Якорь
Важная информация Важная информация

Важная информация

1. В системах с включенным механизмом мандатного контроля целостности обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Установка обновления

Подготовка к установке обновления

1. При использовании программного обеспечения, реализующего взаимодействие удаленных графических интерфейсов Astra Linux и Windows (пакет xrdp), после установки настоящего обновления необходимо выполнить дополнительные действия по обновлению/переустановке пакета xrdp.

2. При использовании устаревшего ядра linux версии 5.4 ограничено функционирование модуля контроля неизменности (целостности) и подлинности файлов (digsig_verif):

   • поддерживается только режим проверки встраиваемой подписи (параметр DIGSIG_ELF_VERIFICATION_MODE=0). Возможность изменения режима отсутствует;
   • отсутствует интерфейс внутренней архитектуры /sys/digsig/elf_verification_mode (реализует режим проверки цифровой подписи исполняемых файлов и разделяемых библиотек).

   Рекомендуется установить ядро linux версии 5.15 или 6.1

3. Начиная с оперативного обновления 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17) в среде виртуализации Astra Linux применяются обновленные правила мандатного управления доступом (МРД). При использовании среды виртуализации после установки настоящего обновления необходимо выполнить дополнительные действия по добавлению пользователя в группу libvirt-admin.

Возможные варианты установки обновления

Установка обновления программного обеспечения основного репозитория (main) с использованием образа диска с обновлением

Загрузка и проверка образа диска с обновлением

1. Скачать образ диска с обновлением с помощью веб-браузера по следующей ссылке:
   https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.67/uu/21/iso/md-1.7.6.15-10.03.25_13.31-20250310.repository-update.iso
   либо выполнив команду: 

   Command
   wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.67/uu/21/iso/md-1.7.6.15-10.03.25_13.31-20250310repository-update.iso

   
   

2. Перейти в каталог с загруженным образом диска и выполнить проверку. Возможные варианты проверки:

   • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

     Command
     gostsum -d md-1.7.6.15-10.03.25_13.31-20250310.repository-update.iso

     Контрольная сумма:

     Информация
     icon false
     1866fe03545a13cbd340590f0b4405b087dec52a0e8ab47b3121a56d53543ab60e06118dc35da0e4b7f753818721f12bf2d2a5b4d8d625bcb563559f3a02e44f

     
     

   • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
     Порядок проверки:

     1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.67/uu/21/iso/md-1.7.6.15-10.03.25_13.31-20250310.repository-update.iso.sig
        либо выполнив команду: 

        Command
        wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.67/uu/21/iso/md-1.7.6.15-10.03.25_13.31-20250310repository-update.iso.sig

        
        

     2. загруженную электронную подпись поместить в каталог с загруженным образом диска;

     3. перейти в каталог с загруженным образом диска и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command
        /opt/cprocsp/bin/amd64/cryptcp -verify -detached mdrepository-1.7.6.15-10.03.25_13.31-20250310.iso md-1.7.6.15-10.03.25_13.31-20250310update.iso repository-update.iso.sig -f md-1.7.6.15-10.03.25_13.31-20250310.repository-update.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
        Подпись проверена. [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления с использованием локальных или сетевых репозиториев

1. Создать локальные или сетевые репозитории из установочного диска , образа диска с оперативным обновлением 1.7.6.UU2 (БЮЛЛЕТЕНЬ № 2024-1127SE17MD), а также и образа диска с настоящим обновлением (см. Создание локальных и сетевых репозиториев). Настроить и настроить доступ к этим репозиториям в файле файле /etc/apt/sources.list, (см. Создание локальных и сетевых репозиториев).

   Примечание

   В репозитории настоящего обновления представлен только компонент non-free, в связи с этим строка с описанием источника пакетов должна иметь следующий видЕсли в качестве источников пакетов указан оптический установочный диск, строка вида: Блок кода deb <путь_к_репозиторию>cdrom:[<наименование_установочного_диска>]/ 1.7_x86-64 contrib main non-free то эту строку необходимо удалить или закомментировать (установить символ "#" в начале строки).

   
   

2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 
   

   Command
   sudo apt update

   
   

3. Выполнить обновление инструмента командной строки astra-update командой:

   Command
   sudo apt install astra-update

   
   

4. Установить обновление: 

   Command
   sudo astra-update -A -r

Завершение установки обновления

Для настройки проверки исполняемых файлов подписью в расширенных атрибутах файловой системы (ФС) необходимо выполнить последовательность действий, описанную ниже.

1. Сформировать полный список исполняемых файлов на установленной системе:
   

   Command
   sudo find / -type f -exec file {} \; | grep " ELF " | cut -d: -f1 > ELFS

   Примечание
   Сообщения вида: Блок кода double free or corruption (!prev) find: ‘file’ прерван по сигналу 6 являются диагностическими и свидетельствуют о выполнении действий, направленных на устранение неконтролируемого уменьшения свободной оперативной или виртуальной памяти компьютера.

2. Создать ключевую пару (закрытый и открытый ключи) по ГОСТ Р 34.10-2012, выполнив команду:
   

   Command
   sudo gpg --full-generate-key

   В процессе выполнения команды необходимо отвечать на запросы системы. На запрос о выборе типа ключа следует указать номер пункта, соответствующий ГОСТ Р 34.10-2012.

   Раскрыть
   title Пример
   Блок кода Title sudo gpg --full-generate-key title Вывод после выполнения команды: gpg (GnuPG) 2.2.40; Copyright (C) 2022 g10 Code GmbH This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Выберите тип ключа: (1) RSA и RSA (по умолчанию) (2) DSA и Elgamal (3) DSA (только для подписи) (4) RSA (только для подписи) (14) Имеющийся на карте ключ (14) GOST R34.10-2001 (sign only) OBSOLETE (15) GOST R34.10-2012 (sign only) Ваш выбор? 15 длина ключей GOST_R34.10-2012 может быть от 1024 до 4096. Какой размер ключа Вам необходим? (3072) Запрошенный размер ключа - 3072 бит Выберите срок действия ключа. 0 = не ограничен <n> = срок действия ключа - n дней <n>w = срок действия ключа - n недель <n>m = срок действия ключа - n месяцев <n>y = срок действия ключа - n лет292 РУСБ.10015-01 97 01-1 Срок действия ключа? (0) Срок действия ключа не ограничен Все верно? (y/N) y GnuPG должен составить идентификатор пользователя для идентификации ключа. Ваше полное имя: test user Адрес электронной почты: test@test.ru Примечание: Вы выбрали следующий идентификатор пользователя: "test user <test@test.ru>" Сменить (N)Имя, (C)Примечание, (E)Адрес; (O)Принять/(Q)Выход? o Необходимо получить много случайных чисел. Желательно, чтобы Вы в процессе генерации выполняли какие-то другие действия (печать на клавиатуре, движения мыши, обращения к дискам); это даст генератору случайных чисел больше возможностей получить достаточное количество энтропии. gpg: /root/.gnupg/trustdb.gpg: создана таблица доверия gpg: создан каталог ’/root/.gnupg/openpgp-revocs.d’ gpg: сертификат отзыва записан в ’/root/.gnupg/openpgp-revocs.d/07888\ A89440B749338619DF1FBBB20B915E8F5EA.rev’. открытый и секретный ключи созданы и подписаны. pub gP256 2024-06-14 [SC] 07888A89440B749338619DF1FBBB20B915E8F5EA uid test user <test@test.ru> В созданной ключевой паре открытый ключ имеет идентификатор 07888A89440B749338619DF1FBBB20B915E8F5EA, с которым он добавляется в хранилище GPG-ключей /root/.gnupg/pubring.kbx и по которому он выбирается в командах экспорта и копирования.

   Информация
   Так как созданная ключевая пара предназначена для подписания в расширенных атрибутах ФС, открытый ключ не требуется подписывать закрытым ключом изготовителя.

3. Экспортировать открытый ключ созданной пары и сохранить его в каталоге /etc/digsig/xattr_keys/ выполнив команду:

   Command
   sudo gpg --export <идентификатор_ключа> | sudo tee /etc/digsig/xattr_keys/<имя_файла_ключа>

   Раскрыть
   title Пример
   Command sudo gpg --export 07888A89440B749338619DF1FBBB20B915E8F5EA | sudo tee /etc/digsig/xattr_keys/secondary_gost_key.gpg

4. Сохранить пароль созданной ключевой пары в текстовый файл.
5. Подписать все исполняемые файлы из перечня, сформированного на шаге 1, подписью в расширенных атрибутах ФС:
   

   Command
   cat ELFS | sudo bsign -N -s -X --pgoptions="--batch --pinentry-mode=loopback --passphrase-file=<файл_с_паролем> --default-key=<идентификатор_ключа>" -f -

   Примечание
   Процесс подписания может занимать длительное время, в зависимости от количества исполняемых файлов, указанных в перечне.

6. Включить проверку цифровой подписи исполняемых файлов в расширенных атрибутах ФС. Для этого:
   1. в конфигурационном файле /etc/digsig/digsig_initramfs.conf для параметров DIGSIG_ELF_MODE и DIGSIG_ELF_VERIFICATION_MODE задать значение 1:
      

      Блок кода
      DIGSIG_ELF_MODE = 1 DIGSIG_ELF_VERIFICATION_MODE = 1

   2. после внесения изменений в конфигурационный файл /etc/digsig/digsig_initramfs.conf, а также для загрузки модулем digsig_verif  ключей после их размещения в каталоге /etc/digsig/xattr_keys/ выполнить команду:

      Command
      sudo update-initramfs -u -k all

Установка обновления с использованием локальной копии образа диска с обновлением

1. Примонтировать загруженный образ диска, например, в каталог /media/cdrom:

   Command
   sudo mount /mnt/repository-update.iso /media/cdrom

   В приведенном примере предполагается, что образ диска скопирован в каталог /mnt/ или находится на съемном носителе, смонтированном в каталог /mnt/.

2. Выполнить обновление инструмента командной строки astra-update:

   Command
   sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb

3. Отмонтировать загруженный образ диска:

   Command
   sudo umount /media/cdrom

4. Установить обновление: 

   Command
   sudo astra-update -A /mnt/<имя_образа_установочного_диска> /mnt/repository-update.iso

   В приведенном примере предполагается, что образы дисков скопированы в каталог /mnt/ или находятся на съемном носителе, смонтированном в каталог /mnt/.

Установка обновления программного обеспечения основного репозитория (main) с использованием зафиксированной ветки интернет-репозитория Astra Linux

1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить строки:

   Блок кода
   deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/1/repository-main/ 1.7_x86-64 main contrib non-free deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/1/repository-update/ 1.7_x86-64 main contrib non-free

   
   

   Примечание
   Если в качестве источников пакетов указан оптический установочный диск, строка вида: Блок кода deb cdrom:[<наименование_установочного_диска>]/ 1.7_x86-64 contrib main non-free то эту строку необходимо удалить или закомментировать (установить символ "#" в начале строки).

   
   

2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

   Command
   sudo apt update

   
   

3. Выполнить обновление инструмента командной строки astra-update командой:

   Command
   sudo apt install astra-update

   
   

4. Установить обновление: 

   Command
   sudo astra-update -A -r

   
   

Установка обновления программного обеспечения базового репозитория (base)

Установка обновления с использованием зафиксированной ветки интернет-репозитория Astra Linux

1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить строку:

   Блок кода
   deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/1/repository-base/ 1.7_x86-64 main contrib non-free

   
   

   Примечание
   Если в качестве источников пакетов указан оптический установочный диск, строка вида: Блок кода deb cdrom:[<наименование_установочного_диска>]/ 1.7_x86-64 contrib main non-free то эту строку необходимо удалить или закомментировать (установить символ "#" в начале строки).

   
   

2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником:

   Command
   sudo apt update

   
   

3. Выполнить обновление инструмента командной строки astra-update командой:

   Command
   sudo apt install astra-update

   
   

4. Установить обновление: 

   Command
   sudo astra-update -A -r -T

   
   

Установка обновления с использованием образа диска обновленного базового репозитория (base)

1. Скачать образ диска обновленного базового репозитория по ссылке, представленной в личном кабинете.

2. Перейти в каталог с образом диска обновленного базового репозитория.

3. Выполнить проверку. Возможные варианты проверки:

   • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

     Command
     gostsum -d base-1.7.7.7-08.04.25_15.16.iso

     Контрольная сумма:

     Информация
     icon false
     0c1327974f93564bea70327e2aa3733432608cbad785cfec7f088dddc98c8fe5

     
     

   • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
     Порядок проверки:

     1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" по ссылке, представленной в личном кабинете;

     2. загруженный файл электронной подписи поместить в каталог с образом диска обновленного базового репозитория;

     3. перейти в каталог с образом диска обновленного базового репозитория и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command
        /opt/cprocsp/bin/amd64/cryptcp -verify -detached base-1.7.7.7-08.04.25_15.16.iso base-1.7.7.7-08.04.25_15.16.iso.sig -f base-1.7.7.7-08.04.25_15.16.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
        Подпись проверена. [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

4. Примонтировать образ диска обновленного базового репозитория, например, в каталог /media/cdrom:

   Command
   sudo mount base-1.7.7.7-08.04.25_15.16.iso /media/cdrom/

5. Выполнить обновление инструмента командной строки astra-update:

   Command
   sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb

6. Отмонтировать образ диска:

   Command
   sudo umount /media/cdrom

7. Установить обновление: 

   Command
   sudo astra-update -A -T base-1.7.7.7-08.04.25_15.16.iso

Завершение установки обновления

Действия после установки обновления

Якорь
libvirt-admin libvirt-admin

Добавление пользователя в группу libvirt-admin

Пользователи-участники группы libvirt-admin могут без использования sudo работать с виртуальными машинами, виртуальными сетями и хранилищами данных. До установки оперативного обновления 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17) эта группа использовалась только в Astra Linux с включенным мандатным управлением доступом (включен по умолчанию на максимальном уровне защищенности). После установки обновлений, начиная с оперативного обновления 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17), необходима также и при выключенном мандатным управлением доступом. Команда для добавления пользователя в группу libvirt-admin:

Для того, чтобы добавление в группы вступило в силу, нужно перезапустить пользовательскую сессию. 

См. также Виртуализация QEMU/KVM в Astra Linux

Якорь
xrdp-reinstall xrdp-reinstall

Обновление/переустановка пакета xrdp

Для обновления пакета необходимо выполнить команду:

Для переустановки пакета необходимо выполнить команду:

Затем необходимо удостовериться в том, что в конфигурационном файле /etc/xrdp/xrdp.ini для параметра fork установлено значение true:

fork=true

После внесения изменений в конфигурационный файл /etc/xrdp/xrdp.ini  необходимо перезапустить службу xrdp-сервера:

Установка программы «Центр уведомлений»

Для установки программы «Центр уведомлений» необходимо выполнить команду:

Во время выполнения этой команды служба qtnotifydaemon будет автоматически удалена

В связи с техническими особенностями работы механизма контроля целостности на основе проверки цифровых подписей в расширенных атрибутах файловой системы, файлы модулей ядра с расширением .ko будут проверяться на основе встраиваемых цифровых подписей изготовителя.

.