Справочный центр

Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация

Обновления для операционной системы специального  назначения «Astra Linux Special Edition» РУСБ.10015-16 исполнение 2 (сертификаты сертификат соответствия ФСБ России №СФ/СЗИ-0342 и №СФ/СЗИ-0343) предназначены для применения в составе автоматизированных систем в защищенном исполнении, находящихся в компетенции ФСБ России.

Обновления прошли контрольные тематические исследования в системе сертификации средств защиты информации ФСБ России (выписка  № 149 № 149/3/6/174 от 24 февраля 2021 г. из дополнения № 2 472 от 23.05.2022 из дополнения № 3 к заключению № 149/3/6/313 от 04.04.2019 о соответствии операционной системы специального назначения «Asrta назначения «Asrta Linux Special Edition» РУСБ.10015-16 требованиям безопасности ФСБ России).

Настоящий информационный ресурс является официальным источником получения обновлений для использования в работе предприятиями промышленности.


Оглавление


Предупреждение

Для установки настоящего оперативного обновленияи последующих оперативных обновлений следует использовать следующие инструменты:

  • инструмент командной строки — пакет astra-update;
  • графический инструмент — пакет fly-astra-update.

Установка инструментов fly-astra-update/astra-update описана в разделе Установка fly-astra-update/astra-update из образа обновления.


Предупреждение
Всё Если в системе используется программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими оперативными обновлениями.средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки.


Информация
Список улучшений функциональности, предоставляемых обновлением № 20211019SE81


Примечание

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.



Предупреждение

В случае применения (установки) оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux.



Предупреждение
titleВнимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлением репозитория установочного (основного) диска.

Информация
children


Общая информация

Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10265-01 (очередное обновление 8.1)10015-16 исполнение 2, далее по тексту - Astra Linux.

Информация
titleДанное обновление содержит:

Данное обновление включает в себя следующие оперативные обновления:

Важная информация по применению обновления ЯкорьKnownProblemsKnownProblems


Тестирование обновления перед установкой

Предупреждение
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в типичных аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).Для установки оперативного обновления необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже.
Порядок установки обновления

Подготовка к установке обновления

Предупреждение

Перед установкой обновлений:


Предупреждение
titleВнимание
  • Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;

  • На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:

    Command
    sudo astra-nochmodx-lock disable


    Информация

    При использовании инструмента fly-astra-update или astra-update с аргументом -A,  на время обновления будут автоматически отключены функции безопасности, мешающие обновлению.


  • Для полного завершения обновления требуется установочный диск (образ установочного диска) Astra Linux.


Предупреждение
При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков.

Загрузка и проверка образов обновления

Образ

Загрузка и проверка обновления репозитория установочного (основного) диска

  1. Скачать образ диска с обновлением

доступен для скачивания по

  1. с помощью WEB-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso
    либо выполнив команду: 

    Command

    wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso


  2. Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и
проверить соответствие контрольной суммы
  1. выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      Command
      gostsum -d /mnt/
20211019SE81
    • RUSB.10015-16_v2_8.1.3.iso

      Контрольная сумма:

      Информация
      iconfalse

46b7897a35dfa6c3b9bbd22c9dc3fa2777b39b7d5fb6e1a729ee9a056a0d2fcf

Подсказка

    • 9559c8e27cd27fe75edb10d2405513f22c9db5950b39370957db5c2ad8e8a3a5


    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:

      1. скачать усиленную квалифицированную электронную подпись

Оперативное обновление подписано усиленной квалифицированной электронной подписью

      1. ООО "РусБИТех-Астра" с помощью WEB-браузера по следующей ссылке:

(

      1. https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso.sig
        либо выполнив команду: 

        Command

        wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso.sig


      2. загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,

      3. перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached RUSB.10015-16_v2_8.1.3.iso RUSB.10015-16_v2_8.1.3.iso.sig -f RUSB.

Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

      1. 10015-16_v2_8.1.3.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
         Подпись проверена.
[ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.


Загрузка и проверка обновления средств разработки

  1. Скачать образ

Образ

  1. диска с обновлением средств разработки, соответствующий настоящему бюллетеню,

доступен

  1. с помощью WEB-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso
    либо выполнив команду: 

    Command

    wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso


  2. Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      Command
      gostsum -d /mnt/RUSB.10015-16_v2_8.1.3-devel.iso

      Контрольная сумма

образа диска с обновлением средств разработки: Информацияd28b99c5c416c11f9fe1f90410c51454e2efe4ceccbf80a9b79b0083b4587e2e

    • :

      Информация
      iconfalse

      d28b99c5c416c11f9fe1f90410c51454e2efe4ceccbf80a9b79b0083b4587e2e


    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:

      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью WEB-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.sig
        либо выполнив команду: 

        Command

        wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.sig


      2. загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,

      3. перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached RUSB.10015-16_v2_8.1.3-devel.iso RUSB.10015-16_v2_8.1.3-devel.iso.sig \

             -f RUSB.10015-16_v2_8.1.3-devel.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
         Подпись проверена.
[ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.


Якорь
installFromIso
installFromIso
Установка fly-astra-update/astra-update из образа обновления

  1. Примонтировать загруженный ISO-образ обновления репозитория установочного (основного) диска, например, в каталог /media/cdrom:

    Command
    sudo mount /mnt/20211019SE81RUSB.10015-16_v2_8.1.3.iso /media/cdrom


  2. Установить пакеты:

    1. Только только инструмент командной строки astra-update:

      Command

      sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb


    2. Или или инструмент командной строки astra-update и графический инструмент fly-astra-update:

      Command

      sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
      sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
      sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb


  3. Отмонтировать образ:

    Command
    sudo umount /media/cdrom


Установка обновления

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступных на обновляемой машине:

  1. Обязательные репозитории:
    1. Установочный диск;
    2. Диск с обновлением;
  2. Дополнительные репозитории:
    1. Диск со средствами разработки;
    2. Диск с обновлением средств разработки;

И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

Command
sudo astra-update -a -r -T

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).

Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

  1. Обязательные ISO-образы:
    1. Установочный диск;
    2. Диск с обновлением;
  2. Дополнительные ISO-образы:
    1. Диск со средствами разработки;
    2. Диск с обновлением средств разработки;

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

Command
sudo astra-update -a -T /mnt/<имя_образа_установочного_диска> /mnt/leningrad-26.01.2019_17.49-e2k-8cRUSB.10015-16_v2_8.1.3.iso /mnt/20211019SE81.iso <имя_образа_диска_со_средствами_разработки> /mnt/leningrad-devel-26.01.2019_17.49-e2k-8c.iso /mnt/20211019SE81RUSB.10015-16_v2_8.1.3-devel.iso

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании fly-astra-update и astra-update - инструменты для установки обновлений.

Дополнительные примеры использования astra-update

Например, при наличии образов установочного диска и диска обновления установка обновления может быть выполнена командой:

Command
sudo astra-update -a -T  <имя_образа_установочного диска> /mnt/20211019SE81.iso

При наличии установочного диска (должен быть зарегистрирован как источник пакетов) и скачанного образа обновления, установка обновления может быть выполнена командой:

Command
sudo astra-update -a -T /mnt/20211019SE81.iso

При этом понадобится загрузить установочный диск в привод компакт-дисков.

Для более сложных схем обновления, в том числе для обновления средств разработки, инструкция по использованию инструментов astra-update и fly-astra-update доступна по ссылке: fly-astra-update и astra-update - инструменты для установки обновлений.

Завершение установки обновления

Предупреждение

После выполнения обновления перезагрузить систему.

Предупреждение
titleВнимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.