Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Warning

Если ранее было установлено обновление БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) , то настоящее обновление должно быть установлено в приоритетном порядке для устранения проблем, выявленных в ранее установленном обновлении.

Перед установкой обновления ознакомиться с разделом Известные проблемы и их решения.

Для установки настоящего обновления допускается использовать инструменты fly-astra-update и astra-update, ранее установленные из обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7).


Table of Contents





Warning

Всё программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими оперативными обновлениями.


Warning

Совместимость версий ПК СВ Брест с обновлениями ОС Astra Linux Special Edition


Общая информация

Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6).

Info
titleДанное обновление содержит:

Данное обновление включает в себя:

Известные проблемы и их решения
Anchor
KnownProblems
KnownProblems

Тестирование обновления перед установкой

Warning

Перед массовой установкой обновления на находящиеся в эксплуатации машины в обязательном порядке выполнить проверку работоспособности машин после установки обновления и перезагрузки путем установки обновления на тестовых машинах в типичных конфигурациях.


При установке недоступны пакеты, расположенные на основном установочном диске

Если установочный диск и образ обновления подключены с помощью apt-cdrom (нерекомендуемый способ установки обновлений, см. статью Установка оперативных обновлений Astra Linux Special Edition с компакт-дисков), то выполнение обновления может завершаться ошибкой из-за не найденных пакетов. При возникновении подобных ошибок:

  1. Удалить из файла /etc/apt/sources.list все зарегистрированные диски, кроме установочного диска;
  2. Выполнить команду:

    Command
    sudo apt update


  3. Установить не найденные пакеты с установочного диска;
  4. Повторить процедуру регистрации образов дисков обновления и установки обновления в соотвествии с инструкцией Установка оперативных обновлений Astra Linux Special Edition с компакт-дисков;

Возможный вариант комплекта необходимых пакетов и команда для их установки:

Command

sudo apt install libvulkan1 libxml* libev4 qdbus-qt5 libunwind8

Для предупреждения возникновения подобных ошибок следует использовать обновление из сетевых репозиториев Astra Linux (см. Создание локальных и сетевых репозиториев) или ISO-образов Astra Linux с помощью инструментов fly-astra-update и astra-update (порядок установки этих инструментов для вполнения настоящего обновления см. Подготовка к установке).

Недостаточно места в дисковом разделе /boot

Info

Размеры дисковых разделов можно проверить командой:

Command
lsblk


Если обновление устанавливается на только что установленную ОС с разметкой LVM, выполненной по умолчанию (а именно - размер дискового раздела /boot менее 512МБ, по умолчанию 234МБ), то:

  1. Либо увеличить размер дискового раздела /boot до 512МБ:

  2. Либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным:

    1. Получить список установленных ядер:

      Command
      dpkg --list | grep linux-image


    2. Удалить неиспользуемое ядро (ядра). Например, удалить ядро 4.15.3-1-hardened командой:

      Command
      sudo apt remove linux-image-4.15.3-1-hardened


    3. Выполнить установку обновления;

    4. Перезагрузить ОС, загрузившись с использованием нового ядра;

    5. При необходимости - установить дополнительные ядра, например 4.15.3-141-hardened:

      Command
      sudo apt install linux-image-4.15.3-2-hardened linux-astra-modules-4.15.3-141-hardened

      Для загрузки установленного ядра перезагрузить ОС.

См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция

Доустановка пакета linux-5.4

Если на момент выполнения обновления установлено ядро версии 5.4 из репозитория BSP обновления БЮЛЛЕТЕНЬ № 20200722SE16 (оперативное обновление 6), то после выполнения обновления и перед перезагрузкой необходимо установить пакет linux-5.4. Для этого выполнить команду: 

Command
sudo apt install linux-5.4

Действия при обновлении ядра

Обновление гостевых дополнений VirtualBox при обновлении ядра

Если обновляемая ОС установлена на виртуальной машине Oracle VirtualBox и в этой ОС установлены гостевые дополнения VirtualBox, то после установки нового ядра и до перезагрузки ОС следует переустановить гостевые дополнения VirtualBox (см. статью Установка VirtualBox).

Удаление неиспользуемых пакетов после обновления ядра

После установки нового ядра и успешной перезагрузки с обновленным ядром для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:

Command
uname -r

Для удаления пакетов, относящихся к неиспользуемым ядрам, можно использовать следующий сценарий, выполняемый от имени администратора с высоким уровнем целостности:

Code Block
#!/bin/bash

set -e

pkgs=`dpkg -l \
linux-image-4.15.3-1-generic \
linux-image-4.15.3-1-hardened \
linux-image-4.15.3-2-generic \
linux-image-4.15.3-2-hardened \
linux-image-4.15.3-3-generic \
linux-image-4.15.3-3-hardened \
linux-image-4.15.3-141-generic \
linux-image-4.15.3-141-hardened \
linux-image-5.4.0-54-generic \
linux-image-5.4.0-54-hardened \
2> /dev/null | grep "^ii" | cut -d " " -f3 | \
grep -v ^linux-image-$(uname -r | cut -d '-' -f1-2)`

[ -n "$pkgs" ] && apt remove $pkgs
rm -f /boot/old-*

или выборочно удалить пакеты вручную с помощью команды apt remove.

Обновление драйверов Nvidia при обновлении ядра

После обновления ядра ОС при установке данного обновления становится возможна установка драйверов Nvidia для ядра 5.4.0-71.

Warning
Если ранее было установлено ядро 5.4.0-34 и были установлены драйверы Nvidia без DKMS для этого ядра, необходимо после установки обновления и до перезагрузки обновить драйверы.
Инструкции по установке драйверов доступны по ссылке Драйверы видеокарт Nvidia для Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.6на платформе x86-64.


Загрузка и проверка образов обновления

Образ диска с обновлением доступен для скачивания по ссылке:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210730SE16/20210730SE16.iso.

Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы.
Для получения контрольной суммы выполнить команду:

Command
gostsum -d /mnt/20210730SE16.iso

Контрольная сумма:

Info
iconfalse

120f9e73aa7e79a1ca4e858fe359db6601bf2b0909e57a52950dd65c988cecb9


Tip

Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра":
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210730SE16/20210730SE16.iso.sig

Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке:
https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty



Info

Образ диска с обновлением средств разработки, соответствующий настоящему бюллетеню, доступен по ссылке:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20210730SE16/

Контрольная сумма образа диска с обновлением средств разработки:

Info

04c2086a277ddc8153ff7d26d1da129945503933d960a1b9c42dede11eea53ff



Порядок установки обновления

Warning

Перед установкой обновлений рекомендуется:


Для установки этого обновления и следующих обновлений рекомендуется установить и использовать инструменты fly-astra-update и astra-update - инструменты для установки обновлений.

Допускается использовать fly-astra-update и astra-update, установленные из обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7).

Warning
titleВнимание
  • Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
  • На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:

    Command
    sudo astra-nochmodx-lock enable


  • Для полного завершения обновления требуется установочный диск (образ установочного диска) операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6)

Начиная с оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) в состав пакетов Astra Linux включены пакеты для автоматизации установки обновлений:

  • инструмент командной строки - пакет astra-update;
  • графический инструмент - пакет fly-astra-update.

Для установки оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) и последующих оперативных обновлений рекомендуется использовать только эти инструменты. Если инструмент (инструменты) не были установлены ранее, то установить их.

Warning
При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков.

Рекомендованные варианты установки обновлений

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступные на обновляемой машине:

  1. Обязательные репозитории:
    1. Установочный диск;
    2. Диск с обновлением;
  2. Дополнительные репозитории:
    1. Диск со средствами разработки;
    2. Диск с обновлением средств разработки;

Если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

Command
sudo astra-update -a -r

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).

Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

  1. Обязательные ISO-образы:
    1. Установочный диск;
    2. Диск с обновлением;
  2. Дополнительные ISO-образы:
    1. Диск со средствами разработки;
    2. Диск с обновлением средств разработки;

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

Command
sudo astra-update -a /mnt/smolensk1.6.iso /mnt/20210730SE16.iso /mnt/smolensk1.6-devel.iso /mnt/20210730SE16-devel.iso

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании инструментов fly-astra-update и astra-update.

Подготовка к установке
Anchor
PrepareToUpdate
PrepareToUpdate

Установка fly-astra-update/astra-update из репозитория

Если доступен репозиторий пакетов, содержащий пакеты обновления установку можно выполнить следующими командами:

установка инструмента fly-astra-update:

Command

sudo apt update
sudo apt install fly-astra-update

или установка инструмента astra-update:

Command

sudo apt update
sudo apt install astra-update

Установка fly-astra-update/astra-update из образа обновления

  1. Примонтировать загруженный образ обновления, например, в каталог /media/cdrom:

    Command
    sudo mount /mnt/20210730SE16.iso /media/cdrom


  2. Установить пакеты:
    только пакет для работы в командной строке astra-update:

    Command

    sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb

    или пакет для работы в командной строке astra-update и графический пакет fly-astra-update:

    Command

    sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
    sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
    sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb


  3. Отмонтировать образ:

    Command
    sudo umount /media/cdrom


Установка обновления

Дальнейшую установку оперативных обновлений выполнять с помощью установленных инструментов.

Дополнительные примеры использования astra-update

Например, при наличии образов установочного диска и диска обновления установка обновления может быть выполнена командой:

Command
sudo astra-update -a /mnt/20210730SE16.iso <имя_образа_установочного диска>

При наличии установочного диска (должен быть зарегистрирован как источник пакетов) и скачанного образа обновления, установка обновления может быть выполнена командой:

Command
sudo astra-update -a /mnt/20210730SE16.iso

При этом понадобится загрузить установочный диск в привод компакт-дисков.


Для более сложных схем обновления, в том числе для обновления средств разработки, инструкция по использованию инструментов astra-update и fly-astra-update доступна по ссылке: fly-astra-update и astra-update - инструменты для установки обновлений

Установка обновления без использования инструментов fly-astra-update и astra-update.

Expand


Warning

Установку настоящего оперативного обновления и последующих оперативных обновлений рекомендуется выполнять с использованием пакетов astra-update или fly-astra-update.


Warning
При установке оперативных обновлений без использования инструментов fly-astra-update/astra-update недопустимо использовать опцию обновления upgrade (команду sudo apt upgrade), следует использовать только опцию dist-upgrade (команду sudo apt dist-upgrade).


Warning
titleВнимание


Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6)

1. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться  в том, что зарегистрирован и доступен установочный диск, для чего просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

Command
sudo apt-cdrom add

2. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации  повторить для всех компакт-дисков.

3. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:

Command

sudo mount /mnt/20210730SE16.iso /media/cdrom
sudo apt-cdrom -m add
sudo umount /media/cdrom

на вопрос об имени диска ввести "20210730SE16".

Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать из параллельной терминальной сессии.

Note

Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.


Note

В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.

При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск 1.6 и файла - образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

Command
sudo mount /mnt/20210730SE16.iso /media/cdrom


4. Команды обновления следует выполнять из сессии суперпользователя (sudo -s) с высоким уровнем целостности, а не через отдельные команды sudo:

Info

sudo -s
... команды ...
exit

5. После завершения регистрации всех компакт-дисков и образов выполнить команды  для "холостого прогона" установки обновлений (без внесения реальных изменений в систему, ключ -s команды apt), и убедитесь, что в результате работы не возникает неустранимых ошибок:

Command

sudo -s
apt update
apt -s dist-upgrade
exit

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.

6. Выполнить обновление командами:

Command

sudo -s
apt update

apt dist-upgrade
apt -f install
exit

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.


Завершение установки обновления

Warning

После выполнения обновления необходимо перезагрузить систему.


Warning
titleВнимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.


Info

Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам  (каталогам файловой системы). 


...