Общая информация
Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6).
- Данное обновление содержит:
- После установки данного обновления требуется перезагрузка;
- После успешной перезагрузки с новым ядром рекомендуется удалить пакеты, относящиеся к старому ядру (см. Известные проблемы и их решения);
- После обновления ядра ОС при установке данного обновления становятся доступны для установки Драйверы Nvidia без DKMS: ядро 5.4.0-71/
Данное обновление включает в себя:
- БЮЛЛЕТЕНЬ № 20210317SE16MD
- БЮЛЛЕТЕНЬ № 20210128SE16MD
- БЮЛЛЕТЕНЬ № 20201207SE16MD
- БЮЛЛЕТЕНЬ № 20200921SE16MD
- БЮЛЛЕТЕНЬ № 20200807SE16MD
- БЮЛЛЕТЕНЬ № 20200722SE16 - Update 6
- БЮЛЛЕТЕНЬ № 20200526SE16MD
- БЮЛЛЕТЕНЬ № 20200327SE16 - Update 5
- БЮЛЛЕТЕНЬ № 20191029SE16 - Update 4
- БЮЛЛЕТЕНЬ № 20190912SE16 - Update 3
- БЮЛЛЕТЕНЬ № 20190712SE16MD
- БЮЛЛЕТЕНЬ № 20190621SE16MD
- БЮЛЛЕТЕНЬ № 20190529SE16MD
- БЮЛЛЕТЕНЬ № 20190222SE16 - Update 2
- БЮЛЛЕТЕНЬ № 20181229SE16 - Update 1
Перед установкой обновлений рекомендуется ознакомиться с инструкциями:
Загрузка и проверка образов обновления
Образ диска с обновлением доступен для скачивания по ссылке: https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210611SE16/20210611SE16.iso.
Загруженный iso-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы.
Для получения контрольной суммы выполнить команду:
Контрольная сумма:
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty
Порядок установки обновления
Перед установкой данного обновления ознакомиться с разделом "Известные проблемы и их решения" настоящего бюллетеня, и обеспечить выполнение рекомендаций этого раздела.
Для установки этого обновления и следующих обновлений рекомендуется установить и использовать инструменты fly-astra-update и astra-update - инструменты для установки обновлений.
Внимание
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6)
Установка обновления без использования инструментов fly-astra-update и astra-update.
Завершение установки обновления
Независимо от выбранного способа установки если на момент установки настойщего обновления установлено ядро версии 5.4 из репозитория BSP обновления БЮЛЛЕТЕНЬ № 20200722SE16 - Update 6, то перед перезагрузкой необходимо выполнить установку пакета linux-5.4 из текущего обновления. Для этого выполнить команду:
После выполнения обновления необходимо перезагрузить систему.
Внимание
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.
Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы).
Известные проблемы и их решения
Требующие действий перед установкой обновления
Недостаточно места в дисковом разделе /boot
Размеры дисковых разделов можно проверить командой:
Если обновление устанавливается на только что установленную ОС с разметкой LVM, выполненной по умолчанию (а именно - размер дискового раздела /boot менее 512МБ, по умолчанию 234МБ), то:
либо увеличить размер дискового раздела /boot до 512МБ:
либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным:
удалить ядро hardened командой:
sudo apt remove linux-image-4.15.3-1-hardenedПодключить обновления и выполнить их установку обновление.
Перезагрузить ОС, загрузившись с использованием ядра 4.15.3-2-generic
При необходимости использовать ядро hardened, повторно установить ядро hardened командой:
sudo apt install linux-image-4.15.3-2-hardened linux-astra-modules-4.15.3-2-hardenedи повторно перезагрузить ОС с использованием ядра hardened
См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.
Требующие действий после установки обновления
Обновление гостевых дополнений VirtualBox
Если обновляемая ОС установлена на виртуальной машине Oracle VirtualBox и в обновляемой ОС установлены гостевые дополнения VirtualBox то после установки нового ядра и до перезагрузки ОС следует переустановить гостевые дополненияVirtual Box (см. Установка Virtualbox).
После установки нового ядра и успешной перезагрузки с обновленным ядром рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:
#!/bin/bash set -e pkgs=`dpkg -l \ linux-image-4.15.3-1-generic \ linux-image-4.15.3-1-hardened \ linux-image-4.15.3-2-generic \ linux-image-4.15.3-2-hardened \ linux-image-4.15.3-3-generic \ linux-image-4.15.3-3-hardened \ linux-image-5.4.0-54-generic \ linux-image-5.4.0-54-hardened \ 2> /dev/null | grep "^ii" | cut -d " " -f3 | \ grep -v ^linux-image-$(uname -r | cut -d '-' -f1-2)` [ -n "$pkgs" ] && apt remove $pkgs rm -f /boot/old-*
или выборочно удалить пакеты вручную с помощью команды apt remove.