Доустановка пакета linux-5.4

Если на момент выполнения обновления установлено ядро версии 5.4 из репозитория BSP обновления БЮЛЛЕТЕНЬ № 20200722SE16 (оперативное обновление 6) или последующих обновлений, то после выполнения обновления и перед перезагрузкой необходимо установить пакет linux-5.4. Для этого выполнить команду: 

Действия при обновлении ядра

Удаление неиспользуемых пакетов после обновления ядра

После установки нового ядра и успешной перезагрузки с обновленным ядром для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:

Пример вывода после выполнения команды:

5.4.0-81-generic

Чтобы просмотреть перечень установленных пакетов, относящихся к ядрам Linux, необходимо в терминале выполнить команду:

Пример вывода после выполнения команды:

linux-image-4.15-generic
linux-image-4.15-hardened
linux-image-4.15.3-1-generic
linux-image-4.15.3-1-hardened 
linux-image-4.15.3-141-generic
linux-image-4.15.3-141-hardened
linux-image-4.15.3-154-generic
linux-image-4.15.3-154-hardened
linux-image-5.10-generic
linux-image-5.10-hardened
linux-image-5.10.0-1045-generic
linux-image-5.10.0-1045-hardened
linux-image-5.4-generic
linux-image-5.4-hardened
linux-image-5.4.0-81-generic
linux-image-5.4.0-81-hardened
linux-image-hardened

#!/bin/bash

set -e

pkgs=`dpkg -l \
linux-image-4.15.3-1-generic \
linux-image-4.15.3-1-hardened \
linux-image-4.15.3-141-generic \
linux-image-4.15.3-141-hardened \
linux-image-4.15.3-154-generic \
linux-image-4.15.3-154-hardened \
2> /dev/null | grep "^ii" | cut -d " " -f3 | \
grep -v ^linux-image-$(uname -r | cut -d '-' -f1-2)`

[ -n "$pkgs" ] && apt remove $pkgs
rm -f /boot/old-*

Обновление драйверов Nvidia при обновлении ядра

После обновления ядра ОС при установке данного обновления становится возможна установка драйверов Nvidia для ядра 5.4.0-71.

), то выполнение обновления может завершаться ошибкой из-за не найденных пакетов. При возникновении подобных ошибок:

1. Удалить из файла /etc/apt/sources.list все зарегистрированные диски, кроме установочного диска;

2. Выполнить команду:
   

   Command
   sudo apt update

   
   

3. Установить не найденные пакеты с установочного диска;
4. Повторить процедуру регистрации образов дисков обновления и установки обновления в соответствии с инструкцией Установка оперативных обновлений Astra Linux Special Edition с компакт-дисков;

Возможный вариант комплекта необходимых пакетов и команда для их установки:

Для предупреждения возникновения подобных ошибок следует использовать обновление из сетевых репозиториев Astra Linux (см. Создание локальных и сетевых репозиториев) или ISO-образов Astra Linux с помощью инструментов fly-astra-update и astra-update (порядок установки этих инструментов для выполнения настоящего обновления описан в разделе Подготовка к установке).

5.4.0-81-generic

ii linux-image-4.15-generic
ii linux-image-4.15-hardened
ii linux-image-4.15.3-1-generic
ii linux-image-4.15.3-1-hardened
ii linux-image-4.15.3-141-generic
ii linux-image-4.15.3-141-hardened
ii linux-image-4.15.3-154-generic
ii linux-image-4.15.3-154-hardened
ii linux-image-5.4-generic
ii linux-image-5.4-hardened
ii linux-image-5.4.0-71-generic
ii linux-image-5.4.0-71-hardened
ii linux-image-5.4.0-81-generic
ii linux-image-5.4.0-81-hardened
ii linux-image-hardened

#!/bin/bash

set -e

# Перечень пакетов, дальнейшее использование которых не планируется.
pkgs="linux-image-4.15.3-1-generic \
linux-image-4.15.3-1-hardened \
linux-image-4.15.3-141-generic \
linux-image-4.15.3-141-hardened \
linux-image-4.15.3-154-generic \
linux-image-4.15.3-154-hardened \
linux-image-5.4.0-71-generic \
linux-image-5.4.0-71-hardened "

# Проверка строки и запуск удаления пакетов.
# Для удаления пакета и всех связанных с ним 
# конфигурационных файлов необходимо использовать команду apt purge.
[ -n "$pkgs" ] && apt remove $pkgs

#обновление конфигурационного файла Grub.
update-grub2  

Загрузка и проверка образов обновления

Образ диска с обновлением доступен для скачивания по ссылке:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/[ССЫЛКА].iso

Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы.
Для получения контрольной суммы выполнить команду:

Контрольная сумма:

Образ диска с обновлением средств разработки, соответствующий настоящему бюллетеню, доступен по ссылке:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/[ССЫЛКА]/

Контрольная сумма образа диска с обновлением средств разработки:

Порядок установки обновления

Допускается использовать fly-astra-update и astra-update, установленные из обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) или последующих обновлений.

На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:

Начиная с оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) в состав пакетов Astra Linux включены пакеты для автоматизации установки обновлений:

• инструмент командной строки - пакет astra-update;
• графический инструмент - пакет fly-astra-update.

Для установки оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) и последующих оперативных обновлений рекомендуется использовать только эти инструменты. Если инструмент (инструменты) не были установлены ранее, то установить их.

Если доступен репозиторий пакетов, содержащий пакеты обновления установку можно выполнить следующими командами:

установка инструмента fly-astra-update:

или установка инструмента astra-update:

Примонтировать загруженный образ обновления, например, в каталог /media/cdrom:

Установить пакеты:
только пакет для работы в командной строке astra-update:

или пакет для работы в командной строке astra-update и графический пакет fly-astra-update:

Отмонтировать образ:

Установка обновления

Дальнейшую установку оперативных обновлений выполнять с помощью установленных инструментов (см. Рекомендованные варианты установки обновлений).

Дополнительные примеры использования astra-update

Например, при наличии образов установочного диска и диска обновления установка обновления может быть выполнена командой:

При наличии установочного диска (должен быть зарегистрирован как источник пакетов) и скачанного образа обновления, установка обновления может быть выполнена командой:

При этом понадобится загрузить установочный диск в привод компакт-дисков.

Для более сложных схем обновления, в том числе для обновления средств разработки, инструкция по использованию инструментов astra-update и fly-astra-update доступна по ссылке: fly-astra-update и astra-update - инструменты для установки обновлений

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступные на обновляемой машине:

1. Обязательные репозитории:
   1. Установочный диск;
   2. Диск с обновлением;
2. Дополнительные репозитории:
   
   1. Диск со средствами разработки;
   2. Диск с обновлением средств разработки;

Если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).

Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

1. Обязательные ISO-образы:
   1. Установочный диск;
   2. Диск с обновлением;
2. Дополнительные ISO-образы:
   1. Диск со средствами разработки;
   2. Диск с обновлением средств разработки;

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании инструментов fly-astra-update и astra-update.

Установка обновления без использования инструментов fly-astra-update и astra-update.

1. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться  в том, что зарегистрирован и доступен установочный диск, для чего просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

2. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации  повторить для всех компакт-дисков.

3. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:

на вопрос об имени диска ввести "20211006SE16".

Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать из параллельной терминальной сессии.

В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.

При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск 1.6 и файла - образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

4. Команды обновления следует выполнять из сессии суперпользователя (sudo -s) с высоким уровнем целостности, а не через отдельные команды sudo:

5. После завершения регистрации всех компакт-дисков и образов выполнить команды  для "холостого прогона" установки обновлений (без внесения реальных изменений в систему, ключ -s команды apt), и убедиться, что в результате работы не возникает неустранимых ошибок:

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.

6. Выполнить обновление командами:

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.