Обновления для операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-16 исполнение 2 (сертификат соответствия ФСБ России №СФ/СЗИ-0343) предназначены для применения в составе автоматизированных систем в защищенном исполнении, находящихся в компетенции ФСБ России.

Обновления прошли контрольные тематические исследования в системе сертификации средств защиты информации ФСБ России (выписка № 149/3/6/472 от 23.05.2022 из дополнения № 3 к заключению № 149/3/6/313 от 04.04.2019 о соответствии операционной системы специального назначения «Asrta Linux Special Edition» РУСБ.10015-16 требованиям безопасности ФСБ России).

Настоящий информационный ресурс является официальным источником получения обновлений для использования в работе предприятиями промышленности.

Для установки настоящего оперативного обновления и последующих оперативных обновлений следует использовать следующие инструменты:

инструмент командной строки — пакет astra-update;
графический инструмент — пакет fly-astra-update.

Установка инструментов fly-astra-update/astra-update описана в разделе Установка fly-astra-update/astra-update из образа обновления.

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки.

Список улучшений функциональности, предоставляемых обновлением № 20211019SE81

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.

В случае применения (установки) оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux.

Внимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлением репозитория установочного (основного) диска.

Общая информация

Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-16 исполнение 2, далее по тексту - Astra Linux.

Данное обновление содержит:

обновление репозитория установочного (основного) диска:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso;
обновление диска со средствами разработки:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.

Данное обновление включает в себя следующие оперативные обновления:

БЮЛЛЕТЕНЬ № 20201007SE81

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Подготовка к установке обновления

Перед установкой обновлений:

Ознакомиться с настоящей инструкцией;
Ознакомиться с инструкцией: fly-astra-update и astra-update - инструменты для установки обновлений в части использования инструментов.

Внимание

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано командой:
sudo astra-nochmodx-lock disable
При использовании инструмента fly-astra-update или astra-update с аргументом -A, на время обновления будут автоматически отключены функции безопасности, мешающие обновлению.
Для полного завершения обновления требуется установочный диск (образ установочного диска) Astra Linux.

При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков.

Загрузка и проверка образов обновления

Загрузка и проверка обновления репозитория установочного (основного) диска

Скачать образ диска с обновлением с помощью WEB-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso
либо выполнив команду:
wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso
Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
- проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
  gostsum -d /mnt/RUSB.10015-16_v2_8.1.3.iso
  Контрольная сумма:
  9559c8e27cd27fe75edb10d2405513f22c9db5950b39370957db5c2ad8e8a3a5
- проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
  Порядок проверки:
  1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью WEB-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso.sig
    либо выполнив команду:
    wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso.sig
  2. загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,
  3. перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):
    /opt/cprocsp/bin/amd64/cryptcp -verify -detached RUSB.10015-16_v2_8.1.3.iso RUSB.10015-16_v2_8.1.3.iso.sig -f RUSB.10015-16_v2_8.1.3.iso.sig
    В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
    Сообщение вида:
    Подпись проверена. [ErrorCode: 0x00000000]
    говорит о том, что проверка подписи завершена успешно.

Загрузка и проверка обновления средств разработки

Скачать образ диска с обновлением средств разработки, соответствующий настоящему бюллетеню, с помощью WEB-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso
либо выполнив команду:
wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso
Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
- проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
  gostsum -d /mnt/RUSB.10015-16_v2_8.1.3-devel.iso
  Контрольная сумма:
  d28b99c5c416c11f9fe1f90410c51454e2efe4ceccbf80a9b79b0083b4587e2e
- проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
  Порядок проверки:
  1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью WEB-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.sig
    либо выполнив команду:
    wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.sig
  2. загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,
  3. перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):
    /opt/cprocsp/bin/amd64/cryptcp -verify -detached RUSB.10015-16_v2_8.1.3-devel.iso RUSB.10015-16_v2_8.1.3-devel.iso.sig \
    -f RUSB.10015-16_v2_8.1.3-devel.iso.sig
    В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
    Сообщение вида:
    Подпись проверена. [ErrorCode: 0x00000000]
    говорит о том, что проверка подписи завершена успешно.

Установка fly-astra-update/astra-update из образа обновления

Примонтировать загруженный ISO-образ обновления репозитория установочного (основного) диска, например, в каталог /media/cdrom:
sudo mount /mnt/RUSB.10015-16_v2_8.1.3.iso /media/cdrom
Установить пакеты:
1. только инструмент командной строки astra-update:
  sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
2. или инструмент командной строки astra-update и графический инструмент fly-astra-update:
  sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
  sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
  sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb
Отмонтировать образ:
sudo umount /media/cdrom

Установка обновления

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступных на обновляемой машине:

Обязательные репозитории:
1. Установочный диск;
2. Диск с обновлением;
Дополнительные репозитории:
1. Диск со средствами разработки;
2. Диск с обновлением средств разработки;

И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

sudo astra-update -a -r -T

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).

Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

Обязательные ISO-образы:
1. Установочный диск;
2. Диск с обновлением;
Дополнительные ISO-образы:
1. Диск со средствами разработки;
2. Диск с обновлением средств разработки;

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

sudo astra-update -a -T /mnt/<имя_образа_установочного_диска> /mnt/RUSB.10015-16_v2_8.1.3.iso /mnt/<имя_образа_диска_со_средствами_разработки> /mnt/RUSB.10015-16_v2_8.1.3-devel.iso

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании fly-astra-update и astra-update - инструменты для установки обновлений.

Завершение установки обновления

После выполнения обновления перезагрузить систему.

Дерево страниц

БЮЛЛЕТЕНЬ № 20211019SE81 (РУСБ.10015-16 исп.2)