЗИ)
В Astra Linux SE управление политикой безопасности осуществляется через утилиту fly-admin-smc (графическая) или через конфигурационные файлы.
5.1. Мандатный доступ (только для уровней «Воронеж» и «Смоленск»)
Если вы выбрали уровень «Смоленск», в системе активирован мандатный контроль доступа (MAC). Для работы с ним используйте расширенные атрибуты.
Просмотр метки безопасности файла.
text
getfattr -n security.selinux file.txt
Установка метки (пример для уровня секретности).
text
setfattr -n security.selinux -v "s0" file.txt
5.2. Управление пользователями и политиками
Для локального управления пользователями используйте fly-admin-smc (графическая) или стандартные команды useradd и passwd с учётом требований к сложности пароля.
Создание пользователя с заданным домашним каталогом.
text
sudo useradd -m -s /bin/bash ivanov
sudo passwd ivanov
6. Установка и настройка типовых сервисов
6.1. Настройка времени (NTP)
Для синхронизации времени используется служба chrony или ntp. Установите и настройте.
text
sudo apt install chrony
sudo systemctl enable --now chrony
Конфигурационный файл /etc/chrony/chrony.conf. Добавьте серверы времени, доступные в вашей сети.
6.2. Организация сетевых папок (Samba)
Для взаимодействия с Windows клиентами настройте Samba.
text
sudo apt install samba
Базовая конфигурация /etc/samba/smb.conf.
text
[global]
workgroup = GOV
server string = Astra Server
security = user
map to guest = Bad User
[shared]
path = /srv/shared
browseable = yes
read only = no
guest ok = no
valid users = ivanov
Создайте каталог и установите права.
text
sudo mkdir -p /srv/shared
sudo chown nobody:nogroup /srv/shared
sudo chmod 777 /srv/shared
Добавьте пользователя Samba.
text
sudo smbpasswd -a ivanov
6.3. Настройка DNS (опционально)
Для централизованного управления именами можно развернуть BIND9.
text
sudo apt install bind9
Конфигурация описана в документации Astra Linux.
7. Установка прикладного ПО: пример с 1С
Для работы сервера 1С на Astra Linux SE 1.7 потребуется установить PostgreSQL и сам сервер 1С.
7.1. Установка PostgreSQL
text
sudo apt install postgresql
Настройте /etc/postgresql/11/main/pg_hba.conf для разрешения сетевых подключений.
text
host all all 192.168.1.0/24 md5
В /etc/postgresql/11/main/postgresql.conf установите.
text
listen_addresses = '*'
Перезапустите PostgreSQL и задайте пароль пользователю postgres.
text
sudo systemctl restart postgresql
sudo -u postgres psql -c "ALTER ROLE postgres WITH PASSWORD 'strong_password';"
7.2. Установка сервера 1С
Скачайте дистрибутив с официального сайта 1С и установите.
text
sudo apt install ./1c-enterprise83*.deb
Включите автоматический запуск службы.
text
sudo systemctl enable srv1cv83
sudo systemctl start srv1cv83
Для корректной остановки службы добавьте пользователя usr1cv8 в исключения systemd в файле /etc/systemd/logind.conf.
text
KillExcludeUsers=root usr1cv8
8. Настройка брандмауэра (ufw)
Astra Linux использует стандартный ufw (Uncomplicated Firewall) для управления iptables.
Разрешите необходимые порты.
text
sudo ufw allow 22/tcp # SSH
sudo ufw allow 445/tcp # Samba
sudo ufw allow 5432/tcp # PostgreSQL (если требуется удалённый доступ)
sudo ufw enable
Для сложных сценариев используйте iptables напрямую.
Устранение распространённых проблем
Проблема,Вероятная причина, Решение. Не устанавливаются пакеты из репозиторияНеправильно настроен /etc/apt/sources.list или отсутствует доступ к интернетуПроверить строки репозиториев согласно документации. Выполнить sudo apt update.Ошибка «Permission denied» при доступе к файламАктивен мандатный контроль (MAC) на уровне «Смоленск»Проверить метки безопасности командой ls -Z. Использовать chcon или setfattr для изменения меток.Не запускается графический интерфейс после установкиНе установлен пакет fly-wm или драйверы видеокартыУстановить: sudo apt install fly-wm. Для NVIDIA: sudo apt install nvidia-driver.Не удаётся подключиться по SSH после настройкиБрандмауэр блокирует порт 22 или не разрешена аутентификация по ключамПроверить sudo ufw status, открыть порт. Убедиться, что публичный ключ добавлен в ~/.ssh/authorized_keys.Ошибка при установке 1С: «broken dependencies»Отсутствуют зависимостиВыполнить sudo apt --fix-broken install и повторить установку.
Мы развернули сервер на Astra Linux Special Edition, настроили базовые сетевые службы (SSH, Samba, NTP), обеспечили доступ к официальным репозиториям и подготовили платформу для прикладного ПО, включая 1С и PostgreSQL. Настройка сервера Astra Linux требует учёта специфики безопасности. Выбора уровня защищённости, настройки мандатного доступа (при необходимости) и использования сертифицированных средств защиты. Полученная конфигурация соответствует требованиям для работы с персональными данными и может быть адаптирована под более высокие уровни секретности («Воронеж», «Смоленск») путём активации дополнительных механизмов контроля доступа. Для углублённого изучения обратитесь к официальной документации и руководству по комплексу средств защиты.