Предупреждение |
---|
Если ранее было установлено обновление БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) , то настоящее обновление должно быть установлено в приоритетном порядке для устранения проблем, выявленных в ранее установленном обновлении. |
Оглавление |
---|
Предупреждение |
---|
Всё программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими оперативными обновлениями. |
Предупреждение |
---|
Совместимость версий ПК СВ Брест с оперативными обновлениями ОС Astra Linux Special Edition |
Общая информация
Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6).
Информация | ||
---|---|---|
| ||
|
Данное обновление включает в себя:
- БЮЛЛЕТЕНЬ № 20210611SE16 - оперативное обновление 7
- БЮЛЛЕТЕНЬ № 20210317SE16MD
- БЮЛЛЕТЕНЬ № 20210128SE16MD
- БЮЛЛЕТЕНЬ № 20201207SE16MD
- БЮЛЛЕТЕНЬ № 20200921SE16MD
- БЮЛЛЕТЕНЬ № 20200807SE16MD
- БЮЛЛЕТЕНЬ № 20200722SE16 - оперативное обновление 6
- БЮЛЛЕТЕНЬ № 20200526SE16MD
- БЮЛЛЕТЕНЬ № 20200327SE16 - оперативное обновление 5
- БЮЛЛЕТЕНЬ № 20191029SE16 - оперативное обновление 4
- БЮЛЛЕТЕНЬ № 20190912SE16 - оперативное обновление 3
- БЮЛЛЕТЕНЬ № 20190712SE16MD
- БЮЛЛЕТЕНЬ № 20190621SE16MD
- БЮЛЛЕТЕНЬ № 20190529SE16MD
- БЮЛЛЕТЕНЬ № 20190222SE16 - оперативное обновление 2
- БЮЛЛЕТЕНЬ № 20181229SE16 - оперативное обновление 1
Известные проблемы и их решения
Тестирование обновления перед установкой
Предупреждение |
---|
Перед массовой установкой обновления на находящиеся в эксплуатации машины в обязательном порядке выполнить проверку работоспособности машин после установки обновления и перезагрузки путем установки обновления на тестовых машинах в типичных конфигурациях. |
При установке недоступны пакеты, расположенные на основном установочном диске
Если установочный диск и образ обновления подключены с помощью apt-cdrom (нерекомендуемый способ установки обновлений), то выполнение обновления может завершаться ошибкой из-за не найденных пакетов. При возникновении подобных ошибок:
- Удалить из файла /etc/apt/sources.list все зарегистрированные диски, кроме установочного диска;
Выполнить команду:
Command sudo apt update - Установить не найденные пакеты с установочного диска;
- Повторить процедуру регистрации образов дисков обновления и установки обновления;
Возможный вариант комплекта необходимых пакетов и команда для их установки:
Command |
---|
sudo apt install libvulkan1 libxml* libev4 qdbus-qt5 libunwind8 |
Для предупреждения возникновения подобных ошибок следует использовать обновление из сетевых репозиториев или ISO-образов с помощью инструментов fly-astra-update и astra-update.
Недостаточно места в дисковом разделе /boot
Информация | ||
---|---|---|
Размеры дисковых разделов можно проверить командой:
|
Если обновление устанавливается на только что установленную ОС с разметкой LVM, выполненной по умолчанию (а именно - размер дискового раздела /boot менее 512МБ, по умолчанию 234МБ), то:
либо увеличить размер дискового раздела /boot до 512МБ:
либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным:
удалить ядро hardened командой:
Command sudo apt remove linux-image-4.15.3-1-hardened Подключить обновления и выполнить их установку обновление.
Перезагрузить ОС, загрузившись с использованием ядра 4.15.3-2-generic
При необходимости использовать ядро hardened, повторно установить ядро hardened командой:
Command sudo apt install linux-image-4.15.3-2-hardened linux-astra-modules-4.15.3-2-hardened и повторно перезагрузить ОС с использованием ядра hardened
См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция
Доустановка пакета linux-5.4
Если на момент установки обновления установлено ядро версии 5.4 из репозитория BSP обновления БЮЛЛЕТЕНЬ № 20200722SE16 -оперативное обновление 6, то перед перезагрузкой необходимо выполнить установку пакета linux-5.4 из текущего обновления. Для этого выполнить команду:
Command |
---|
sudo apt install linux-5.4 |
Действия при обновлении ядра
Обновление гостевых дополнений VirtualBox при обновлении ядра
Если обновляемая ОС установлена на виртуальной машине Oracle VirtualBox и в обновляемой ОС установлены гостевые дополнения VirtualBox, то после установки нового ядра и до перезагрузки ОС следует переустановить гостевые дополнения VirtualBox (см. Установка VirtualBox).
Удаление неиспользуемых пакетов после обновления ядра
После установки нового ядра и успешной перезагрузки с обновленным ядром для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:
Command |
---|
uname -r |
Для удаления пакетов, относящихся к неиспользуемым ядрам, можно использовать следующий сценарий, выполняемый от имени администратора с высоким уровнем целостности:
Блок кода |
---|
#!/bin/bash set -e pkgs=`dpkg -l \ linux-image-4.15.3-1-generic \ linux-image-4.15.3-1-hardened \ linux-image-4.15.3-2-generic \ linux-image-4.15.3-2-hardened \ linux-image-4.15.3-3-generic \ linux-image-4.15.3-3-hardened \ linux-image-5.4.0-54-generic \ linux-image-5.4.0-54-hardened \ 2> /dev/null | grep "^ii" | cut -d " " -f3 | \ grep -v ^linux-image-$(uname -r | cut -d '-' -f1-2)` [ -n "$pkgs" ] && apt remove $pkgs rm -f /boot/old-* |
или выборочно удалить пакеты вручную с помощью команды apt remove.
Обновление драйверов Nvidia при обновлении ядра
После обновления ядра ОС при установке данного обновления становится возможна установка драйверов Nvidia без DKMS для ядра 5.4.0-71.
Предупреждение |
---|
Если ранее было установлено ядро 5.4.0-34 и были установлены драйверы Nvidia без DKMS для этого ядра, необходимо после установки обновления и до перезагрузки обновить драйверы. Инструкции по установке драйверов доступны по ссылке Драйверы NVIDIA без DKMS. |
Загрузка и проверка образов обновления
Образ диска с обновлением доступен для скачивания по ссылке: https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210730SE16/20210730SE16.iso.
Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы.
Для получения контрольной суммы выполнить команду:
Command |
---|
gostsum -d /mnt/20210730SE16.iso |
Контрольная сумма:
Информация | ||
---|---|---|
| ||
ХХХХХХ |
Подсказка |
---|
Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210730SE16/20210730SE16.iso.sig). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty |
Информация | ||
---|---|---|
Образ диска с обновлением средств разработки, соответствующий настоящему бюллетеню, доступен по ссылке https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20210730SE16/
|
Порядок установки обновления
Предупреждение |
---|
Перед установкой обновлений рекомендуется:
|
Для установки этого обновления и следующих обновлений рекомендуется установить и использовать инструменты fly-astra-update и astra-update - инструменты для установки обновлений.
Допускается использовать fly-astra-update и astra-update, установленные из обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7).
Предупреждение | ||
---|---|---|
| ||
|
Начиная с оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) в состав пакетов Astra Linux включены пакеты для автоматизации установки обновлений:
- инструмент командной строки - пакет astra-update;
- графический инструмент - пакет fly-astra-update.
Для установки оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) и последующих оперативных обновлений рекомендуется использовать только эти инструменты. Если инструмент (инструменты) не были установлены ранее, то установить их.
Предупреждение |
---|
При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков. |
Рекомендованные варианты установки обновлений
Установка обновления с использованием сетевых репозиториев
Если созданы сетевые репозитории для всех используемых ISO-образов, доступные на обновляемой машине:
- Обязательные репозитории:
- Установочный диск;
- Диск с обновлением;
- Дополнительные репозитории:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
Если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:
Command |
---|
sudo astra-update -a -r |
Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).
Установка обновления с использованием локальных копий ISO-образов
Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:
- Обязательные ISO-образы:
- Установочный диск;
- Диск с обновлением;
- Дополнительные ISO-образы:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:
Command |
---|
sudo astra-update -a /mnt/smolensk1.6.iso /mnt/20210730SE16.iso /mnt/smolensk1.6-devel.iso /mnt/20210730SE16-devel.iso |
В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании инструментов fly-astra-update и astra-update.
Подготовка к установке
Установка fly-astra-update/astra-update из репозитория
Если доступен репозиторий пакетов, содержащий пакеты обновления установку можно выполнить командами:
Command |
---|
sudo apt update |
или инструмент astra-update:
Command |
---|
sudo apt update |
Установка fly-astra-update/astra-update из образа обновления
Примонтировать загруженный образ обновления:
Command sudo mount /mnt/20210730SE16.iso /media/cdrom Установить пакеты:
только пакет для работы в командной строке astra-update:Command sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
или пакет для работы в командной строке astra-update и графический пакет fly-astra-update:
Command sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb
Установка обновления
Дальнейшую установку оперативных обновлений выполнять с помощью установленных инструментов.
Дополнительные примеры использования astra-update
Например, если имеются скопированные образы установочного диска и диска обновления установка обновления может быть выполнена командой:
Command |
---|
sudo astra-update -a /mnt/20210730SE16.iso <имя_образа_установочного диска> |
Обычно основной установочный диск уже зарегистрирован как источник пакетов при установке ОС и при наличии установочного диска и скачанного образа обновления обновление может быть выполнено командой:
Command |
---|
sudo astra-update -a /mnt/20210730SE16.iso |
При этом понадобится загрузить установочный диск в привод компакт-дисков.
Установка обновления без использования инструментов fly-astra-update и astra-update.
Раскрыть | |||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться в том, что зарегистрирован и доступен установочный диск, для чего просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:
2. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации повторить для всех компакт-дисков. 3. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:
на вопрос об имени диска ввести "20210730SE16". Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
4. Команды обновления следует выполнять из сессии суперпользователя (sudo -s) с высоким уровнем целостности, а не через отдельные команды sudo:
5. После завершения регистрации всех компакт-дисков и образов выполнить команды для "холостого прогона" установки обновлений (без внесения реальных изменений в систему, ключ -s команды apt), и убедитесь, что в результате работы не возникает неустранимых ошибок:
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией. 6. Выполнить обновление командами:
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией. |
Завершение установки обновления
Предупреждение |
---|
После выполнения обновления необходимо перезагрузить систему. |
Предупреждение | ||
---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями. |
Информация |
---|
Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы). |