Сергей Яремчук

Установить и настроить надежную, всесторонне защищенную систему на сервер не такая уж и легкая задача. Упростить ее можно, только правильно подобрав дистрибутив и компоненты будущей системы.

Дистрибутив tinysofa

Цель австралийского проекта tinysofa (http://www.tinysofa.org) – создание быстрой, надежной, стабильной и безопасной операционной системы, которую можно применять на серверах уровня предприятия, которая оставалась бы в течение своего жизненного цикла свободной (As in beer). Причем цели проекта, можно сказать, глобальные – стать де-факто серверным дистрибутивом Linux, заполнив нишу свободных решений, предназначенных для этой цели.

Основой первых версий этого дистрибутива служил коммерческий дистрибутив Trustix Secure Linux, который, в свою очередь, базировался на Red Hat. В середине октября вышел релиз tinysofa classic server 2.0 Update 6 (Ceara), о котором и будет идти речь далее. Второй релиз также основан на Trustix 2.1 и Fedora Core. В частности, набор пакетов аналогичен Trustix. Хотя есть и изменения, так как некоторые идеи взяты с дистрибутивов SUSE и Conectiva. Дистрибутив полностью совместим с Red Hat Enterprise Linux (включая ядро и рабочее пространство), поэтому при отсутствии в репозитарии tinysofa необходимых пакетов их всегда можно будет взять с RHEL. Проблем с их установкой не будет. Все пакеты, входящие в состав дистрибутива, собраны с i586 оптимизацией, доступна и x86_64-версия. Для работы с пакетами используется APT, с помощью которого можно легко и просто устанавливать приложения и исправления в безопасности. Начиная со второй версии в дистрибутиве дополнительно к APT для работы с пакетами также используется и SmartPM. Вокруг дистрибутива образовалось большое комьюнити, члены которого составляют группу поддержки пользователей tinysofa и дистрибьюторов пакетов.

Безопасность является для tinysofa приоритетом номер один. Перед выходом дистрибутив тщательно тестируется на огромном количестве критических задач. В конфигурации по умолчанию стартует всего один сетевой сервис – Postfix, привязанный к интерфейсу 127.0.0.1. Решение о запуске остальных администратор принимает самостоятельно после их настройки, начальные значения в конфигурационных файлах этих сервисов также выбраны с учетом максимальной защищенности.

В текущем релизе использовано ядро 2.6.16 с поддержкой SELinux и grsecurity, переработанная PAM-аутентификация, допускающая настройку контроля доступа в рамках всей системы. В компиляторе gcc 3.4.3 использована система защиты от «срыва» стека («stack smashing»), разработанная в корпорации IBM.