Если ранее было установлено обновление БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) , то настоящее обновление должно быть установлено в приоритетном порядке для устранения проблем, выявленных в ранее установленном обновлении.
Перед установкой обновления ознакомиться с разделом Известные проблемы и их решения.
Для установки настоящего обновления допускается использовать инструменты fly-astra-update и astra-update, ранее установленные из обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7).
Оглавление
Данному обновлению соответствует следующий полный номер обновления Astra Linux: 1.6.8.2
См. также: Определение установленных обновлений и варианта исполнения Astra Linux
Всё программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими оперативными обновлениями.
Общая информация
Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6).
Данное обновление содержит:
- обновление основного диска:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210730SE16/20210730SE16.iso; - обновление диска со средствами разработки:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20210730SE16/.
Данное обновление включает в себя:
- БЮЛЛЕТЕНЬ № 20210723SE16MD
- БЮЛЛЕТЕНЬ № 20210611SE16 - оперативное обновление 7
- БЮЛЛЕТЕНЬ № 20210317SE16MD
- БЮЛЛЕТЕНЬ № 20210128SE16MD
- БЮЛЛЕТЕНЬ № 20201207SE16MD
- БЮЛЛЕТЕНЬ № 20200921SE16MD
- БЮЛЛЕТЕНЬ № 20200807SE16MD
- БЮЛЛЕТЕНЬ № 20200722SE16 - оперативное обновление 6
- БЮЛЛЕТЕНЬ № 20200526SE16MD
- БЮЛЛЕТЕНЬ № 20200327SE16 - оперативное обновление 5
- БЮЛЛЕТЕНЬ № 20191029SE16 - оперативное обновление 4
- БЮЛЛЕТЕНЬ № 20190912SE16 - оперативное обновление 3
- БЮЛЛЕТЕНЬ № 20190712SE16MD
- БЮЛЛЕТЕНЬ № 20190621SE16MD
- БЮЛЛЕТЕНЬ № 20190529SE16MD
- БЮЛЛЕТЕНЬ № 20190222SE16 - оперативное обновление 2
- БЮЛЛЕТЕНЬ № 20181229SE16 - оперативное обновление 1
Известные проблемы и их решения
Тестирование обновления перед установкой
Перед массовой установкой обновления на находящиеся в эксплуатации машины в обязательном порядке выполнить проверку работоспособности машин после установки обновления и перезагрузки путем установки обновления на тестовых машинах в типичных конфигурациях.
При установке недоступны пакеты, расположенные на основном установочном диске
Если установочный диск и образ обновления подключены с помощью apt-cdrom (нерекомендуемый способ установки обновлений, см. статью Установка оперативных обновлений Astra Linux Special Edition с компакт-дисков), то выполнение обновления может завершаться ошибкой из-за не найденных пакетов. При возникновении подобных ошибок:
- Удалить из файла /etc/apt/sources.list все зарегистрированные диски, кроме установочного диска;
Выполнить команду:
sudo apt update- Установить не найденные пакеты с установочного диска;
- Повторить процедуру регистрации образов дисков обновления и установки обновления в соотвествии с инструкцией Установка оперативных обновлений Astra Linux Special Edition с компакт-дисков;
Возможный вариант комплекта необходимых пакетов и команда для их установки:
Недостаточно места в дисковом разделе /boot
Размеры дисковых разделов можно проверить командой:
Если обновление устанавливается на только что установленную ОС с разметкой LVM, выполненной по умолчанию (а именно - размер дискового раздела /boot менее 512МБ, по умолчанию 234МБ), то:
Либо увеличить размер дискового раздела /boot до 512МБ:
Либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным:
Получить список установленных ядер:
dpkg --list | grep linux-imageУдалить неиспользуемое ядро (ядра). Например, удалить ядро 4.15.3-1-hardened командой:
sudo apt remove linux-image-4.15.3-1-hardenedВыполнить установку обновления;
Перезагрузить ОС, загрузившись с использованием нового ядра;
При необходимости - установить дополнительные ядра, например 4.15.3-141-hardened:
sudo apt install linux-image-4.15.3-2-hardened linux-astra-modules-4.15.3-141-hardenedДля загрузки установленного ядра перезагрузить ОС.
См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция
Доустановка пакета linux-5.4
Если на момент выполнения обновления установлено ядро версии 5.4 из репозитория BSP обновления БЮЛЛЕТЕНЬ № 20200722SE16 (оперативное обновление 6) , то после выполнения обновления и перед перезагрузкой необходимо установить пакет linux-5.4. Для этого выполнить команду:
Действия при обновлении ядра
Обновление гостевых дополнений VirtualBox при обновлении ядра
Если обновляемая ОС установлена на виртуальной машине Oracle VirtualBox и в этой ОС установлены гостевые дополнения VirtualBox, то после установки нового ядра и до перезагрузки ОС следует переустановить гостевые дополнения VirtualBox (см. статью Установка VirtualBox).
Удаление неиспользуемых пакетов после обновления ядра
После установки нового ядра и успешной перезагрузки с обновленным ядром для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:
#!/bin/bash set -e pkgs=`dpkg -l \ linux-image-4.15.3-1-generic \ linux-image-4.15.3-1-hardened \ linux-image-4.15.3-2-generic \ linux-image-4.15.3-2-hardened \ linux-image-4.15.3-3-generic \ linux-image-4.15.3-3-hardened \ linux-image-4.15.3-141-generic \ linux-image-4.15.3-141-hardened \ linux-image-5.4.0-54-generic \ linux-image-5.4.0-54-hardened \ 2> /dev/null | grep "^ii" | cut -d " " -f3 | \ grep -v ^linux-image-$(uname -r | cut -d '-' -f1-2)` [ -n "$pkgs" ] && apt remove $pkgs rm -f /boot/old-*
или выборочно удалить пакеты вручную с помощью команды apt remove.
Обновление драйверов Nvidia при обновлении ядра
После обновления ядра ОС при установке данного обновления становится возможна установка драйверов Nvidia для ядра 5.4.0-71.
Инструкции по установке драйверов доступны по ссылке Драйверы видеокарт Nvidia для Astra Linux на платформе x86-64.
Загрузка и проверка образов обновления
Образ диска с обновлением доступен для скачивания по ссылке:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210730SE16/20210730SE16.iso.
Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы.
Для получения контрольной суммы выполнить команду:
Контрольная сумма:
Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра":
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210730SE16/20210730SE16.iso.sig
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.
Образ диска с обновлением средств разработки, соответствующий настоящему бюллетеню, доступен по ссылке:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20210730SE16/
Контрольная сумма образа диска с обновлением средств разработки:
04c2086a277ddc8153ff7d26d1da129945503933d960a1b9c42dede11eea53ff
Порядок установки обновления
Перед установкой обновлений рекомендуется:
- Ознакомиться с инструкцией Подготовка к установке;
- Ознакомиться с инструкцией: fly-astra-update и astra-update - инструменты для установки обновлений в части использования инструментов;
- Ознакомиться с разделом Известные проблемы и их решения настоящего бюллетеня, и обеспечить выполнение рекомендаций этого раздела.
Для установки этого обновления и следующих обновлений рекомендуется установить и использовать инструменты fly-astra-update и astra-update - инструменты для установки обновлений.
Допускается использовать fly-astra-update и astra-update, установленные из обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7).
Внимание
- Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:
sudo astra-nochmodx-lock enable- Для полного завершения обновления требуется установочный диск (образ установочного диска) операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6)
Начиная с оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) в состав пакетов Astra Linux включены пакеты для автоматизации установки обновлений:
- инструмент командной строки - пакет astra-update;
- графический инструмент - пакет fly-astra-update.
Для установки оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) и последующих оперативных обновлений рекомендуется использовать только эти инструменты. Если инструмент (инструменты) не были установлены ранее, то установить их.
Рекомендованные варианты установки обновлений
Установка обновления с использованием сетевых репозиториев
Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступные на обновляемой машине:
- Обязательные репозитории:
- Установочный диск;
- Диск с обновлением;
- Дополнительные репозитории:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
Если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:
Установка обновления с использованием локальных копий ISO-образов
Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:
- Обязательные ISO-образы:
- Установочный диск;
- Диск с обновлением;
- Дополнительные ISO-образы:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:
Подробности также см. в описании инструментов fly-astra-update и astra-update.
Подготовка к установке
Установка fly-astra-update/astra-update из репозитория
Если доступен репозиторий пакетов, содержащий пакеты обновления установку можно выполнить следующими командами:
установка инструмента fly-astra-update:
sudo apt update
sudo apt install fly-astra-update
или установка инструмента astra-update:
sudo apt update
sudo apt install astra-update
Установка fly-astra-update/astra-update из образа обновления
Примонтировать загруженный образ обновления, например, в каталог /media/cdrom:
sudo mount /mnt/20210730SE16.iso /media/cdromУстановить пакеты:
только пакет для работы в командной строке astra-update:sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.debили пакет для работы в командной строке astra-update и графический пакет fly-astra-update:sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.debОтмонтировать образ:
sudo umount /media/cdrom
Установка обновления
Дальнейшую установку оперативных обновлений выполнять с помощью установленных инструментов.
Дополнительные примеры использования astra-update
Например, при наличии образов установочного диска и диска обновления установка обновления может быть выполнена командой:
Установка обновления без использования инструментов fly-astra-update и astra-update.
Завершение установки обновления
После выполнения обновления необходимо перезагрузить систему.
Внимание
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.
Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы).