| Предупреждение |
|---|
| Перед установкой обновления ознакомиться с разделом Важная информация по применению обновления |
| Предупреждение |
|---|
Для установки обновления использовать инструменты fly-astra-update и astra-update. |
| Оглавление |
|---|
| Предупреждение |
|---|
Всё программное обеспечение, разработанное с использованием средств разработки, будет корректно функционировать только в среде ОС СН "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.7) с подключённым обновленным базовым репозиторием. |
| Информация | |
|---|---|
|
Общая информация
Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.7), далее по тексту - Astra Linux.
| Информация | ||
|---|---|---|
| ||
|
Важная информация по применению обновления
| Якорь | ||||
|---|---|---|---|---|
|
Тестирование обновления перед установкой
| Предупреждение |
|---|
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в типичных конфигурациях (путем установки обновления и перезагрузки). Для установки оперативного обновления необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. |
Порядок установки обновления
Подготовка к установке обновления
| Предупреждение |
|---|
Перед установкой обновлений:
|
| Предупреждение | ||
|---|---|---|
| ||
В системах с уровнем защищенности «Усиленный» (Воронеж) или «Максимальный» (Смоленск):
|
Загрузка и проверка образа обновления основного репозитория (main)
Образ диска с обновлением доступен для скачивания по ссылке:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/2021-1115SE17/2021-1115SE17.iso
Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы. Для получения контрольной суммы выполнить команду:
| Command |
|---|
| gostsum -d /mnt/2021-1115SE17.iso |
Контрольная сумма:
| Информация | ||
|---|---|---|
| ||
d28ff0996fe6518db2aca0439557bacfc2446567734518da5679cdc3eed5ef14 |
| Подсказка |
|---|
Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра": Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: |
Проверка наличия места в дисковом разделе /boot
Проверить размеры дисковых разделов командой:
| Command |
|---|
| lsblk |
Если размер дискового раздела /boot менее 512МБ, то рекомендуется:
Либо увеличить размер дискового раздела /boot до 512МБ.
Либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным, удалить неиспользуемое ядро (ядра). Подробнее — см. раздел
Удаление неиспользуемых пакетов после обновления ядра. См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция
Установка инструментов для обновления
Пакеты astra-update/fly-astra-update по умолчанию установлены в Astra Linux. Однако если они были удалены, то перед обновлением инструмент командной строки astra-update или графический инструмент fly-astra-update необходимо установить в соответствии с инструкцией приведённой ниже.
Установка fly-astra-update/astra-update из репозитория
Если доступен репозиторий пакетов, содержащий пакеты обновления, установку можно выполнить следующими командами:
установка графического инструмента fly-astra-update (при этом будет автоматически установлен инструмент командной строки astra-update):
Command sudo apt update
sudo apt install fly-astra-updateили установка инструмента командной строки astra-update:
Command sudo apt update
sudo apt install astra-update
Установка fly-astra-update/astra-update из образа обновления
Примонтировать загруженный образ обновления, например, в каталог /media/cdrom:
Command sudo mount /mnt/2021-1115SE17.iso /media/cdrom Установить пакеты:
Только инструмент командной строки astra-update:
Command sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
Или инструмент командной строки astra-update и графический инструмент fly-astra-update:
Command sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb
Отмонтировать образ:
Command sudo umount /media/cdrom
Установка обновления
Обновление основного репозитория (main)
Установка обновления с использованием сетевых репозиториев
Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступных на обновляемой машине:
- Установочный диск;
- Диск с обновлением основного репозитория (main);
И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:
| Command |
|---|
| sudo astra-update -A -r |
Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).
Установка обновления с использованием локальных копий ISO-образов
Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:
- Установочный диск;
- Диск с обновлением основного репозитория (main).
ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:
| Command |
|---|
| sudo astra-update -A /mnt/1.7.0-11.06.2021_12.40.iso /mnt/2021-1115SE17.iso |
В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании инструментов fly-astra-update и astra-update.
Дополнительные примеры использования astra-update
При наличии установочного диска (должен быть зарегистрирован как источник пакетов) и скачанного образа обновления, установка обновления может быть выполнена командой:
| Command |
|---|
| sudo astra-update -A /mnt/2021-1115SE17.iso |
При этом понадобится загрузить установочный диск в привод компакт-дисков.
Для более сложных схем обновления, в том числе для обновления средств разработки, инструкция по использованию инструментов astra-update и fly-astra-update доступна по ссылке: fly-astra-update и astra-update - инструменты для установки обновлений.
Подключение обновлённого базового репозитория (base)
Обновленный базовый репозиторий, соответствующий настоящему бюллетеню, доступен по ссылке:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/devel/2021-1115SE17
Убедитесь, что у вас установлены пакеты apt-transport-https и ca-certificates, обеспечивающие возможность загрузки пакетов из репозиториев по защищенному протоколу HTTPS.
Если нет - то установите их, выполнив команду:
| Command |
|---|
sudo apt install apt-transport-https ca-certificates |
В /etc/apt/sources.list необходимо указать путь к обновлённому базовому репозиторию:
| Блок кода | ||
|---|---|---|
| ||
deb https://dl.astralinux.ru/astra/stable/smolensk/security-updates/devel/2021-1115SE17/base-repository 1.7_x86-64 main contrib non-free |
При необходимости, файлы обновлённого базового репозитория можно скопировать и подготовить локальный репозитории (см. Создание локальных и сетевых репозиториев).
Завершение установки обновления
| Предупреждение |
|---|
После выполнения обновления перезагрузить систему. |
| Предупреждение | ||
|---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями. |
Установка ядра linux-5.10
| Информация |
|---|
Пакет linux-5.10 размещён в обновлённом базовом репозитории |
Действия при обновлении ядра
После выполнения настоящего обновления при необходимости можно установить ядро linux-5.10. Для этого следует выполнить команду (должен быть доступен репозиторий, содержащий пакеты настоящего обновления):
| Command |
|---|
sudo apt install linux-5.10 |
После завершения установки ядра будет автоматически обновлен загрузчик Grub.
Обновление гостевых дополнений VirtualBox при обновлении ядра
Если обновляемая ОС установлена на виртуальной машине Oracle VirtualBox и в этой ОС установлены гостевые дополнения VirtualBox, то после установки нового ядра и до перезагрузки ОС следует переустановить гостевые дополнения VirtualBox (см. статью Установка VirtualBox).
| Якорь | ||||
|---|---|---|---|---|
|
После установки нового ядра и успешной перезагрузки с обновленным ядром для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:
| Command |
|---|
| uname -r |
Пример вывода после выполнения команды:
| Блок кода |
|---|
5.4.0-81-generic |
Чтобы просмотреть перечень пакетов, относящихся к ядрам Linux и зарегистрированных в ОС, необходимо в терминале выполнить команду:
| Command |
|---|
| dpkg -l | awk '/linux-image/ {print $1,$2}' |
Пример вывода после выполнения команды:
| Блок кода |
|---|
ii linux-image-4.15-generic ii linux-image-4.15-hardened ii linux-image-4.15.3-1-generic ii linux-image-4.15.3-1-hardened ii linux-image-4.15.3-141-generic ii linux-image-4.15.3-141-hardened ii linux-image-4.15.3-154-generic ii linux-image-4.15.3-154-hardened ii linux-image-5.4-generic ii linux-image-5.4-hardened ii linux-image-5.4.0-71-generic ii linux-image-5.4.0-71-hardened ii linux-image-5.4.0-81-generic ii linux-image-5.4.0-81-hardened ii linux-image-hardened |
В первом столбце отображается состояние пакета, может принимать следующие значения:
- «rc» — пакет был установлен, но уже удален;
- «ii» — пакет на текущий момент установлен.
Ниже представлен пример сценария для удаления пакетов, относящихся к неиспользуемым ядрам (необходимо запускать от имени администратора с высоким уровнем целостности):
| Блок кода | ||
|---|---|---|
| ||
#!/bin/bash set -e # Перечень пакетов, дальнейшее использование которых не планируется. pkgs="linux-image-4.15.3-1-generic \ linux-image-4.15.3-1-hardened \ linux-image-4.15.3-141-generic \ linux-image-4.15.3-141-hardened \ linux-image-4.15.3-154-generic \ linux-image-4.15.3-154-hardened \ inux-image-5.4.0-71-generic \ linux-image-5.4.0-71-hardened " # Проверка строки и запуск удаления пакетов. # Для удаления пакета и всех связанных с ним # конфигурационных файлов необходимо использовать команду apt purge. [ -n "$pkgs" ] && apt remove $pkgs #обновление конфигурационного файла Grub. update-grub2 |
Кроме того, можно выборочно удалить пакеты с помощью предпочитаемого менеджера пакетов.