Порядок установки обновления| панель |
|---|
Подготовка к установке обновления| Предупреждение |
|---|
Перед установкой обновлений: |
Для установки настоящего оперативного обновленияи последующих оперативных обновлений использовать следующие инструменты. - инструмент командной строки — пакет astra-update;
- графический инструмент — пакет fly-astra-update.
Если указанный инструмент (инструменты) не были установлены ранее, то установить их (см. Установка fly-astra-update/astra-update из репозитория и Установка fly-astra-update/astra-update из образа обновления). | Предупреждение |
|---|
При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков. |
|
| панель |
|---|
Загрузка и проверка образов обновления
|
| панель |
|---|
Установка инструментов для обновления| панель |
|---|
Установка fly-astra-update/astra-update из репозиторияЕсли доступен репозиторий пакетов, содержащий пакеты обновления, установку можно выполнить следующими командами: |
| панель |
|---|
Установка fly-astra-update/astra-update из образа обновленияПримонтировать загруженный образ обновления, например, в каталог /media/cdrom: | Command |
|---|
| sudo mount /mnt/20211008SE16.iso /media/cdrom |
Установить пакеты:
только инструмент командной строки astra-update: | Command |
|---|
sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb |
или инструмент командной строки astra-update и графический инструмент fly-astra-update: | Command |
|---|
sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb |
Отмонтировать образ: | Command |
|---|
| sudo umount /media/cdrom |
|
| панель |
|---|
Тестирование обновления перед установкой| Предупреждение |
|---|
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в типичных конфигурациях (путем установки обновления и перезагрузки). |
|
| панель |
|---|
Проверка наличия места в дисковом разделе /bootПроверить размеры дисковых разделов командой: Если размер дискового раздела /boot менее 512МБ, то рекомендуется: Либо увеличить размер дискового раздела /boot до 512МБ. Либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным: Получить список установленных ядер: | Command |
|---|
| dpkg -l linux-image-* |
Удалить неиспользуемое ядро (ядра). Например, удалить ядро 4.15.3-1-hardened командой: | Command |
|---|
| sudo apt remove linux-image-4.15.3-1-hardened |
Выполнить установку обновления. Перезагрузить ОС, загрузившись с использованием нового ядра. При необходимости - установить дополнительные ядра, например 4.15.3-154-hardened: | Command |
|---|
| sudo apt install linux-astra-modules-4.15.3-154-hardened |
Для загрузки установленного ядра перезагрузить ОС.
См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция |
|
| панель |
|---|
Установка обновленияРекомендованные варианты установки обновлений| панель |
|---|
Установка обновления с использованием сетевых репозиториевЕсли созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступных на обновляемой машине: - Обязательные репозитории:
- Установочный диск;
- Диск с обновлением;
- Дополнительные репозитории:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой: | Command |
|---|
| sudo astra-update -a -r |
Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений). |
| панель |
|---|
Установка обновления с использованием локальных копий ISO-образовЕсли сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев: - Обязательные ISO-образы:
- Установочный диск;
- Диск с обновлением;
- Дополнительные ISO-образы:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например: | Command |
|---|
| sudo astra-update -a /mnt/smolensk1.6.iso /mnt/20211008SE16.iso /mnt/smolensk1.6-devel.iso /mnt/20211008SE16-devel.iso |
В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании инструментов fly-astra-update и astra-update. |
| панель |
|---|
Дополнительные примеры использования astra-updateНапример, при наличии образов установочного диска и диска обновления установка обновления может быть выполнена командой: | Command |
|---|
| sudo astra-update -a <имя_образа_установочного диска> /mnt/20211008SE16.iso |
При наличии установочного диска (должен быть зарегистрирован как источник пакетов) и скачанного образа обновления, установка обновления может быть выполнена командой: | Command |
|---|
| sudo astra-update -a /mnt/20211008SE16.iso |
При этом понадобится загрузить установочный диск в привод компакт-дисков. Для более сложных схем обновления, в том числе для обновления средств разработки, инструкция по использованию инструментов astra-update и fly-astra-update доступна по ссылке: fly-astra-update и astra-update - инструменты для установки обновлений. |
| панель |
|---|
Установка обновления без использования инструментов fly-astra-update и astra-update.| Раскрыть |
|---|
| Предупреждение |
|---|
Установку настоящего оперативного обновления и последующих оперативных обновлений рекомендуется выполнять с использованием пакетов astra-update или fly-astra-update. |
| Предупреждение |
|---|
При установке оперативных обновлений без использования инструментов fly-astra-update/astra-update недопустимо использовать опцию обновления upgrade (команду sudo apt upgrade), следует использовать только опцию dist-upgrade (команду sudo apt dist-upgrade). |
| Предупреждение |
|---|
| Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск Astra Linux. |
| панель |
|---|
1. Если при установке обновления не используется репозиторий Astra Linux, то необходимо убедиться в том, что зарегистрирован и доступен установочный диск, для чего просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду: | Command |
|---|
| sudo apt-cdrom add |
|
| панель |
|---|
2. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации повторить для всех компакт-дисков. |
| панель |
|---|
3. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ: | Command |
|---|
sudo mount /mnt/20211008SE16.iso /media/cdrom
sudo apt-cdrom -m add
sudo umount /media/cdrom |
на вопрос об имени диска ввести «20211008SE16». Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать из параллельной терминальной сессии. | Примечание |
|---|
Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления. |
| Примечание |
|---|
В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать клавишу <Enter>. При установке с использованием компакт-диска дистрибутива ОС СН Смоленск 1.6 и файла - образа диска с обновлениями переключать носители не потребуется. При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации: | Command |
|---|
| sudo mount /mnt/20211008SE16.iso /media/cdrom |
|
|
| панель |
|---|
4. Команды обновления следует выполнять из сессии суперпользователя (sudo -s) с высоким уровнем целостности, а не через отдельные команды sudo: | Информация |
|---|
sudo -s
... команды ...
exit |
|
| панель |
|---|
5. После завершения регистрации всех компакт-дисков и образов выполнить команды для «холостого прогона» установки обновлений (без внесения реальных изменений в систему, ключ -s команды apt), и убедиться, что в результате работы не возникает неустранимых ошибок: | Command |
|---|
sudo -s
apt update
apt -s dist-upgrade
exit |
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией. |
| панель |
|---|
6. Выполнить обновление командами: | Command |
|---|
sudo -s
apt update
apt dist-upgrade
apt -f install
exit |
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией. |
|
|
|
| панель |
|---|
Завершение установки обновления| панель |
|---|
Установка ядра linux-5.10После выполнения настоящего обновления при необходимости можно установить ядро linux-5.10. Для этого следует выполнить команду (должен быть доступен репозиторий, содержащий пакеты настоящего обновления): | Command |
|---|
sudo apt install linux-5.10 |
После завершения установки ядра будет автоматически обновлен загрузчик Grub. Чтобы изменения вступили в силу необходимо перезагрузить компьютер. |
| панель |
|---|
Действия при обновлении ядра| панель |
|---|
Обновление гостевых дополнений VirtualBox при обновлении ядраЕсли обновляемая ОС установлена на виртуальной машине Oracle VirtualBox и в этой ОС установлены гостевые дополнения VirtualBox, то после установки нового ядра и до перезагрузки ОС следует переустановить гостевые дополнения VirtualBox (см. статью Установка VirtualBox). |
| панель |
|---|
Удаление неиспользуемых пакетов после обновления ядра| панель |
|---|
После установки нового ядра и успешной перезагрузки с обновленным ядром для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой: Пример вывода после выполнения команды: | Блок кода |
|---|
5.4.0-81-generic |
Чтобы просмотреть перечень пакетов, относящихся к ядрам Linux и зарегистрированных в ОС, необходимо в терминале выполнить команду: | Command |
|---|
| dpkg -l | awk '/linux-image/ {print $1,$2}' |
Пример вывода после выполнения команды: | Блок кода |
|---|
ii linux-image-4.15-generic
ii linux-image-4.15-hardened
ii linux-image-4.15.3-1-generic
ii linux-image-4.15.3-1-hardened
ii linux-image-4.15.3-141-generic
ii linux-image-4.15.3-141-hardened
ii linux-image-4.15.3-154-generic
ii linux-image-4.15.3-154-hardened
ii linux-image-5.4-generic
ii linux-image-5.4-hardened
ii linux-image-5.4.0-71-generic
ii linux-image-5.4.0-71-hardened
ii linux-image-5.4.0-81-generic
ii linux-image-5.4.0-81-hardened
ii linux-image-hardened |
В первом столбце отображается состояние пакета, может принимать следующие значения: - «rc» — пакет был установлен, но уже удален;
- «ii» — пакет на текущий момент установлен.
Ниже представлен пример сценария для удаления пакетов, относящихся к неиспользуемым ядрам (необходимо запускать от имени администратора с высоким уровнем целостности): | Блок кода |
|---|
#!/bin/bash
set -e
# Перечень пакетов, дальнейшее использование которых не планируется.
pkgs="linux-image-4.15.3-1-generic \
linux-image-4.15.3-1-hardened \
linux-image-4.15.3-141-generic \
linux-image-4.15.3-141-hardened \
linux-image-4.15.3-154-generic \
linux-image-4.15.3-154-hardened \
linux-image-5.4.0-71-generic \
linux-image-5.4.0-71-hardened "
# Проверка строки и запуск удаления пакетов.
# Для удаления пакета и всех связанных с ним
# конфигурационных файлов необходимо использовать команду apt purge.
[ -n "$pkgs" ] && apt remove $pkgs
#обновление конфигурационного файла Grub.
update-grub2 |
Кроме того, можно выборочно удалить пакеты с помощью предпочитаемого менеджера пакетов. |
|
|
| панель |
|---|
Обновление пакета skanliteЕсли ранее был установлен пакет skanlite, то в связи с прекращением поддержки этого пакета рекомендуется заменить его на функционально аналогичный пакет fly-scan, для чего выполнить команду: | Command |
|---|
| sudo apt install fly-scan |
Пакет skanlite при этом будет удален автоматически. |
| Предупреждение |
|---|
После выполнения обновления необходимо перезагрузить систему. |
| Предупреждение |
|---|
| После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями. |
| Информация |
|---|
Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы). |
|
|