Перед установкой обновления ознакомиться с разделом Важная информация по применению обновления.
Для установки обновления использовать инструменты fly-astra-update и astra-update - инструменты для установки обновлений.
Всё программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС СН Astra Linux Special Edition с установленными соответствующими оперативными обновлениями.
Общая информация
Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux.
Данное обновление содержит:
- обновление репозитория установочного (основного) диска:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20211008SE16/20211008SE16.iso; - обновление диска со средствами разработки:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20211008SE16.
Данное обновление включает в себя:
- БЮЛЛЕТЕНЬ № 20210730SE16 - оперативное обновление 8
- БЮЛЛЕТЕНЬ № 20210723SE16MD
- БЮЛЛЕТЕНЬ № 20210611SE16 - оперативное обновление 7
- БЮЛЛЕТЕНЬ № 20210317SE16MD
- БЮЛЛЕТЕНЬ № 20210128SE16MD
- БЮЛЛЕТЕНЬ № 20201207SE16MD
- БЮЛЛЕТЕНЬ № 20200921SE16MD
- БЮЛЛЕТЕНЬ № 20200807SE16MD
- БЮЛЛЕТЕНЬ № 20200722SE16 - оперативное обновление 6
- БЮЛЛЕТЕНЬ № 20200526SE16MD
- БЮЛЛЕТЕНЬ № 20200327SE16 - оперативное обновление 5
- БЮЛЛЕТЕНЬ № 20191029SE16 - оперативное обновление 4
- БЮЛЛЕТЕНЬ № 20190912SE16 - оперативное обновление 3
- БЮЛЛЕТЕНЬ № 20190712SE16MD
- БЮЛЛЕТЕНЬ № 20190621SE16MD
- БЮЛЛЕТЕНЬ № 20190529SE16MD
- БЮЛЛЕТЕНЬ № 20190222SE16 - оперативное обновление 2
- БЮЛЛЕТЕНЬ № 20181229SE16 - оперативное обновление 1
Важная информация по применению обновления
Тестирование обновления перед установкой
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в типичных конфигурациях (путем установки обновления и перезагрузки).
Нарушение работы xrdp после установки обновления
Если после установки настоящего обновления нарушена работа подключений по протоколу xrdp, то в качестве оперативной методики восстановления работоспособности обновить пакет xorgxrdp в соответствии с инструкцией: Пакет xorgxrdp_0.2.17-0astra1+b1.
Исправления, содержащиеся в обновленной версии пакета, будут включены в следующее оперативное обновление.
Если при установке недоступны пакеты, расположенные на установочном (основном) диске
Если установочный диск и образ обновления подключены с помощью apt-cdrom
(нерекомендуемый способ установки обновлений, см. статью Установка оперативных обновлений Astra Linux Special Edition с компакт-дисков), то выполнение обновления может завершаться ошибкой из-за не найденных пакетов. При возникновении подобных ошибок:
- Удалить из файла
/etc/apt/sources.list
все зарегистрированные диски, кроме установочного диска; Выполнить команду:
sudo apt update- Установить не найденные пакеты с установочного диска;
- Повторить процедуру регистрации образов дисков обновления и установки обновления в соответствии с инструкцией Установка оперативных обновлений Astra Linux Special Edition с компакт-дисков;
Возможный вариант комплекта необходимых пакетов и команда для их установки:
libxml++2.6-2v5 libxml-xpath-perl libxmlrpc-core-c3 libxmlrpc-epi0 libxml2 libxml-parser-perl
Порядок установки обновления
Подготовка к установке обновления
Перед установкой обновлений:
- Ознакомиться с настоящей инструкцией;
- Ознакомиться с инструкцией: fly-astra-update и astra-update - инструменты для установки обновлений в части использования инструментов.
Внимание
- Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:
sudo astra-nochmodx-lock disable- Для полного завершения обновления требуется установочный диск (образ установочного диска) Astra Linux.
Для установки настоящего оперативного обновления и последующих оперативных обновлений использовать следующие инструменты.
- инструмент командной строки — пакет astra-update;
- графический инструмент — пакет fly-astra-update.
Если указанный инструмент (инструменты) не были установлены ранее, то установить их (см. Установка fly-astra-update/astra-update из репозитория и Установка fly-astra-update/astra-update из образа обновления).
apt-cdrom add
для регистрации дисков.Загрузка и проверка образов обновления
Образ диска с обновлением доступен для скачивания по ссылке:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20211008SE16/20211008SE16.iso;
Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы.
Для получения контрольной суммы выполнить команду:
Контрольная сумма:
Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20211008SE16/20211008SE16.iso.sig
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке:
https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty
Образ диска с обновлением средств разработки, соответствующий настоящему бюллетеню, доступен по ссылке:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20211008SE16
Контрольная сумма образа диска с обновлением средств разработки:
a5ddfee7bc81830b1293e98031d208e9440814ae5984cca41da6926a3040c7d7
Установка инструментов для обновления
Установка fly-astra-update/astra-update из репозитория
Если доступен репозиторий пакетов, содержащий пакеты обновления, установку можно выполнить следующими командами:
установка графического инструмента fly-astra-update (при этом будет автоматически установлен инструмент командной строки astra-update):
sudo apt update
sudo apt install fly-astra-updateили установка инструмента командной строки astra-update:
sudo apt update
sudo apt install astra-update
Установка fly-astra-update/astra-update из образа обновления
Примонтировать загруженный образ обновления, например, в каталог /media/cdrom:
sudo mount /mnt/20211008SE16.iso /media/cdromУстановить пакеты:
только инструмент командной строки astra-update:sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.debили инструмент командной строки astra-update и графический инструмент fly-astra-update:sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.debОтмонтировать образ:
sudo umount /media/cdrom
Тестирование обновления перед установкой
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в типичных конфигурациях (путем установки обновления и перезагрузки).
Проверка наличия места в дисковом разделе /boot
Проверить размеры дисковых разделов командой:
Если размер дискового раздела /boot менее 512МБ, то рекомендуется:
Либо увеличить размер дискового раздела /boot до 512МБ.
Либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным:
Получить список установленных ядер:
dpkg -l linux-image-*Удалить неиспользуемое ядро (ядра). Например, удалить ядро 4.15.3-1-hardened командой:
sudo apt remove linux-image-4.15.3-1-hardenedВыполнить установку обновления.
Перезагрузить ОС, загрузившись с использованием нового ядра.
При необходимости - установить дополнительные ядра, например 4.15.3-154-hardened:
sudo apt install linux-astra-modules-4.15.3-154-hardenedДля загрузки установленного ядра перезагрузить ОС.
См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция
Установка обновления
Рекомендованные варианты установки обновлений
Установка обновления с использованием сетевых репозиториев
Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступных на обновляемой машине:
- Обязательные репозитории:
- Установочный диск;
- Диск с обновлением;
- Дополнительные репозитории:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list
, то обновление может быть установлено командой:
/etc/apt/sources.list
не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).
Установка обновления с использованием локальных копий ISO-образов
Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:
- Обязательные ISO-образы:
- Установочный диск;
- Диск с обновлением;
- Дополнительные ISO-образы:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:
/mnt
или находятся на съемном носителе, смонтированном в каталог /mnt
.Подробности также см. в описании инструментов fly-astra-update и astra-update.
Дополнительные примеры использования astra-update
Например, при наличии образов установочного диска и диска обновления установка обновления может быть выполнена командой:
При наличии установочного диска (должен быть зарегистрирован как источник пакетов) и скачанного образа обновления, установка обновления может быть выполнена командой:
Для более сложных схем обновления, в том числе для обновления средств разработки, инструкция по использованию инструментов astra-update и fly-astra-update доступна по ссылке: fly-astra-update и astra-update - инструменты для установки обновлений.
Установка обновления без использования инструментов fly-astra-update и astra-update.
Завершение установки обновления
Установка ядра linux-5.10
После выполнения настоящего обновления при необходимости можно установить ядро linux-5.10. Для этого следует выполнить команду (должен быть доступен репозиторий, содержащий пакеты настоящего обновления):
После завершения установки ядра будет автоматически обновлен загрузчик Grub.
Чтобы изменения вступили в силу необходимо перезагрузить компьютер.
Действия при обновлении ядра
Обновление гостевых дополнений VirtualBox при обновлении ядра
Если обновляемая ОС установлена на виртуальной машине Oracle VirtualBox и в этой ОС установлены гостевые дополнения VirtualBox, то после установки нового ядра и до перезагрузки ОС следует переустановить гостевые дополнения VirtualBox (см. статью Установка VirtualBox).
Удаление неиспользуемых пакетов после обновления ядра
После установки нового ядра и успешной перезагрузки с обновленным ядром для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:
Пример вывода после выполнения команды:
5.4.0-81-generic
Чтобы просмотреть перечень пакетов, относящихся к ядрам Linux и зарегистрированных в ОС, необходимо в терминале выполнить команду:
ii linux-image-4.15-generic ii linux-image-4.15-hardened ii linux-image-4.15.3-1-generic ii linux-image-4.15.3-1-hardened ii linux-image-4.15.3-141-generic ii linux-image-4.15.3-141-hardened ii linux-image-4.15.3-154-generic ii linux-image-4.15.3-154-hardened ii linux-image-5.4-generic ii linux-image-5.4-hardened ii linux-image-5.4.0-71-generic ii linux-image-5.4.0-71-hardened ii linux-image-5.4.0-81-generic ii linux-image-5.4.0-81-hardened ii linux-image-hardened
В первом столбце отображается состояние пакета, может принимать следующие значения:
- «rc» — пакет был установлен, но уже удален;
- «ii» — пакет на текущий момент установлен.
Ниже представлен пример сценария для удаления пакетов, относящихся к неиспользуемым ядрам (необходимо запускать от имени администратора с высоким уровнем целостности):
#!/bin/bash set -e # Перечень пакетов, дальнейшее использование которых не планируется. pkgs="linux-image-4.15.3-1-generic \ linux-image-4.15.3-1-hardened \ linux-image-4.15.3-141-generic \ linux-image-4.15.3-141-hardened \ linux-image-4.15.3-154-generic \ linux-image-4.15.3-154-hardened \ inux-image-5.4.0-71-generic \ linux-image-5.4.0-71-hardened " # Проверка строки и запуск удаления пакетов. # Для удаления пакета и всех связанных с ним # конфигурационных файлов необходимо использовать команду apt purge. [ -n "$pkgs" ] && apt remove $pkgs #обновление конфигурационного файла Grub. update-grub2
Кроме того, можно выборочно удалить пакеты с помощью предпочитаемого менеджера пакетов.
Обновление пакета skanlite
Если ранее был установлен пакет skanlite, то в связи с прекращением поддержки этого пакета рекомендуется заменить его на функционально аналогичный пакет fly-scan, для чего выполнить команду:
После выполнения обновления необходимо перезагрузить систему.
Внимание
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.
Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы).