Опрос
Используете ли вы ядро Linux в своих продуктах? 

При выборе операционной системы всегда необходимо учитывать много факторов. Это – поддержка оборудования, технические возможности, возможность доработки, перспективы развития. У Linux есть немало сторонников, как и противников. А что выбираете вы?

1. Почему выбор остановился именно на Linux, а не на его альтернативах?
2. Какие принципы и источники информации вы используете для выбора версии ядра и его конфигурации?
3. Как часто происходит обновление ядра в уже выпущенных продуктах с целью исправления уязвимостей? Какие в этом процессе существуют сложности (технические, нормативные, социальные)?
   
   

Михаил Смирнов,
и.о. генерального директора компании «Системы компьютерного зрения» (входит в группу компаний ЛАНИТ)

«Linux – это хорошо известная разработчикам платформа, для неё существует большой задел библиотек»

1. Для нас важным аргументом в пользу Linux является максимально широкая поддержка сторонними разработчиками, в частности, фреймворков машинного обучения. Кроме того, это хорошо известная разработчикам платформа, для неё существует большой задел библиотек, выбирается последняя LTS-версия с ядром по умолчанию или с необходимой поддержкой оборудования (видео, сеть). При этом обновления ядра мы делаем только по необходимости.

2. Источники информации – это документация на оборудование, драйверы, сторонние библиотеки, где описываются требуемые версии ядра или поддерживаемый функционал. Соответственно, ядро либо выбирается из готовых, если находится удовлетворяющее всем требованиям (в соответствии с документацией ядра Linux), либо собирается кастомное.

3. Ядро обновляется при необходимости: когда выявляются критические уязвимости, требуется поддержка нового функционала или важные для нас оптимизации. При обновлении работающих (в продакшне) решений – критически важно отработать процедуру таким образом, чтобы минимизировать downtime (или время простоев).

Иван Панченко,
заместитель генерального директора компании Postgres Professional

«Не ошибусь, если скажу, что именно на этой ОС работает большинство серверов СУБД в мире»

1. Linux является наиболее распространенной в мире серверной операционной системой. PostgreSQL и Postgres Pro, конечно же, поддерживают его. Не ошибусь, если скажу, что именно на этой ОС работает большинство серверов СУБД в мире. Наряду с Linux наша СУБД может работать на Microsoft Windows, MacOS, FreeBSD, AIX, и других, более редких операционных системах.

2. Мы не выбираем версию ядра и его конфигурацию – работаем на всех. Это выбор наших заказчиков, но для них у нас есть рекомендации, которые в разных случаях могут различаться.

3. Это вопрос к вендорам операционных систем. Обновлять наш продукт при обновлении ядра ОС не нужно.

Денис Силаков,
старший системный архитектор Virtuozzo

«Linux – основная ОС для хостинг-провайдеров, которые долгое время являлись главными клиентами Virtuozzo»

1. Открытость и технологическая зрелость – наши продукты во многом основаны на собственных патчах к ядру Linux, которые мы по возможности передаем в upstream.

Linux – основная ОС для хостинг- провайдеров, которые долгое время являлись главными клиентами Virtuozzo.

Наличие средств виртуализации (KVM / QEMU / Libvirt), позволивших нам избавиться от проприетарных аналогов и сократить расходы на разработку без потери качества

2. Мы базируемся на ядрах RedHat Enterprise Linux – в первую очередь из-за наличия четкого списка поддерживаемого оборудования и оперативности выпуска обновлений.

3. Непосредственно ядро обновляется в среднем раз в квартал. Исправления уязвимостей и ошибок выходят 1-2 раза в месяц, для их доставки пользователям мы применяем технологию ReadyKernel – наложение исправлений на работающее ядро без перезагрузки машины.

Обновление самого ядра с перезагрузкой сервера – непопулярный сценарий для хостинг-провайдеров, поскольку, скорее всего он будут сопряжен с недоступностью части VPS для клиентов, пусть и на непродолжительное время. Как следствие, необходимо заранее планировать «окно» для таких обновлений и оповещать пользователей VPS.

В Virtuozzo / OpenVZ возможен «живой» перенос виртуальных окружений на другие серверы, так что можно предварительно убрать все VPS с сервера, перезагрузить его и вернуть все обратно.

Однако при таком подходе процесс обновления большого парка серверов может затянуться надолго, наложение патчей «наживую» более эффективно. Единственный нюанс – не все исправления в ядре поддаются оформлению в виде «живых патчей» (примеры – исправления для Meltdown и Spectre), в таком случае перезагрузки не избежать.

Николай Фатнев,
руководитель направления программного обеспечения компании X-Com

«К безусловным преимуществам Linux-серверов можно отнести меньшее, чем Windows Server, потребление аппаратных ресурсов, а также нативную для всех unix-систем работу с консолью и пакетными менеджерами»

1. В качестве российского производителя серверов мы предлагаем заказчикам как «чистые» решения, кастомизированные под стоящие перед ними задачи, так и с предустановленной сборкой Linux. При этом тщательно анализируем эти задачи и предлагаем установку дистрибутива, наиболее точно им отвечающую.

К безусловным преимуществам Linux-серверов можно отнести меньшее, чем Windows Server, потребление аппаратных ресурсов, а также нативную для всех unix-систем работу с консолью и пакетными менеджерами.

В противовес ей, минусом Windows Server является стоимость лицензии и требовательность к ресурсам: среди всех серверных ОС она наиболее прожорлива и требует минимум одно ядро процессора и от полутора до трех гигабайт оперативной памяти просто для работы ядра и стандартных служб. Эта система не подходит для маломощных конфигураций, а также имеет ряд уязвимостей, связанных с RDP и политиками групп и пользователей.

Кроме того, найти администратора, который выполнит нестандартные работы или решит сложную задачу на сервере с ОС Windows будет гораздо сложнее, да и стоить такие работы будет немало. В случае Linux на рынке доступно множество специалистов, что, естественно, снижает стоимость работ.

Также в сети доступна подробная информация по решению любой задачи на Linux и при желании ее можно решить самостоятельно. Не говоря уже о том, что на Linux можно реализовать всё что угодно. Практика показывает, что в большинстве случаев наиболее экономически и технологически обоснованным для заказчика решением является именно Linux-дистрибутив.

2. При выборе наиболее подходящего дистрибутива мы опираемся на наработанную годами экспертизу, а также отзывы наших заказчиков из различных сфер бизнеса и госсектора. Обычно для серверной инсталляции мы рекомендуем использовать OC CentOS или Debian – сегодня это самые распространенные и функциональные операционные системы для этих целей. Первая используется преимущественно в виртуальных серверах и контейнерной виртуализации, так как наименее требовательна к серверному «железу», а Debian благодаря своей гибкости может подвергаться более глубокому конфигурированию и эффективнее решать ряд специфических задач, в том числе и корпоративного уровня.

Также обращаю внимание на то, что полюбившийся многим пользователям десктопов популярный дистрибутив Ubuntu не является в чистом виде серверной операционной системой – ее серверный аналог как раз вышеупомянутый Debian.

3. В большинстве дистрибутивов Linux происходит циклический выпуск стандартных релизов. Например, Ubuntu регулярно выпускает новые версии Ubuntu каждые шесть месяцев.

В процессе шестимесячной разработки из репозитариев всего программного обеспечения берутся самые последние версии программ, которые упаковываются и используются для обновления. Затем эти версии программного обеспечения «замораживаются» в репозиториях и несколько месяцев затрачивается на их тестирование с тем, чтобы убедиться, что все версии хорошо работают вместе, а также для исправления ошибок.

Если вам потребуется последняя версия определенного пакета, у вас будет возможность получить его в другом месте. Например, вы можете получить его отдельно из репозитария именно этого пакета или использовать официальный репозиторий Backports, предназначенный для неподдерживаемых пакетов, куда помещаются новые версии важных приложений рабочего стола, предназначенных для более старых версий. Либо придется ждать следующего крупного релиза.

Александр Брюханов,
руководитель разработки ISPsystem

«Сейчас в Linux технологии виртуализации неплохо отлажены и для решения большинства задач нет необходимости «лезть в ядро»

1. Наши продукты устанавливаются на серверы под управлением ОС семейства Linux. Но я не могу сказать, что они работают с ядром Linux напрямую. Мы используем различные инструменты и библиотеки, такие как libc, libvirt или docker. В некоторых случаях мы вносим изменения в параметры ядра Linux, но в большинстве случаев можем обойтись и без этого.

Первые наши продукты предназначались для автоматизации хостинга, а большая часть хостеров работают именно с Linux. Выбор основной платформы был сделан в пользу операционной системы FreeBSD, именно эта ОС впервые дала возможность создания подобия виртуальных машин (jail). Большую часть разработки мы делали сами, некоторые платные доработки ядра FreeBSD, улучшающие работу jail, заказывали в Беркли. Но спустя некоторое время вектор развития FreeBSD привел к значительному снижению ее популярности, и теперь мы полностью отказались от поддержки данной ОС. Сейчас в Linux технологии виртуализации неплохо отлажены и для решения большинства задач нет необходимости «лезть в ядро».

2. Мы не диктуем клиентам, какое ядро они должны использовать, следовательно наши продукты будут работать с любой версией и конфигурацией поддерживаемых ОС. В современных сборках ядер Linux, поставляемых вместе с популярными сборками ОС, есть всё необходимое для решения стоящих перед нами задач.

3. Мы не поставляем ядра Linux собственной сборки, забота об исправлении уязвимостей лежит на разработчиках соответствующей ОС или иных решений, таких как KernelCare. И, благодаря большому количество пользователей и развитому сообществу, они с ней неплохо справляются. В нашей зоне ответственности – обеспечение безопасной работы собственных платформ, за что отвечает отдельная команда в соответствии с техническими и нормативными регламентами.

Алексей Новодворский,
советник генерального директора «Базальт СПО»

«Мы участвуем в разработке ядра Linux и потому всегда в курсе его состояния и планов»

1. Это сейчас развитое универсальное ядро, оно поддерживает много распространённых архитектур и аппаратуры.

2. Мы участвуем в разработке ядра Linux и потому всегда в курсе его состояния и планов. Для стабильных продуктов мы используем актуальные ядра LTS (увеличенного времени поддержки, long time support) с комплектом патчей и внешних модулей. Для нестабильных веток собираем и самые свежие ядра текущей разработки.

3. По мере появления серьёзных уязвимостей, один-два раза в месяц. Процесс налажен. Сложности могут возникать при отставании разработки внешних модулей, но они решаемы.

Дмитрий Державин,
руководитель отдела разработки защищенных решений департамента аналитики и разработки программного обеспечения ИВК

«В качестве ещё одного, основного аргумента в пользу Linux можно рассматривать наличие в стране Технологического центра исследования безопасности ядра Linux»

1. Выбор был сделан более 20 лет назад по совокупности факторов: поддержка оборудования, технические возможности, возможность доработки, перспективы развития. Как показало время, выбор был сделан правильно. Сейчас в качестве ещё одного, основного аргумента в пользу Linux можно рассматривать наличие в стране Технологического центра исследования безопасности ядра Linux, организованного при Институте системного программирования РАН.

2. С этим у нас всё довольно просто – пространство для выбора невелико. С одной стороны, у нас есть техническое задание, учитывающее целевой набор оборудования, запросы разработчиков прикладного ПО и требования регуляторов, так как продукты сертифицированы. С другой стороны, есть результаты применения технологий безопасной разработки, в том числе методов статического и динамического анализа, которые тоже вносят свои коррективы. И, наконец, есть коллегиальное мнение участников Центра компетенции по ядру, в работе которого мы также принимаем участие.

Так как на базе Центра компетенции происходит совместная работа, в том числе по поиску потенциальных уязвимостей, участники договариваются о версии ядра, на которой эта совместная работа будет базироваться. В дальнейшем именно эту версию они и поддерживают в своих продуктах. Мы здесь не исключение, так как сквозная версия ядра для разработчиков отечественного железа, ОС и прикладного ПО позволяет решить существенную часть вопросов совместимости.

3. Частота обновления версий ядра в сертифицированных продуктах балансирует между возможностями регламента обновлений, который диктует конкретный регулятор, и технической целесообразностью. То есть, обновляем так быстро, как только позволяют соответствующие регламенты. Например, в случае с регламентом ФСТЭК можно выпускать обновления сразу, как только появляется техническая возможность. Для опасных уязвимостей стараемся так и делать.

Технические сложности состоят в необходимости тщательного тестирования обновлений на всех поддерживаемых аппаратных платформах. Нормативные сложности – в инертности процесса обновления технических регламентов, которые не всегда успевают за вызовами времени. А основные социальные сложности, конечно, в том, чтобы убедить конечных потребителей в необходимости устанавливать обновления.

Ключевые слова: ОС Linux, Технологический центр исследования безопасности ядра Linux, аппаратная платформа, прикладное ПО, ФСТЭК, сертификация, продукт, регулятор, регламент

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи