===================
Уважаемые пользователи!
Мы заботимся о качестве предоставляемых Вам продуктов и услуг, поэтому при обнаружении недостатков не боимся открыто говорить об этом и прилагаем все усилия, чтобы как можно быстрее исправить ситуацию.
Поэтому, обнаружив в настоящем оперативном обновлении ошибку в механизме безопасного удаления данных на дисках при использовании ядра 4.15, мы закрыли возможность скачивания этого обновления.
Выявленная ошибка устранена в оперативном обновлении БЮЛЛЕТЕНЬ № 20210730SE16 (оперативное обновление 8).
Приносим свои извинения за временные неудобства!
===================
| Оглавление |
|---|
| Предупреждение |
|---|
Перед установкой обновлений рекомендуется ознакомиться с инструкциями: |
Общая информация
Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6).
| Предупреждение |
|---|
|
Данное обновление включает в себя:
- БЮЛЛЕТЕНЬ № 20210317SE16MD
- БЮЛЛЕТЕНЬ № 20210128SE16MD
- БЮЛЛЕТЕНЬ № 20201207SE16MD
- БЮЛЛЕТЕНЬ № 20200921SE16MD
- БЮЛЛЕТЕНЬ № 20200807SE16MD
- БЮЛЛЕТЕНЬ № 20200722SE16 - Update 6
- БЮЛЛЕТЕНЬ № 20200526SE16MD
- БЮЛЛЕТЕНЬ № 20200327SE16 - Update 5
- БЮЛЛЕТЕНЬ № 20191029SE16 - Update 4
- БЮЛЛЕТЕНЬ № 20190912SE16 - Update 3
- БЮЛЛЕТЕНЬ № 20190712SE16MD
- БЮЛЛЕТЕНЬ № 20190621SE16MD
- БЮЛЛЕТЕНЬ № 20190529SE16MD
- БЮЛЛЕТЕНЬ № 20190222SE16 - Update 2
- БЮЛЛЕТЕНЬ № 20181229SE16 - Update 1
| Предупреждение |
|---|
| Всё программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими оперативными обновлениями. |
| Предупреждение |
|---|
Совместимость версий ПК СВ Брест с оперативными обновлениями ОС СН Astra Linux |
Известные проблемы и их решения
Требующие действий перед установкой обновления
Недостаточно места в дисковом разделе /boot
...
Размеры дисковых разделов можно проверить командой:
| Command |
|---|
| lsblk |
Если обновление устанавливается на только что установленную ОС с разметкой LVM, выполненной по умолчанию (а именно - размер дискового раздела /boot менее 512МБ, по умолчанию 234МБ), то:
...
либо увеличить размер дискового раздела /boot до 512МБ:
либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным:
удалить ядро hardened командой:
| Command |
|---|
| sudo apt remove linux-image-4.15.3-1-hardened |
...
Подключить обновления и выполнить их установку обновление.
...
Перезагрузить ОС, загрузившись с использованием ядра 4.15.3-2-generic
...
При необходимости использовать ядро hardened, повторно установить ядро hardened командой:
| Command |
|---|
| sudo apt install linux-image-4.15.3-2-hardened linux-astra-modules-4.15.3-2-hardened |
и повторно перезагрузить ОС с использованием ядра hardened
См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.
Требующие действий после установки обновления
Обновление гостевых дополнений VirtualBox
Если обновляемая ОС установлена на виртуальной машине Oracle VirtualBox и в обновляемой ОС установлены гостевые дополнения VirtualBox то после установки нового ядра и до перезагрузки ОС следует переустановить гостевые дополненияVirtual Box (см. Установка Virtualbox).
После установки нового ядра и успешной перезагрузки с обновленным ядром рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:
| Command |
|---|
| uname -r |
Для удаления пакетов, относящихся к неиспользуемым ядрам, можно использовать следующий сценарий, выполняемый от имени суперпользователя с высоким уровнем целостности:
| Блок кода |
|---|
#!/bin/bash
set -e
pkgs=`dpkg -l \
linux-image-4.15.3-1-generic \
linux-image-4.15.3-1-hardened \
linux-image-4.15.3-2-generic \
linux-image-4.15.3-2-hardened \
linux-image-4.15.3-3-generic \
linux-image-4.15.3-3-hardened \
linux-image-5.4.0-54-generic \
linux-image-5.4.0-54-hardened \
2> /dev/null | grep "^ii" | cut -d " " -f3 | \
grep -v ^linux-image-$(uname -r | cut -d '-' -f1-2)`
[ -n "$pkgs" ] && apt remove $pkgs
rm -f /boot/old-* |
или выборочно удалить пакеты вручную с помощью команды apt remove.
Загрузка и проверка образов обновления
Образ диска с обновлением доступен для скачивания по ссылке: https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210611SE16/20210611SE16.iso.
Загруженный iso-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы.
Для получения контрольной суммы выполнить команду:
| Command |
|---|
| gostsum -d /mnt/20210611SE16.iso |
Контрольная сумма:
| Информация | ||
|---|---|---|
| ||
b6d3ce5127f90ea4cad1d835f4142ec07fde47b09af0c03355bad16e8d453811 |
| Подсказка |
|---|
| Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty |
...
Порядок установки обновления
Перед установкой данного обновления ознакомиться с разделом "Известные проблемы и их решения" настоящего бюллетеня, и обеспечить выполнение рекомендаций этого раздела.
Для установки этого обновления и следующих обновлений рекомендуется установить и использовать инструменты fly-astra-update и astra-update - инструменты для установки обновлений.
| Предупреждение | ||
|---|---|---|
| ||
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. |
Начиная с оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) в состав пакетов Astra Linux включены пакеты для автоматизации установки обновлений:
- инструмент командной строки - пакет astra-update;
- графический инструмент - пакет fly-astra-update.
Для установки оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) и последующих оперативных обновлений рекомендуется использовать эти инструменты. Если инструмент (инструменты) не были установлены ранее, то установить их.
Подготовка к установке
Установка fly-astra-update/astra-update из репозитория
Если доступен репозиторий пакетов, содержащий пакеты обновления установку можно выполнить командами:
| Command |
|---|
| sudo apt update sudo apt install fly-astra-update |
или инструмент astra-update:
| Command |
|---|
sudo apt update |
Установка fly-astra-update/astra-update из образа обновления
Примонтировать загруженный образ обновления:
| Command |
|---|
| sudo mount /mnt/20210611SE16.iso /media/cdrom |
Установить пакеты: пакет astra-update:
| Command |
|---|
sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb |
или пакет fly-astra-update:
| Command |
|---|
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb |
Установка обновления
Дальнейшую установку оперативных обновлений выполнять с помощью установленных инструментов.
В простейшем случае (если не используются диски со средствами разработки и имеется скопированный образ установочного диска) обновление может быть выполнено командой:
| Command |
|---|
| sudo astra-update -a -n /mnt/20210611SE16.iso <имя_образа_установочного диска> |
Для более сложных схем обновления инструкция по использованию инструментов astra-update и fly-astra-update доступна по ссылке: fly-astra-update и astra-update - инструменты для установки обновлений
Установка обновления без использования инструментов fly-astra-update и astra-update.
...
| Предупреждение |
|---|
При установке оперативных обновлений без использования инструментов fly-astra-update/astra-update недопустимо использовать опцию обновления upgrade (команду sudo apt upgrade), следует использовать только опцию dist-upgrade (команду sudo apt dist-upgrade). |
Установку настоящего оперативного обновления и последующих оперативных обновлений рекомендуется выполнять с использованием пакетов astra-update или fly-astra-update.
| Предупреждение | ||
|---|---|---|
| ||
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. |
1. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться в том, что зарегистрирован и доступен установочный диск, для чего просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:
| Command |
|---|
sudo apt-cdrom add |
2. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации повторить для всех компакт-дисков.
3. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:
| Command |
|---|
|
на вопрос об имени диска ввести "20210611SE16".
Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать из параллельной терминальной сессии.
| Примечание |
|---|
Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления. |
...
В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.
При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск 1.6 и файла - образа диска с обновлениями переключать носители не потребуется.
При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:
| Command |
|---|
sudo mount /mnt/20210611SE16.iso /media/cdrom |
4. Команды обновления следует выполнять из сессии суперпользователя (sudo -s) с высоким уровнем целостности, а не через отдельные команды sudo:
| Информация |
|---|
|
5. После завершения регистрации всех компакт-дисков и образов выполнить команды для "холостого прогона" установки обновлений (без внесения реальных изменений в систему, ключ -s команды apt), и убедитесь, что в результате работы не возникает неустранимых ошибок:
| Command |
|---|
|
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.
6. Выполнить обновление командами:
| Command |
|---|
|
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.
Завершение установки обновления
...
Независимо от выбранного способа установки если на момент установки настойщего обновления установлено ядро версии 5.4 из репозитория BSP обновления БЮЛЛЕТЕНЬ № 20200722SE16 - Update 6, то перед перезагрузкой необходимо выполнить установку пакета linux-5.4 из текущего обновления. Для этого выполнить команду:
| Command |
|---|
| sudo apt install linux-5.4 |
| Предупреждение |
|---|
После выполнения обновления необходимо перезагрузить систему. |
| Предупреждение | ||
|---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями. |
| Информация |
|---|
Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы). |
Список уязвимостей, закрываемых обновлением №20210611SE16 (оперативное обновление 7)
...