| Предупреждение |
|---|
Для установки обновления рекомендуется использовать fly-astra-update и astra- инструмент update - инструменты для установки обновлений безопасности. |
Кумулятивное обновление для оперативное обновление для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия очередное обновление 1.6).
В состав программного обеспечения добавлен функционал по созданию и проверке электронной подписи, обеспечиваемый совместным использованием комплекса программ защищенной графической подсистемы, пакета офисных программ и СКЗИ, представляющих сервис электронной подписи (СЭП). Документация по использованию СЭП приведена в статье Описание архитектуры и порядка использования СЭП.
Данное обновление включает в себя:
- БЮЛЛЕТЕНЬ № 20200526SE16MD
- БЮЛЛЕТЕНЬ № 20200327SE16 - Update оперативное обновление 5
- БЮЛЛЕТЕНЬ № 20191029SE16 - Update оперативное обновление 4
- БЮЛЛЕТЕНЬ № 20190912SE16 - Update оперативное обновление 3
- БЮЛЛЕТЕНЬ № 20190712SE16MD
- БЮЛЛЕТЕНЬ № 20190621SE16MD
- БЮЛЛЕТЕНЬ № 20190529SE16MD
- БЮЛЛЕТЕНЬ № 20190222SE16 - Update оперативное обновление 2
- БЮЛЛЕТЕНЬ № 20181229SE16 - Update оперативное обновление 1
| Предупреждение |
|---|
|
| Предупреждение |
|---|
| Перед установкой обновлений рекомендуется ознакомиться с подробной инструкцией по установке обновлений ОС Astra Linux с компакт-дисков. |
| Предупреждение |
|---|
| Всё программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими оперативными обновлениями безопасности. |
| Предупреждение |
|---|
Архив ⬝ Совместимость версий ПК СВ "Брест" с обновлениями безопасности ОС СН Astra Linux SESpecial Edition |
| Предупреждение |
|---|
| Перед установкой данного обновления ознакомиться с разделом "Известные проблемы и их решения" настоящего бюллетеня, и обеспечить выполнение рекомендаций этого раздела. |
| Информация |
|---|
| Обновление диска со средствами разработки, соответствующее настоящему бюллетеню, доступно по ссылке. |
Без использования astra-update обновление можно выполнить в соответствии с инструкцией, приведенной ниже:
1. Загрузить образ диска с обновлениями по ссылке: Скачать
2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:
| Command |
|---|
| gostsum -d /mnt/20200722SE16.iso |
Контрольная сумма:
| Информация | ||
|---|---|---|
| ||
041b3c056e1f6e77e652dda37ee66594da440a797d0fd1d1c61bb4504adf49ba |
| Подсказка |
|---|
| Обновление безопасности Оперативное обновление подписано усиленной квалифицированной электронной подписью АО подписью ООО "НПО РусБИТех" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации -Астра" (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, размещенные на сайте: https://structure.mil.ru/structure/UC/certificate.htmПорядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов. |
| Предупреждение | ||
|---|---|---|
| ||
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. |
3. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться в том, что зарегистрирован и доступен установочный диск, для чего
просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:
| Command |
|---|
sudo apt-cdrom add |
4. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации повторить для всех компакт-дисков.
5. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:
| Command |
|---|
|
на вопрос об имени диска ввести "20200722SE16".
Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать из параллельной терминальной сессии.
| Примечание |
|---|
Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления. |
| Примечание | ||
|---|---|---|
В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка. При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и файла - образа диска с обновлениями переключать носители не потребуется. При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
|
6. Команды обновления следует выполнять из сессии суперпользователя (sudo -s) с высоким уровнем целостности, а не через отдельные команды sudo:
| Информация |
|---|
|
7. После завершения регистрации всех компакт-дисков и образов выполнить команды для "холостого прогона" установки обновлений (без внесения реальных изменений в систему, ключ -s команды apt), и убедитесь, что в результате работы не возникает неустранимых ошибок:
| Command |
|---|
|
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.
8. Выполнить обновление командами:
| Command |
|---|
|
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.
| Предупреждение |
|---|
После выполнения обновления необходимо перезагрузить систему. |
После завершения выполнения указанных команд обновление операционной системы будет выполнено .
| Предупреждение | ||
|---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsumgostsums.txt, расположенного в корневом каталоге диска с обновлениями. |
| Информация |
|---|
Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы). |
Известные проблемы и их решения
Требующие действий перед установкой обновления
Недостаточно места в дисковом разделе /boot
| Информация | ||
|---|---|---|
Размеры дисковых разделов можно проверить командой:
|
Если обновление устанавливается на только что установленную ОС с разметкой LVM, выполненной по умолчанию (а именно - размер дискового раздела /boot менее 512МБ, по умолчанию 234МБ), то:
либо увеличить размер дискового раздела /boot до 512МБ:
либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным:
удалить ядро hardened командой:
Command sudo apt remove linux-image-4.15.3-1-hardened Подключить обновления и выполнить их установку обновление.
Перезагрузить ОС, загрузившись с использованием ядра 4.15.3-2-generic
При необходимости использовать ядро hardened, повторно установить ядро hardened командой:
Command sudo apt install linux-image-4.15.3-2-hardened linux-astra-modules-4.15.3-2-hardened и повторно перезагрузить ОС с использованием ядра hardened
См. также статью Увеличение размера дискового раздела boot при стандартной разметке LVM. Краткая инструкцияНа момент выпуска настоящего бюллетеня не обнаружены.
Требующие действий после установки обновления
После установки нового ядра и успешной перезагрузки с обновленным ядром рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:
| Command |
|---|
| uname -r |
Для удаления пакетов, относящихся к неиспользуемым ядрам, можно использовать следующий сценарий, выполняемый от имени суперпользователя с высоким уровнем целостности:
| Блок кода |
|---|
#!/bin/bash
set -e
pkgs=`dpkg -l \
linux-image-4.15.3-1-generic \
linux-image-4.15.3-1-hardened \
linux-image-4.15.3-2-generic \
linux-image-4.15.3-2-hardened \
linux-image-4.15.3-3-generic \
linux-image-4.15.3-3-hardened \
linux-image-5.4.0-54-generic \
linux-image-5.4.0-54-hardened \
2> /dev/null | grep "^ii" | cut -d " " -f3 | \
grep -v ^linux-image-$(uname -r | cut -d '-' -f1-2)`
[ -n "$pkgs" ] && apt remove $pkgs
rm -f /boot/old-* |
или выборочно удалить пакеты вручную с помощью команды apt removeНа момент выпуска настоящего бюллетеня не обнаружены.