Якорь
Важная информация Важная информация

Важная информация

1. Ядро Linux 5.4, представленное в оперативном обновлении 4.7.9, включает изменения из релиза прошивки Baikal ARM64 SDK 2506-5.4 для процессоров Байкал-M и Байкал-S. Версии прошивки выше SDK 2506-5.4 не поддерживаются.
   Ядро Linux 6.1, представленное в оперативном обновлении 4.7.9, включает изменения из релиза прошивки Baikal ARM64 SDK 2506-6.1 для процессоров Байкал-M и Байкал-S. Версии прошивки выше SDK 2506-6.1 не поддерживаются.

   Предупреждение
   title ВНИМАНИЕ!
   Ядра Linux 5.10 и 5.15, представленные в настоящем обновлении, не совместимы с аппаратной платформой Байкал.

2. В системах с включенным механизмом мандатного контроля целостности обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
3. Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях.

4. Перед установкой обновлений необходимо:

   • ознакомиться с настоящей инструкцией;
   • ознакомиться с инструкцией: fly-astra-update и astra-update - инструменты для установки обновлений.

5. При использовании устаревшего ядра linux версии 5.4 ограничено функционирование модуля контроля неизменности (целостности) и подлинности файлов (digsig_verif):

   • поддерживается только режим проверки встраиваемой подписи (параметр DIGSIG_ELF_VERIFICATION_MODE=0). Возможность изменения режима отсутствует;
   • отсутствует интерфейс внутренней архитектуры /sys/digsig/elf_verification_mode (реализует режим проверки цифровой подписи исполняемых файлов и разделяемых библиотек).

   Рекомендуется установить ядро linux версии 5.15 или 6.1

6. Начиная с оперативного обновления 4.7.5 (БЮЛЛЕТЕНЬ № 2024-0416SE47) в среде виртуализации Astra Linux применяются обновленные правила мандатного управления доступом (МРД). При использовании среды виртуализации после установки настоящего обновления необходимо выполнить дополнительные действия по добавлению пользователя в группу libvirt-admin.

Возможные варианты установки обновления

Установка обновления программного обеспечения основного репозитория (main) с использованием образа диска с обновлением

Загрузка и проверка образа диска с обновлением

1. Скачать образ диска с обновлением с помощью веб-браузера по следующей ссылке: 
   https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/iso/repository-update.iso
   либо выполнив команду: 

   Command
   wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/iso/repository-update.iso

   Информация
   Ссылка на образ диска c обновлением также предоставляется в личном кабинете пользователя.

   
   

2. Перейти в каталог с загруженным образом диска и выполнить проверку. Возможные варианты проверки:

   • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

     Command
     gostsum -d repository-update.iso

     Контрольная сумма:

     Информация
     icon false
     4a656edab54bc29025da85283867dd3cb09f87c8ed52666cd1541550dbf6cc78

     
     

   • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
     Порядок проверки:

     1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/iso/repository-update.iso.sig
        либо выполнив команду:

        Command
        wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/iso/repository-update.iso.sig

        Информация
        Ссылка на усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" также предоставляется в личном кабинете пользователя.

        
        

     2. загруженную электронную подпись поместить в каталог с загруженным образом диска;

     3. перейти в каталог с загруженным образом диска и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command
        /opt/cprocsp/bin/aarch64/cryptcp -verify -detached repository-update.iso repository-update.iso.sig -f repository-update.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
        Подпись проверена. [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории из установочного диска и образа диска с обновлением (см. Создание локальных и сетевых репозиториев) и если на обновляемой системе настроен доступ к этим сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).

Установка обновления с использованием локальной копии образа диска с обновлением

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий образа установочного диска и образа диска с обновлением. Образы дисков могут быть сохранены как локальные файлы, или размещены на подключаемом съемном носителе. Установка обновления в таком случае может быть выполнена командой:

В приведенном примере предполагается, что образы дисков скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании инструментов fly-astra-update и astra-update.

Установка обновления основного репозитория (main) с использованием зафиксированной ветки интернет-репозитория Astra Linux

1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить следующие строки:

   Блок кода
   # Основной репозиторий: deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-main/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free # Оперативное обновление основного репозитория: deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-update/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free

    Пример для аппаратно-зависимого компонента baikal1:

   Блок кода
   # Основной репозиторий, включая аппаратно-зависимый компонент baikal1: deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-main/ 4.7_arm baikal1 main contrib non-free # Оперативное обновление основного репозитория, включая аппаратно-зависимый компонент baikal1: deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-update/ 4.7_arm baikal1 main contrib non-free

   
   

2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

   Command
   sudo apt update

   
   

3. Установить обновление, выполнив команду:

   Command
   sudo astra-update -a -r -T

   
   

Установка обновления пакетов базового репозитория (base) с использованием зафиксированной ветки интернет-репозитория Astra Linux

1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить следующую строку:

   Блок кода
   deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-base/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free

   Пример для аппаратно-зависимого компонента baikal1:

   Блок кода
   deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-base/ 4.7_arm baikal1 main contrib non-free

   
   

2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

   Command
   sudo apt update

3. Установить обновление, выполнив команду: 

   Command
   sudo astra-update -a -r -T

   
   

Установка обновления пакетов базового репозитория (base) с использованием образа диска обновленного базового репозитория (base)

1. Скачать образ диска обновленного базового репозитория по ссылке, представленной в личном кабинете.

2. Перейти в каталог с образом диска обновленного базового репозитория.

3. Выполнить проверку. Возможные варианты проверки:

   • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

     Command
     gostsum -d base-4.7.9.2-28.11.2025_23.44.iso

     Контрольная сумма:

     Информация
     icon false
     ceb532da54a5df8c24d92c40f0c3b3524dfcf0f5cb8348477f62487250f45dbe

     
     

   • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
     Порядок проверки:

     1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" по ссылке, представленной в личном кабинете;

     2. загруженный файл электронной подписи поместить в каталог с образом диска обновленного базового репозитория;

     3. перейти в каталог с образом диска обновленного базового репозитория и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command
        /opt/cprocsp/bin/aarch64/cryptcp -verify -detached base-4.7.9.2-28.11.2025_23.44.iso base-4.7.9.2-28.11.2025_23.44.iso.sig -f base-4.7.9.2-28.11.2025_23.44.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
        Подпись проверена. [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

4. Примонтировать образ диска обновленного базового репозитория:

   Command
   sudo mount base-4.7.9.2-28.11.2025_23.44.iso /media/cdrom/

   
   

5. Подключить примонтированный образ диска обновленного базового репозитория в качестве источников пакетов:

   Command
   sudo apt-cdrom add -m

   
   

6. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 
   

   Command
   sudo apt update

   
   

7. Установить обновление, выполнив команду: 

   Command
   sudo astra-update -a -r -T

   
   

Завершение установки обновления

Действия после установки обновления

Якорь
Активация Astra Linux Активация Astra Linux

Активация Astra Linux

В состав Astra Linux включена подсистема активации продуктов Группы Астра.

Начиная с очередного обновления 4.9 активация может потребоваться для перевода программного обеспечения Astra Linux в полнофункциональный режим, позволяющий выполнять все функции в соответствии с документацией и приобретенной лицензией. При этом легальность использования программного обеспечения Astra Linux подтверждается и будет подтверждаться исключительно лицензионным договором и ничем иным.

После установки настоящего обновления в окне программы «Информация о системе» для пользователей, которые входят в системную группу astra-admin будет отображена следующая информация:

• в строке Статус лицензии — «Не активирована»;

• в строке Исполнение —«Не определено». Данное значение отображается, если в системе не установлен пакет, указывающий на вариант лицензирования Astra Linux. Пакет, который соответствует варианту лицензирования, пользователю необходимо установить самостоятельно (см. ниже).

Для активации установленной копии Astra Linux следует выполнить действия, описанные ниже.

1. Установить настоящее обновление.
2. Установить один из пакетов, которые используются для идентификации варианта лицензирования Astra Linux:
   • astra-subscription-desktop — для рабочей станции;
   • astra-subscription-server — для сервера;
   • astra-subscription-embedded — для специализированных устройств;
   • astra-subscription-mobile — для мобильного устройства.

   Вариант лицензирования Astra Linux указан в приобретенной лицензии. Описание варианта лицензирования представлено в документе «Лицензионное соглашение с конечным пользователем по использованию операционной системы специального назначения «Astra Linux Special Edition» (доступен на странице https://astra.ru/info/law/).

   Информация
   title Пример
   Для установки пакета astra-subscription-desktop выполнить команду: Command sudo apt install astra-subscription-desktop

   Для обновления информации, отображаемой в окне программы «Информация о системе», программу необходимо перезапустить.
   После установки пакета в окне программы «Информация о системе» для пользователей, которые входят в системную группу astra-admin, в строке Исполнение будет отображен вариант лицензирования Astra Linux:

   • «Desktop» — для рабочей станции;
   • «Server» — для сервера;
   • «Embedded» — для специализированных устройств;
   • «Mobile» — для мобильного устройства.
3. Содержание файла /etc/astra-subscription/common.yaml привести к следующему виду:
   

   Блок кода
   language yml
   server: baseurl: "https://lk.astra.ru" prefix: "/api/integrations/candlepin" insecure: false port: 443 logging: syslog: true

    
4.  Зарегистрировать хост, на котором установлена копия Astra Linux, в личном кабинете пользователя командой:
   

   Command
   sudo astra-subscription register --username=<имя_пользователя> --password="<пароль>"

   где <имя_пользователя> и <пароль> — соответственно имя и пароль пользователя, которые используется для доступа в личный кабинет. 
   Допускается не указывать в команде имя и пароль пользователя. В этом случае они будут запрошены в интерактивном режиме в процессе выполнения команды.
   Пример вывода после успешной регистрации хоста в личном кабинете пользователя:
   

   Блок кода
   Статус регистрации: Зарегистрирован ID клиента: 8165ea5a-074d-4b78-...-e7b96cc1951b

5. Якорь
   шаг5 шаг5

   Вывести перечень доступных пулов лицензий на использование Astra Linux:
   

   Command
   astra-subscription status --available --list

   и зафиксировать идентификатор пула лицензий (ID пула). Пример вывода после выполнения команды:
   

   Блок кода
   ID пула: 8a888403987...72a82 ID продукта: 1040104007 Имя продукта: ALSE desktop 4.7 Статус активации: Не активирован Доступно активаций: 1 Режим защищенности: Максимальный

6. Активировать копию Astra Linux:
   

   Command
   sudo astra-subscription attach --pool-id=<идентификатор_пула_лицензий>

   Пример вывода после успешной активации копии Astra Linux:

   Блок кода
   Статус прикрепления: Прикреплено Активированные продукты: 1040104007

   
   

7. Якорь
   шаг 7 шаг 7

   Вывести информацию о статусе копии Astra Linux:
   

   Command
   astra-subscription status

   Пример вывода после выполнения команды:
   

   Блок кода
   ID продукта: 1040104007 Имя продукта: ALSE Desktop 4.7 Статус активации: Активировано Серийный номер: 59DF14D4618...83B32FD5C01 Действительно с: 2021-05-14 21:00:00 Действительно до: 2071-05-03 20:59:59 Версия: 1.7 Режим защищенности: Максимальный

Деактивация копии Astra Linux

При необходимости копия Astra Linux может быть деактивирована. Это позволит заменить хост, на котором была установлена и активирована Astra Linux, без увеличения количества активированных копий.

Для деактивации копии Astra Linux, установленной на хосте, необходимо выполнить команду:

где <серийный_номер> — серийный номер активированной копии Astra Linux. Вывести серийный номер можно с помощью команды astra-subscription status (см. шаг 7 подраздела Активация Astra Linux).

Пример вывода после успешного выполнения команды:

Активация удалена

После выполнения команды будет отменена регистрация хоста в личном кабинете. В личном кабинете пользователя счетчик Использовано уменьшится на единицу.

Якорь
Отмена регистрации хоста Отмена регистрации хоста

Отмена регистрации хоста

При необходимости можно отменить регистрацию хоста, на котором установлена Astra Linux. Это позволит заменить хост, на котором была установлена и активирована Astra Linux, без увеличения количества активированных копий. Также требуется отменить регистрацию хоста перед заменой его комплектующих.

Для отмены регистрации хоста выполнить команду:

Пример вывода после успешного выполнения команды:

Статус регистрации: Не зарегистрирован

В процессе выполнения команды будет произведена деактивация копии Astra Linux и отменена регистрация хоста в личном кабинете. В личном кабинете пользователя счетчик Использовано уменьшится на единицу.

Повторная активация копии Astra Linux

Если на хосте возникла необходимость заново установить Astra Linux (например, после критического сбоя), то после повторной установки Astra Linux требуется перерегистрировать этот хост в личном кабинете. Для этого на хосте выполнить команду:

где <имя_пользователя> и <пароль> — соответственно имя и пароль пользователя, которые используется для доступа в личный кабинет. 
Допускается не указывать в команде имя и пароль пользователя. В этом случае они будут запрошены в интерактивном режиме в процессе выполнения команды.
В процессе выполнения команды будет произведена деактивация копии Astra Linux и регистрация хоста в личном кабинете. После этого необходимо выполнить действия начиная с шага 5 подраздела Активация Astra Linux.

Якорь
libvirt-admin libvirt-admin

Добавление пользователя в группу libvirt-admin

Пользователи-участники группы libvirt-admin могут без использования sudo работать с виртуальными машинами, виртуальными сетями и хранилищами данных. До установки оперативного обновления 4.7.5 (БЮЛЛЕТЕНЬ № 2024-0416SE47) эта группа использовалась только в Astra Linux с включенным мандатным управлением доступом (включен по умолчанию на максимальном уровне защищенности). После установки обновлений, начиная с оперативного обновления 4.7.5 (БЮЛЛЕТЕНЬ № 2024-0416SE47), необходима также и при выключенном мандатным управлением доступом. Команда для добавления пользователя в группу libvirt-admin:

Для того, чтобы добавление в группы вступило в силу, нужно перезапустить пользовательскую сессию. 

См. также Виртуализация QEMU/KVM в Astra Linux