Информация |
---|
Обновления для операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-16 исполнение 2 (сертификаты сертификат соответствия ФСБ России №СФ/СЗИ-0342 и №СФ/СЗИ-0343) предназначены для применения в составе автоматизированных систем в защищенном исполнении, находящихся в компетенции ФСБ России. Обновления прошли контрольные тематические исследования в системе сертификации средств защиты информации ФСБ России (выписка № 149 № 149/3/6/174 от 24 февраля 2021 г. из дополнения № 2 472 от 23.05.2022 из дополнения № 3 к заключению № 149/3/6/313 от 04.04.2019 о соответствии операционной системы специального назначения «Asrta назначения «Asrta Linux Special Edition» РУСБ.10015-16 требованиям безопасности ФСБ России). Настоящий информационный ресурс является официальным источником получения обновлений для использования в работе предприятиями промышленности. |
Оглавление |
---|
Предупреждение |
---|
Для установки настоящего оперативного обновленияи последующих оперативных обновлений следует использовать следующие инструменты:
Установка инструментов fly-astra-update/astra-update описана в разделе Установка fly-astra-update/astra-update из образа обновления. |
Предупреждение |
---|
Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки. |
Информация |
---|
childrenСписок улучшений функциональности, предоставляемых обновлением № 20211019SE81 |
Примечание |
---|
Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки. |
Предупреждение |
---|
В случае применения (установки) оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux. |
Предупреждение | ||
---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлением репозитория установочного (основного) диска. |
Общая информация
Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-16 исполнение 2, далее по тексту - Astra Linux.
Информация | ||
---|---|---|
| ||
|
Данное обновление включает в себя следующие оперативные обновления:
Предупреждение |
---|
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки). |
Подготовка к установке обновления
Предупреждение |
---|
Перед установкой обновлений:
|
Предупреждение | ||||
---|---|---|---|---|
| ||||
|
Предупреждение |
---|
При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков. |
Загрузка и проверка образов обновления
Загрузка и проверка обновления репозитория установочного (основного) диска
Скачать образ диска с обновлением с помощью WEB-браузера по следующей ссылке: :
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/20211019SE81RUSB.10015-16_v2_8.1.3.iso
либо выполнив команду:Command wget https://downloaddl.astralinux.ru/astra/stable/leningrad/security-updates/8.1.7_x86-64FSB/iso20211019SE81/2022-0407SE17MD.tgzRUSB.10015-16_v2_8.1.3.iso
- Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме ISO-образа, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum -d /mnt/20211019SE81RUSB.10015-16_v2_8.1.3.iso Контрольная сумма:
Информация icon false 46b7897a35dfa6c3b9bbd22c9dc3fa2777b39b7d5fb6e1a729ee9a056a0d2fcf9559c8e27cd27fe75edb10d2405513f22c9db5950b39370957db5c2ad8e8a3a5
- проверка соответствия контрольной сумме отсоединенной электронной подписи ISO-образа , подсчитанной помощью программы ФИКС-UNIX 1.0 и представленной ниже. Для получения контрольной суммы выполнить следующие действия (в примере предполагается, что программа
ufix
и образа диска находятся в текущем каталоге, команды должны выполняться с полномочиями администратора системы с высоким уровнем целостности):создать в текущем каталоге временный подкаталог
tmp
командой:Command mkdir tmp
примонтировать образ диска с обновлением в подкаталог
tmp
командой:Command mount 20211019SE81.iso tmp
подсчитать контрольные суммы файлов, находящихся в примонтированном образе диска, командами:
Command ./ufix -jR tmp > tmp.list
./ufix -eP tmp.list
./ufix -h tmp.prj
проверить контрольную сумму "ВСЕГО" в файле
tmp.html
, открыв его с помощью web-браузера, или иным способом (см. "«ФИКС-UNIX 1.0» Описание применения" 643.53132931.501492-01 31 01)Информация title ФИКС-UNIX 1.0 ВСЕГО: DC6B1A65
(Опционально) отмонтировать iso-образ, удалить созданный подкаталог и созданные файлы ФИКС-UNIX:
Command umount tmp
rmdir tmp
rm tmp.list tmp.prj tmp.html
- проверка целостности ISO-образа с помощью файла ФИКС 20211019SE81.iso.prj. Проверка выполняется в соответствии с инструкцией к программе ФИКС-Unix, при этом образ диска должен быть примонтирован в каталог /mnt.
- посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью WEB-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso.sig
либо выполнив команду:Command wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso.sig
- загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,
перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):
Command /opt/cprocsp/bin/amd64/cryptcp -verify -detached RUSB.10015-16_v2_8.1.3.iso RUSB.10015-16_v2_8.1.3.iso.sig -f RUSB.10015-16_v2_8.1.3.iso.sig
В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Блок кода Подпись проверена. [ErrorCode: 0x00000000]
говорит о том, что проверка подписи завершена успешно
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81.iso.sig.
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.
Загрузка и проверка обновления средств разработки
Скачать образ диска с обновлением средств разработки, соответствующий настоящему бюллетеню, с помощью WEB-браузера по следующей ссылке::
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/20211019SE81-devRUSB.10015-16_v2_8.1.3-devel.iso
либо выполнив команду:Command wget https://downloaddl.astralinux.ru/astra/stable/leningrad/1.7_x86-64/iso/2022-0407SE17MD.tgzsecurity-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso
- Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме ISO-образа, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum -d /mnt/20211019SE81-devRUSB.10015-16_v2_8.1.3-devel.iso Контрольная сумма:
Информация icon false 46b7897a35dfa6c3b9bbd22c9dc3fa2777b39b7d5fb6e1a729ee9a056a0d2fcfd28b99c5c416c11f9fe1f90410c51454e2efe4ceccbf80a9b79b0083b4587e2e
- проверка соответствия контрольной сумме
- отсоединенной электронной подписи ISO-образа , подсчитанной помощью программы ФИКС-UNIX 1.0 и представленной ниже. Для получения контрольной суммы выполнить следующие действия (в примере предполагается, что программа
- посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью WEB-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.sig
либо выполнив команду:Command wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.sig
- загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,
перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):
Command /opt/cprocsp/bin/amd64/cryptcp -verify -detached RUSB.10015-16_v2_8.1.3-devel.iso RUSB.10015-16_v2_8.1.3-devel.iso.sig \
-f RUSB.10015-16_v2_8.1.3-devel.iso.sig
В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Блок кода Подпись проверена. [ErrorCode: 0x00000000]
говорит о том, что проверка подписи завершена успешно
- проверка целостности ISO-образа с помощью файла ФИКС 20211019SE81.iso.prj. Проверка выполняется в соответствии с инструкцией к программе ФИКС-Unix, при этом образ диска должен быть примонтирован в каталог /mnt. проверка отсоединенной электронной подписи образ диска с обновлением. Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра":
.
ufix
и образа диска находятся в текущем каталоге, команды должны выполняться с полномочиями администратора системы с высоким уровнем целостности):создать в текущем каталоге временный подкаталог
tmp
командой:Command mkdir tmp
примонтировать образ диска с обновлением в подкаталог
tmp
командой:Command mount 20211019SE81-dev.iso tmp
подсчитать контрольные суммы файлов, находящихся в примонтированном образе диска, командами:
Command ./ufix -jR tmp > tmp.list
./ufix -eP tmp.list
./ufix -h tmp.prj
проверить контрольную сумму "ВСЕГО" в файле
tmp.html
, открыв его с помощью web-браузера, или иным способом (см. "«ФИКС-UNIX 1.0» Описание применения" 643.53132931.501492-01 31 01)Информация title ФИКС-UNIX 1.0 ВСЕГО: DC6B1A65
(Опционально) отмонтировать iso-образ, удалить созданный подкаталог и созданные файлы ФИКС-UNIX:
Command umount tmp
rmdir tmp
rm tmp.list tmp.prj tmp.html
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81.iso.sig.
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов
Якорь | ||||
---|---|---|---|---|
|
Примонтировать загруженный ISO-образ обновления репозитория установочного (основного) диска, например, в каталог /media/cdrom:
Command sudo mount /mnt/20211019SE81RUSB.10015-16_v2_8.1.3.iso /media/cdrom Установить пакеты:
Только только инструмент командной строки astra-update:
Command sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
Или или инструмент командной строки astra-update и графический инструмент fly-astra-update:
Command sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb
Отмонтировать образ:
Command sudo umount /media/cdrom
Установка обновления
Установка обновления с использованием сетевых репозиториев
Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступных на обновляемой машине:
- Обязательные репозитории:
- Установочный диск;
- Диск с обновлением;
- Дополнительные репозитории:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list
, то обновление может быть установлено командой:
Command |
---|
sudo astra-update -a -r -T |
Если доступ к репозиториям в файле /etc/apt/sources.list
не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).
Установка обновления с использованием локальных копий ISO-образов
Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:
- Обязательные ISO-образы:
- Установочный диск;
- Диск с обновлением;
- Дополнительные ISO-образы:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:
Command |
---|
sudo astra-update -a -T /mnt/<имя_образа_установочного_диска> диска> /mnt/20211019SE81RUSB.10015-16_v2_8.1.3.iso /mnt/<имя_образа_диска_со_средствами_разработки> /mnt/20211019SE81RUSB.10015-16_v2_8.1.3-devel.iso |
В приведенном примере предполагается, что образы скопированы в каталог /mnt
или находятся на съемном носителе, смонтированном в каталог /mnt
.
Подробности также см. в описании fly-astra-update и astra-update - инструменты для установки обновлений.
Например, при наличии образов установочного диска и диска обновления установка обновления может быть выполнена командой:
Command |
---|
sudo astra-update -a -T <имя_образа_установочного диска> /mnt/20211019SE81.iso |
При наличии установочного диска (должен быть зарегистрирован как источник пакетов) и скачанного образа обновления, установка обновления может быть выполнена командой:
Command |
---|
sudo astra-update -a -T /mnt/20211019SE81.iso |
При этом понадобится загрузить установочный диск в привод компакт-дисков.
Для более сложных схем обновления, в том числе для обновления средств разработки, инструкция по использованию инструментов astra-update и fly-astra-update доступна по ссылке: fly-astra-update и astra-update - инструменты для установки обновлений.
Завершение установки обновления
Предупреждение | ||
---|---|---|
После выполнения обновления перезагрузить систему. | ||
Предупреждение | ||
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями. |