Безпека в AlmaLinux
Операційна система AlmaLinux створена з урахуванням принципів прозорості, можливості перевірки та незалежної сертифікації. Від підписаних пакетів і публічних виправлень до інструментів перевірки відповідності та офіційних сертифікатів — ось як ми допомагаємо вам довіряти системі, на якій базується ваша робота.
Повідомлення про безпеку Повідомити про вразливість Чат з питань безпеки

Наш підхід до безпеки
Усе, що ми робимо в сфері безпеки, базується на чотирьох принципах: забезпечувати прозорість, робити її перевіреною, надавати вам інструменти для підтвердження відповідності вимогам та підкріплювати це незалежною сертифікацією.
Прозорість
Публічні виправлення та рекомендації щодо кожного випущеного нами оновлення.
Ланцюг постачання, що піддається перевірці
Підписані пакети та перелік програмних компонентів, які ви можете перевірити.
Забезпечення відповідності вимогам та зміцнення безпеки
Інструменти OpenSCAP, OVAL та CIS для аудиту та зміцнення безпеки ваших систем.
Незалежна сертифікація
Пройшли валідацію за стандартом FIPS 140-3 та отримали сертифікацію за «Загальними критеріями»; інші сертифікації знаходяться на стадії опрацювання.
Що ми пропонуємо
Ось ті основні елементи, які AlmaLinux надає вам для забезпечення безпеки, перевірки та аудиту ваших систем — від опублікованих нами рекомендацій до інструментів, які ви використовуєте самостійно. Ви також можете підписатися на Список розсилки безпеки AlmaLinux щоб отримувати повідомлення одразу після їх опублікування.
Виправлення та рекомендації
Ми публікуємо виправлення, що стосуються питань безпеки та усунення помилок, разом з аналізом їхньої важливості.
Підписані пакунки
Кожен пакет підписується за допомогою ключа GPG і за замовчуванням перевіряється під час його встановлення.
Забезпечення відповідності вимогам та зміцнення безпеки
Проведіть аудит та зміцніть безпеку своїх систем, скориставшись посібниками з використання OpenSCAP та SCAP Workbench, а також стандартом CIS Benchmark.
Дані про вразливості
Публічні потоки OVAL містять інформацію про вразливості в операційних системах AlmaLinux 8, 9 та 10 у форматі, придатному для машинного зчитування.
Список компонентів програмного забезпечення
Наша система збірки генерує SBOM для забезпечення простежуваності та безпеки ланцюга поставок.
Secure Boot
AlmaLinux підтримує функцію Secure Boot із використанням проміжного модуля, підписаного компанією Microsoft, завдяки чому системи завантажують лише перевірене програмне забезпечення.
Як ми реагуємо на проблеми безпеки
Кількість виявлених вразливостей постійно зростає, а дослідження з використанням штучного інтелекту, створення концептуальних доказів та публічне розкриття інформації ще більше прискорюють цей процес. Жодна дистрибутивна версія не може гарантувати усунення всіх вразливостей у встановлені терміни. Що ми можемо запропонувати, так це чіткий і послідовний процес їх усунення.
Внесення виправлень з основного репозиторію
У більшості випадків ми дотримуємося виправлень, що надходять від розробників. Операційна система AlmaLinux створюється на основі тих самих вихідних кодів, що й решта екосистеми корпоративного Linux, тому, коли від розробників надходять виправлення, ми компілюємо, тестуємо та публікуємо їх. Кожне виправлення безпеки поширюється у вигляді повідомлення (ALSA) з оцінкою «Критичне», «Важливе», «Помірне» або «Низьке», разом із машиночитаними даними OVAL та OSV, а також оголошенням у списку розсилки з питань безпеки.
Внесення виправлень до випуску в основному репозиторії
Іноді якась проблема є настільки важливою для спільноти, що ми застосовуємо виправлення раніше, ніж це робить основний проєкт. Такі виправлення перевіряє та затверджує ALESCo — Інженерний керівний комітет AlmaLinux, який визначає технічний напрямок розвитку дистрибутива. Коли основний проєкт випускає власне виправлення, ми приводимо його у відповідність до нього. Коли це можливо або доцільно, ми також надсилаємо патчі, які ми опублікували в основному репозиторії: кожен повинен мати змогу скористатися плодами роботи над відкритим кодом. Будь-хто може подати запит на розгляд патча, опублікувавши його в Канал ALESCo на сайті chat.almalinux.org. Ось кілька прикладів патчів, які ми вже випустили або надали для тестування:
Безпосередні підлеглі
Те, як ми реагуємо на проблему, про яку нам повідомили безпосередньо, залежить від того, на що вона впливає. Ми прагнемо підтвердити отримання повідомлень протягом 2–3 днів.
- Проблеми з ОС, які потребують узгодженого оприлюднення: надішліть листа на адресу security@almalinux.org, щоб ми могли узгодити випуск відповідального виправлення та оновлення.
- Проблеми з ОС, які не потребують узгодження: повідомляйте про них на сайті bugs.almalinux.org.
- Усе, що не є самою операційною системою, наприклад ELevate або цей веб-сайт: створіть запит у репозиторії відповідного проєкту.
Якщо проблема, про яку повідомляє підлеглий, насправді стосується вищого рівня, ми радимо повідомити про неї на вищому рівні, щоб її було виправлено у джерелі для всіх. Критичні проблеми, про які повідомляють на списку розсилки linux-distros, виправляються в день їх оприлюднення. Дивіться нашу політика щодо розкриття інформації про вразливості щоб дізнатися всі подробиці.
Незалежні сертифікації
Офіційна сертифікація, проведена сторонніми організаціями, підтверджує ефективність наших заходів з безпеки шляхом незалежної перевірки. ОС AlmaLinux пройшла перевірку на відповідність стандарту FIPS 140-3 та отримала сертифікат «Загальних критеріїв», а також готується до отримання інших сертифікатів.
Ключі GPG
AlmaLinux підписує всі пакети за допомогою ключа GPG, який за замовчуванням перевіряється за допомогою dnf та графічних засобів оновлення. Ми рекомендуємо перевіряти підпис пакета перед його встановленням.
AlmaLinux OS 10 / AlmaLinux OS Kitten 10
EE6D B7B9 8F5B F5ED D9DA 0DE5 DEE5 C11C C2A1 E572
AlmaLinux OS 9
BF18 AC28 7617 8908 D6E7 1267 D36C B86C B86B 3716
AlmaLinux OS 8 #2
BC5E DDCA DF50 2C07 7F15 8288 2AE8 1E8A CED7 258B
ELevate
74E7 F249 EE69 8A4D ACFB 48C8 4297 85E1 81B9 61A5
Термін дії минув, але залишається надійним ключем.
AlmaLinux OS 8 #1
5E9B 8F56 17B5 066C E920 57C3 488F CF7C 3ABB 34F8
Сертифікати Secure Boot
AlmaLinux забезпечує підтримку функції Secure Boot, починаючи з версії 8.4. Її shim проходить перевірку офіційний розгляд і підписаний компанією Microsoft. Шим AlmaLinux довіряє цим сертифікатам:
Поточний
| Сертифікат | Підписано для: | Перевірено: | Термін дії |
|---|---|---|---|
| almalinux-sb-cert-3.der | AlmaLinux Secure Boot CA | AlmaLinux Secure Boot CA | 14.03.2034 |
Назад
Термін дії цих сертифікатів закінчився, але вони й надалі вважаються надійними.
| Сертифікат | Підписано для: | Перевірено: | Термін дії |
|---|---|---|---|
| almalinux-sb-cert-1.der | AlmaLinux OS Foundation | Sectigo Public Code Signing CA EV R36 | 30.01.2025 |
| almalinux-sb-cert-2.der | AlmaLinux OS Foundation | SSL.com EV Code Signing Intermediate CA RSA | 19.01.2025 |
Будьте в курсі
Повідомте про вразливість, підпишіться на розсилку повідомлень або обговоріть з нами питання безпеки безпосередньо.
