Общая информация
| Информация |
|---|
| Оперативное обновление безопасности операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, предназначено для нейтрализации угрозы эксплуатации уязвимостей в информационных системах и совершенствования функциональных возможностей. |
| Подсказка |
|---|
Настоящее обновление безопасности содержит пакеты, в которых устранены угрозы эксплуатации уязвимостей веб-браузера Chromium. |
| Примечание |
|---|
Перечень уязвимостей, закрываемых обновлением, предоставляется в личном кабинете пользователя. |
| Предупреждение |
|---|
| Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки). |
| Информация |
|---|
Настоящее обновление безопасности не является кумулятивным. При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
| Информация |
|---|
Перед установкой настоящего обновления безопасности необходимо установить оперативное обновление 14 (БЮЛЛЕТЕНЬ № 20231226SE16). |
| Примечание |
|---|
После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой В случае применения оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux. |
Порядок установки обновления
Подготовка к установке обновления
| Предупреждение | ||
|---|---|---|
| ||
|
Загрузка и проверка образа диска с обновлением пакетов установочного диска
Скачать образ диска с обновлением пакетов установочного диска с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.14/iso/repository-update-bin20240119SE16MD.iso
либо выполнив команду:Command wget https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.14/iso/repository-update-bin20240119SE16MD.iso
- Перейти в каталог с загруженным образом диска на обновляемой системе и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum -d repository-update-bin20240119SE16MD.iso Контрольная сумма:
Информация icon false a169e776de368d793c4eee9abe47fcc9775b7ec68593234ff7e3fad1d92bc85cee0a5d0df42da645339d39bcd29788dc0e8180601e64d91b72449b5eb02f30ad
- проверка отсоединенной электронной подписи образ образа диска посредством ПО КриптоПро CSP.
Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.14/iso/repository-update-bin20240119SE16MD.iso.sig
либо выполнив команду:Command wget https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.14/iso/repository-update-bin20240119SE16MD.iso.sig
- загруженную электронную подпись поместить поместить в каталог с загруженным образом диска;
перейти в каталог с загруженным образом диска и выполнить проверку, указав в качестве хранилища сертификатов непосредственно саму подпись (ключ -f <имя_файла_подписи>):
Command /opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update-bin20240119SE16MD.iso repository-update-bin20240119SE16MD.iso.sig -f repository-update-bin20240119SE16MD.iso.sig
В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Блок кода Подпись проверена. [ErrorCode: 0x00000000]
говорит о том, что проверка подписи завершена успешно.
Загрузка и проверка образа диска с обновлением пакетов диска со средствами разработки
| Информация |
|---|
| Описываемые в этом разделе действия выполняются только в том случае, если в системе используется программное обеспечение, разработанное с использованием средств разработки. |
Скачать образ диска с обновлением пакетов диска со средствами разработки с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.14/iso/repository20240119SE16MD-update-devdevel.iso
либо выполнив команду:Command wget https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.14/iso/repository20240119SE16MD-update-devdevel.iso
- Перейти в каталог с загруженным образом диска на обновляемой системе и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum -d repository20240119SE16MD-update-devdevel.iso Контрольная сумма:
Информация icon false 9592c51eefe63f47273932cc51e2a349a2072499a798871c49fb9b13bb362cd1d8b61cbb1b8dc97b94decbc7b7aa47c6e05181fc1d8523d7c0b05d3175d7c282
- проверка отсоединенной электронной подписи образ образа диска посредством ПО КриптоПро CSP.
Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.14/iso/repository20240119SE16MD-update-devdevel.iso.sig
либо выполнив команду:Command wget https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.14/iso/repository20240119SE16MD-update-devdevel.iso.sig
- загруженную электронную подпись поместить в каталог с загруженным образом диска;
перейти в каталог с загруженным образом диска и выполнить проверку, указав в качестве хранилища сертификатов непосредственно саму подпись (ключ -f <имя_файла_подписи>):
Command /opt/cprocsp/bin/amd64/cryptcp -verify -detached repository20240119SE16MD-update-devdevel.iso repository20240119SE16MD-update-devdevel.iso.sig -f repository20240119SE16MD-update-devdevel.iso.sig
В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Блок кода Подпись проверена. [ErrorCode: 0x00000000]
говорит о том, что проверка подписи завершена успешно.
| Якорь | ||||
|---|---|---|---|---|
|
Если созданы сетевые репозитории из установочного диска и образа диска с обновлением пакетов установочного диска (см. Создание локальных и сетевых репозиториев) и если на обновляемой системе настроен доступ к этим сетевым репозиториям в файле /etc/apt/sources.list, то установку инструментов для обновления можно выполнить следующими командами:
установка графического инструмента fly-astra-update (при этом будет автоматически установлен инструмент командной строки astra-update):
Command sudo apt update
sudo apt install fly-astra-updateили установка инструмента командной строки astra-update:
Command sudo apt update
sudo apt install astra-update
Установка
fly-astra-update/astra-update из образа обновленияПримонтировать загруженный образобновления
пакетов установочного диска, например, в каталог /media/cdrom:| Command |
|---|
| sudo mount /mnt/repository-update-bin.iso /media/cdrom |
только инструмент командной строки astra-update:
| Command |
|---|
sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb |
или инструмент командной строки astra-update и графический инструмент fly-astra-update:
| Command |
|---|
sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb |
Отмонтировать образ:
| Command |
|---|
| sudo umount /media/cdrom |
Установка обновления
Установка обновленияс использованием сетевых репозиториев
Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов:
- Обязательные репозитории:
- установочный диск;
- диск с обновлением пакетов установочного диска.
- Дополнительные репозитории:
- диск со средствами разработки;
- диск с обновлением пакетов диска со средствами разработки.
И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:
| Command |
|---|
| sudo astra-update -a -r |
Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).
Установка обновления с использованием локальных копий ISO-образов
Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:
- Обязательные репозитории:
- установочный диск;
- диск с обновлением пакетов установочного диска.
- Дополнительные репозитории:
- диск со средствами разработки;
- диск с обновлением пакетов диска со средствами разработки.
ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:
| Command |
|---|
| sudo astra-update -A /mnt/<имя_образа_установочного_диска> /mnt/repository-update-bin20240119SE16MD.iso /mnt/<имя_образа_диска_со_средствами_разработки> /mnt/repository20240119SE16MD-update-devdevel.iso |
В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании инструментов fly-astra-update и astra-update.
Завершение установки обновления
| Предупреждение |
|---|
После выполнения обновления перезагрузить систему. |
Действия после установки обновления
| Примечание |
|---|
Описанные ниже действия не обязательны и выполняются по необходимости. |
Подключение интернет-репозиториев Astra Linux
| Информация |
|---|
| Действия по подключению интернет-репозиториев Astra Linux описаны в статье Интернет-репозитории Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) |
Если необходимо использовать предыдущие версии репозиториев, то в файле /etc/apt/sources.list необходимо удалить (закомментировать) строку с описанием текущего актуального репозитория и добавить следующую строку (при использовании протокола HTTPS):
| Блок кода |
|---|
# Основной репозиторий (установочный диск)
deb https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.<номер_оперативного_обновления>/repository smolensk main contrib non-free
# Актуальное оперативное обновление основного репозитория
deb https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.<номер_оперативного_обновления>/repository-update/ smolensk main contrib non-free
# Диск со средствами разработки
deb https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.<номер_оперативного_обновления>/repository-dev/ smolensk main contrib non-free
# Актуальное оперативное обновление диска со средствами разработки
deb https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.<номер_оперативного_обновления>/repository-dev-update/ smolensk main contrib non-free |
Например, для Astra Linux 1.6.11 строки будут иметь вид:
| Блок кода |
|---|
deb https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/repository smolensk main contrib non-free
deb https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/repository-update/ smolensk main contrib non-free
deb https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/repository-dev/ smolensk main contrib non-free
deb https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/repository-dev-update/ smolensk main contrib non-free |
После добавления интернет-репозитория необходимо выполнить повторную синхронизацию файлов описаний пакетов с их источником:
| Command |
|---|
sudo apt update |
Добавление корневого сертификата удостоверяющего центра Минцифры России
| Информация |
|---|
Начиная с оперативного обновления 1.6.11 в Astra Linux добавлен пакет |
| Примечание |
|---|
Добавление корневого сертификата необходимо выполнить после установки пакета |
Добавление корневого сертификата в Firefox
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
- В адресную строку ввести "
about:preferences" и нажать клавишу <Enter>. - На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
- В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать...].
- В открывшемся окне импорта выбрать файл
/etc/ssl/certs/rootca_MinDDC_rsa2022.pemи нажать на кнопку [Открыть]. - В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
- В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].
Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:
| Блок кода |
|---|
The Ministry of Digital Development and Communications
Russian Trusted Root CA |
Добавление корневого сертификата в Chromium
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
- В адресную строку ввести "
chrome://settings/certificates" и нажать клавишу <Enter>. - На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
- В открывшемся окне импорта выбрать файл
/etc/ssl/certs/rootca_MinDDC_rsa2022.pemи нажать на кнопку [Открыть]. - В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].
После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:
| Блок кода |
|---|
| org-The Ministry of Digital Development and Communications Russian Trusted Root CA |