Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Кумулятивное обновление для оперативное обновление для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия очередное обновление 1.6).

Предупреждение

Данное обновление включает в себя:



Предупреждение
Перед установкой оперативных обновлений рекомендуется ознакомиться с подробной инструкцией по
установке обновлений ОС Astra Linux с компакт-дисков.


Предупреждение
Всё программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими оперативными обновлениями безопасности.


Предупреждение

Архив ⬝ Совместимость версий ПК СВ "Брест" с обновлениями безопасности ОС СН Astra Linux SESpecial Edition



Предупреждение
Перед установкой данного обновления ознакомиться с разделом "Известные проблемы и их решения" настоящего бюллетеня, и обеспечить выполнение рекомендаций этого  раздела.


Информация

Для установки обновления рекомендуется использовать fly-astra-update и astra-update - инструмент инструменты для установки обновлений безопасности.

Без использования astra-update обновление можно выполнить в соответствии с инструкцией, приведенной ниже: 

1. Загрузить образ диска с обновлениями по ссылке:

Скачать


Информация
Обновление диска со средствами разработки, соответствующее бюллетеню № 20200327SE16, доступно по ссылке.


Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

Command
gostsum -d /mnt/20200327SE16.iso

Контрольная сумма:

Информация
iconfalse

2c3328f05407b3cf0269b5b95a45190b5a632fddf4f0b01b8682e340cfeaa74d


Подсказка
Обновление безопасности Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikatyПорядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.


Предупреждение
titleВнимание

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (версия очередное обновление 1.6)

3. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться  в том, что зарегистрирован и доступен установочный диск, для чего
просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

Command
sudo apt-cdrom add

4. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации  повторить для всех компакт-дисков.

5. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:

Command

sudo mount /mnt/20200327SE16.iso /media/cdrom
sudo apt-cdrom -m add
sudo umount /media/cdrom

на вопрос об имени диска ввести "20200327SE16".

Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать из параллельной терминальной сессии.

Примечание

Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.


Примечание

В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.

При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и файла - образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

Command
sudo mount /mnt/20200327SE16.iso /media/cdrom


6. Команды обновления следует выполнять из сессии суперпользователя (sudo -s) с высоким уровнем целостности, а не через отдельные команды sudo:

Информация

sudo -s
... команды ...
exit

7. После завершения регистрации всех компакт-дисков и образов выполнить команды  для "холостого прогона" установки обновлений (без внесения реальных изменений в систему, ключ -s команды apt), и убедитесь, что в результате работы не возникает неустранимых ошибок:

Command

sudo -s
apt update
apt -s dist-upgrade
exit

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.

8. Выполнить обновление командами:

Command

sudo -s
apt update

apt dist-upgrade
apt -f install
exit

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.


Предупреждение

После выполнения обновления необходимо перезагрузить систему.

После завершения выполнения указанных команд обновление операционной системы будет выполнено .

Предупреждение
titleВнимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsumgostsums.txt, расположенного в корневом каталоге диска с обновлениями.


Информация

Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам  (каталогам файловой системы). 

ЯкорьKnown_problems_and_solutionsKnown_problems_and_solutions

Известные проблемы и их решения

Требующие действий перед установкой обновления

Недостаточно места в дисковом разделе /boot

Информация

Размеры дисковых разделов можно проверить командой:

Command
lsblk



Если обновление устанавливается на только что установленную ОС с разметкой LVM, выполненной по умолчанию (а именно - размер дискового раздела /boot менее 512МБ, по умолчанию 234МБ), то:

  1. либо увеличить размер дискового раздела /boot до 512МБ:

  2. либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным:

    1. удалить ядро hardened командой:

      Command
      sudo apt remove linux-image-4.15.3-1-hardened


    2. Подключить обновления и выполнить их установку обновление.

    3. Перезагрузить ОС, загрузившись с использованием ядра 4.15.3-2-generic

    4. При необходимости использовать ядро hardened, повторно установить ядро hardened командой:

      Command
      sudo apt install linux-image-4.15.3-2-hardened linux-astra-modules-4.15.3-2-hardened

      и повторно перезагрузить ОС с использованием ядра hardened

См. также статью Увеличение размера дискового раздела boot при стандартной разметке LVM. Краткая инструкция.

Требующие действий после установки обновления

Не запущены модули ядра для KMS

Информация

Проблема пожет появляться на системах, использующих бинарные драйверы NVidia или виртуальных системах, не использующих KMS (например, hyper-v).
Проблема проявляется в том, что после перезагрузки не запускается графическая сессия.

Проверить наличие запущенных модулей ядра можно командой:

Command
lsmod | grep -E "nouveau|i915|amdgpu"



  1. Если на обновлённом компьютере не запущены модули ядра для KMS (такие, как nouveau, i915, amdgpu), то установить обновление по обычной процедуре;
  2. После обновления пакетов fly-dm, fly-qdm в файле /etc/X11/fly-dm/fly-dmrc раскомментировать строку 

    Информация
    #ServerUID=

    и заменить на

    Информация
    ServerUID=root

    Если файла /etc/X11/fly-dm/fly-dmrc или такого параметра в файле нет то файл можно создать командой:

    Command
    sudo genfly-dmconf


  3. После указанных действий завершить установку обновления, выполнив перезагрузку.

Проблема с печатью по протоколу HTTP на сетевой raw-принтер.

См. Устранение проблемы печати по протоколу HTTP на сетевой raw-принтер

Список уязвимостей, закрываемых обновлением №20200327SE16 Update 5

Список улучшений функциональности, предоставляемых обновлением №20200327SE16 Update 5