Установка обновления

Подготовка к установке обновления

Загрузка и проверка образа диска с обновлением

1. Скачать образ диска с обновлением с помощью веб-браузера по следующей ссылке:
   https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso
   либо выполнив команду: 

   Command
   wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso

   
   

2. Перейти в каталог с загруженным образом диска и выполнить проверку. Возможные варианты проверки:

   • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

     Command
     gostsum -d md-1.7.6.15-10.03.25_13.31-20250310.iso

     Контрольная сумма:

     Информация
     icon false
     1866fe03545a13cbd340590f0b4405b087dec52a0e8ab47b3121a56d53543ab6

     
     

   • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
     Порядок проверки:

     1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso.sig
        либо выполнив команду: 

        Command
        wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso.sig

        
        

     2. загруженную электронную подпись поместить в каталог с загруженным образом диска;

     3. перейти в каталог с загруженным образом диска и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command
        /opt/cprocsp/bin/amd64/cryptcp -verify -detached md-1.7.6.15-10.03.25_13.31-20250310.iso md-1.7.6.15-10.03.25_13.31-20250310.iso.sig -f md-1.7.6.15-10.03.25_13.31-20250310.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
        Подпись проверена. [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления

1. Создать локальные или сетевые репозитории из установочного диска, образа диска с оперативным обновлением 1.7.6.UU2 (БЮЛЛЕТЕНЬ № 2024-1127SE17MD), а также образа диска с настоящим обновлением (см. Создание локальных и сетевых репозиториев).
2.  Настроить доступ к этим репозиториям в файле /etc/apt/sources.list.

   Примечание
   В репозитории настоящего обновления представлен только компонент non-free, в связи с этим строка с описанием источника пакетов должна иметь следующий вид: Блок кода deb <путь_к_репозиторию> 1.7_x86-64 non-free

   
   

3. Выполнить повторную синхронизацию файлов описаний пакетов с их источником:

   Command
   sudo apt update

   
   

4. Установить обновление: 

   Command
   sudo astra-update -A -r

Завершение установки обновления

Якорь
xattr xattr

Порядок настройки Astra Linux для работы ЗПС в режиме проверки подписи в расширенных атрибутах файловой системы

Для настройки проверки исполняемых файлов подписью в расширенных атрибутах файловой системы (ФС) необходимо выполнить последовательность действий, описанную ниже.

1. Сформировать полный список исполняемых файлов на установленной системе:
   

   Command
   sudo find / -type f -exec file {} \; | grep " ELF " | cut -d: -f1 > ELFS

   Примечание
   Сообщения вида: Блок кода double free or corruption (!prev) find: ‘file’ прерван по сигналу 6 являются диагностическими и свидетельствуют о выполнении действий, направленных на устранение неконтролируемого уменьшения свободной оперативной или виртуальной памяти компьютера.

2. Создать ключевую пару (закрытый и открытый ключи) по ГОСТ Р 34.10-2012, выполнив команду:
   

   Command
   sudo gpg --full-generate-key

   В процессе выполнения команды необходимо отвечать на запросы системы. На запрос о выборе типа ключа следует указать номер пункта, соответствующий ГОСТ Р 34.10-2012.

   Раскрыть
   title Пример
   Блок кода Title sudo gpg --full-generate-key title Вывод после выполнения команды: gpg (GnuPG) 2.2.40; Copyright (C) 2022 g10 Code GmbH This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Выберите тип ключа: (1) RSA и RSA (по умолчанию) (2) DSA и Elgamal (3) DSA (только для подписи) (4) RSA (только для подписи) (14) Имеющийся на карте ключ (14) GOST R34.10-2001 (sign only) OBSOLETE (15) GOST R34.10-2012 (sign only) Ваш выбор? 15 длина ключей GOST_R34.10-2012 может быть от 1024 до 4096. Какой размер ключа Вам необходим? (3072) Запрошенный размер ключа - 3072 бит Выберите срок действия ключа. 0 = не ограничен <n> = срок действия ключа - n дней <n>w = срок действия ключа - n недель <n>m = срок действия ключа - n месяцев <n>y = срок действия ключа - n лет292 РУСБ.10015-01 97 01-1 Срок действия ключа? (0) Срок действия ключа не ограничен Все верно? (y/N) y GnuPG должен составить идентификатор пользователя для идентификации ключа. Ваше полное имя: test user Адрес электронной почты: test@test.ru Примечание: Вы выбрали следующий идентификатор пользователя: "test user <test@test.ru>" Сменить (N)Имя, (C)Примечание, (E)Адрес; (O)Принять/(Q)Выход? o Необходимо получить много случайных чисел. Желательно, чтобы Вы в процессе генерации выполняли какие-то другие действия (печать на клавиатуре, движения мыши, обращения к дискам); это даст генератору случайных чисел больше возможностей получить достаточное количество энтропии. gpg: /root/.gnupg/trustdb.gpg: создана таблица доверия gpg: создан каталог ’/root/.gnupg/openpgp-revocs.d’ gpg: сертификат отзыва записан в ’/root/.gnupg/openpgp-revocs.d/07888\ A89440B749338619DF1FBBB20B915E8F5EA.rev’. открытый и секретный ключи созданы и подписаны. pub gP256 2024-06-14 [SC] 07888A89440B749338619DF1FBBB20B915E8F5EA uid test user <test@test.ru> В созданной ключевой паре открытый ключ имеет идентификатор 07888A89440B749338619DF1FBBB20B915E8F5EA, с которым он добавляется в хранилище GPG-ключей /root/.gnupg/pubring.kbx и по которому он выбирается в командах экспорта и копирования.

   Информация
   Так как созданная ключевая пара предназначена для подписания в расширенных атрибутах ФС, открытый ключ не требуется подписывать закрытым ключом изготовителя.

3. Экспортировать открытый ключ созданной пары и сохранить его в каталоге /etc/digsig/xattr_keys/ выполнив команду:

   Command
   sudo gpg --export <идентификатор_ключа> | sudo tee /etc/digsig/xattr_keys/<имя_файла_ключа>

   Раскрыть
   title Пример
   Command sudo gpg --export 07888A89440B749338619DF1FBBB20B915E8F5EA | sudo tee /etc/digsig/xattr_keys/secondary_gost_key.gpg

4. Сохранить пароль созданной ключевой пары в текстовый файл.
5. Подписать все исполняемые файлы из перечня, сформированного на шаге 1, подписью в расширенных атрибутах ФС:
   

   Command
   cat ELFS | sudo bsign -N -s -X --pgoptions="--batch --pinentry-mode=loopback --passphrase-file=<файл_с_паролем> --default-key=<идентификатор_ключа>" -f -

   Примечание
   Процесс подписания может занимать длительное время, в зависимости от количества исполняемых файлов, указанных в перечне.

6. Включить проверку цифровой подписи исполняемых файлов в расширенных атрибутах ФС. Для этого:
   1. в конфигурационном файле /etc/digsig/digsig_initramfs.conf для параметров DIGSIG_ELF_MODE и DIGSIG_ELF_VERIFICATION_MODE задать значение 1:
      

      Блок кода
      DIGSIG_ELF_MODE = 1 DIGSIG_ELF_VERIFICATION_MODE = 1

   2. после внесения изменений в конфигурационный файл /etc/digsig/digsig_initramfs.conf, а также для загрузки модулем digsig_verif  ключей после их размещения в каталоге /etc/digsig/xattr_keys/ выполнить команду:

      Command
      sudo update-initramfs -u -k all