Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Предупреждение

Перед установкой обновления ознакомиться с разделом Важная информация по применению обновления.


Предупреждение

Для установки обновления необходимо использовать инструменты fly-astra-update и astra-update - инструменты для установки обновлений.


Оглавление

Оглавление


 
Информация

Данному обновлению соответствует следующий полный номер обновления Astra Linux: 1.6.1110.43

См. также: Определение установленных обновлений и варианта исполнения Astra Linux


Информация
titleДополнительная информация
Отображение дочерних


Информация

Для установки обновления требуется порядка 2 ГБ свободного места на корневом разделе.


Предупреждение

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, то при обновлении необходимо задействовать диск (образ диска) с обновлением средств разработки.


Предупреждение

Совместимость версий ПК СВ Брест с обновлениями ОС СН Astra Linux Special Edition


Общая информация

Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux.

Информация
titleДанное обновление содержит:

Данное обновление включает в себя:


Важная информация по применению обновления
Якорь
KnownProblems
KnownProblems

Тестирование обновления перед установкой

Предупреждение

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).


Если при установке недоступны пакеты, расположенные на установочном (основном) диске

Если установочный диск и образ обновления подключены с помощью apt-cdrom (нерекомендуемый способ установки обновлений), то выполнение обновления может завершаться ошибкой из-за не найденных пакетов. При возникновении подобных ошибок:

  1. Удалить из файла /etc/apt/sources.list все зарегистрированные диски, кроме установочного диска;
  2. Выполнить команду:

    Command
    sudo apt update


  3. Установить не найденные пакеты с установочного диска. Пример команды установки с полным перечнем пакетов, из-за отсутствия которых возможно появление ошибки: 

    Command

    sudo apt install libvulkan1 libev4 qdbus-qt5 libunwind8 reprepro libcurl3 qt5-image-formats-plugins \
    libxml++2.6-2v5 libxml-xpath-perl libxmlrpc-core-c3 libxmlrpc-epi0 libxml2 libxml-parser-perl


  4. Повторить процедуру регистрации образов дисков обновления и установки обновления в соответствии с инструкцией Установка оперативных обновлений Astra Linux Special Edition с компакт-дисков;

Для предупреждения возникновения подобных ошибок следует использовать обновление из сетевых репозиториев Astra Linux (см. Создание локальных и сетевых репозиториев) или ISO-образов Astra Linux с помощью инструментов fly-astra-update и astra-update (порядок установки этих инструментов для выполнения настоящего обновления описан в разделе Установка инструментов для обновления).



Порядок установки обновления

Подготовка к установке обновления

Предупреждение

Перед установкой обновлений:


Предупреждение
titleВнимание
  • Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
  • На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:

    Command
    sudo astra-nochmodx-lock disable


  • Для полного завершения обновления требуется установочный диск (образ установочного диска) Astra Linux.

Для установки настоящего оперативного обновленияи последующих оперативных обновлений рекомендуется использовать следующие инструменты:

  • инструмент командной строки — пакет astra-update;
  • графический инструмент — пакет fly-astra-update.

Если указанный инструмент (инструменты) не были установлены ранее, то установить их (см. Установка fly-astra-update/astra-update из репозитория и Установка fly-astra-update/astra-update из образа обновления).

Предупреждение
При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков.

Загрузка и проверка образов обновления

Образ диска с обновлением доступен для скачивания по ссылке:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20211126SE16/20211126SE16.iso;

Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы указанной ниже.
Для получения контрольной суммы выполнить команду:

Command
gostsum -d /mnt/20211126SE16.iso

Контрольная сумма:

Информация
iconfalse

0e461fa719fb564267abf74b1d70b891a1a9b2c489ac67ea195f2d21b56423b8


Подсказка

Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20211126SE16/20211126SE16.iso.sig

Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

Образ диска с обновлением средств разработки, соответствующий настоящему бюллетеню, доступен по ссылке:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20211126SE16/repository-update-dev.iso

Контрольная сумма образа диска с обновлением средств разработки:

Информация

7931ee04f08b650afa3daf082f03e9cf2e03166b3fbea113340bb24a8bfa09c9

Якорь
InstallTools
InstallTools
Установка инструментов для обновления

Якорь
installFromRepo
installFromRepo
Установка fly-astra-update/astra-update из репозитория

Если доступен репозиторий пакетов, содержащий пакеты обновления, установку можно выполнить следующими командами:

  • установка графического инструмента fly-astra-update (при этом будет автоматически установлен инструмент командной строки astra-update):

    Command

    sudo apt update
    sudo apt install fly-astra-update


  • или установка инструмента командной строки astra-update:

    Command

    sudo apt update
    sudo apt install astra-update


Якорь
installFromIso
installFromIso
Установка fly-astra-update/astra-update из образа обновления

  1. Примонтировать загруженный образ обновления, например, в каталог /media/cdrom:

    Command
    sudo mount /mnt/20211126SE16.iso /media/cdrom


  2. Установить пакеты:
    только инструмент командной строки astra-update:

    Command

    sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb

    или инструмент командной строки astra-update и графический инструмент fly-astra-update:

    Command

    sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
    sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
    sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb


  3. Отмонтировать образ:

    Command
    sudo umount /media/cdrom


Проверка наличия места в дисковом разделе /boot

Информация
Информация данного раздела актуальна только в случае, если ранее не было установлено оперативное обновление 9 (БЮЛЛЕТЕНЬ № 20211008SE16)

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

Command
df -H /boot

В зависимости от установленных ранее оперативных обновлений для установки обновлённых ядер linux может потребоваться до 280 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то рекомендуется:

  1. Либо увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ).

  2. Либо, если увеличить размер дискового раздела /boot не представляется возможным, удалить неиспользуемое ядро (ядра). Подробнее — см. раздел Удаление неиспользуемых пакетов после обновления ядра.

См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.


Установка обновления

Рекомендованные варианты установки обновлений

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов:

  1. Обязательные репозитории:
    1. Установочный диск;
    2. Диск с обновлением;
  2. Дополнительные репозитории:
    1. Диск со средствами разработки;
    2. Диск с обновлением средств разработки;

И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

Command
sudo astra-update -a -r

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).


Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

  1. Обязательные ISO-образы:
    1. Установочный диск;
    2. Диск с обновлением;
  2. Дополнительные ISO-образы:
    1. Диск со средствами разработки;
    2. Диск с обновлением средств разработки;

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

Command
sudo astra-update -a /mnt/<имя_образа_установочного_диска> /mnt/20211126SE16.iso /mnt/<имя_образа_диска_со_средствами_разработки> /mnt/repository-update-dev.iso

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании инструментов fly-astra-update и astra-update.

Дополнительные примеры использования astra-update

Например, при наличии образов установочного диска и диска обновления установка обновления может быть выполнена командой:

Command
sudo astra-update -a <имя_образа_установочного диска> /mnt/20211126SE16.iso

При наличии установочного диска (должен быть зарегистрирован как источник пакетов) и скачанного образа обновления, установка обновления может быть выполнена командой:

Command
sudo astra-update -a /mnt/20211126SE16.iso

При этом понадобится загрузить установочный диск в привод компакт-дисков.

Для более сложных схем обновления, в том числе для обновления средств разработки, инструкция по использованию инструментов astra-update и fly-astra-update доступна по ссылке: fly-astra-update и astra-update - инструменты для установки обновлений.

Установка обновления без использования инструментов fly-astra-update и astra-update.

Раскрыть


Предупреждение

Установку настоящего оперативного обновления и последующих оперативных обновлений рекомендуется выполнять с использованием пакетов astra-update или fly-astra-update.


Предупреждение
При установке оперативных обновлений без использования инструментов fly-astra-update/astra-update недопустимо использовать опцию обновления upgrade (команду sudo apt upgrade), следует использовать только опцию dist-upgrade (команду sudo apt dist-upgrade).


Предупреждение
titleВнимание

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск Astra Linux.


1. Если при установке обновления не используется репозиторий Astra Linux, то необходимо убедиться  в том, что зарегистрирован и доступен установочный диск, для чего просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

Command
sudo apt-cdrom add


2. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации повторить для всех компакт-дисков.


3. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:

Command

sudo mount /mnt/20211126SE16.iso /media/cdrom
sudo apt-cdrom -m add
sudo umount /media/cdrom

на вопрос об имени диска ввести «20211126SE16».

Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать из параллельной терминальной сессии.

Примечание

Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.


Примечание

В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать клавишу <Enter>.

При установке с использованием установочного диска Astra Linux и образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

Command
sudo mount /mnt/20211126SE16.iso /media/cdrom



4. Команды обновления следует выполнять из сессии суперпользователя (sudo -s) с высоким уровнем целостности, а не через отдельные команды sudo:

Информация

sudo -s
... команды ...
exit


5. После завершения регистрации всех компакт-дисков и образов выполнить команды установки обновлений в режиме имитации (без внесения реальных изменений в систему, ключ -s команды apt), и убедиться, что в результате работы не возникает неустранимых ошибок:

Command

sudo -s
apt update
apt -s dist-upgrade
exit

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.


6. Выполнить обновление командами:

Command

sudo -s
apt update
apt dist-upgrade
apt -f install
exit

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.


Завершение установки обновления


Предупреждение

После выполнения обновления необходимо перезагрузить систему.


Предупреждение
titleВнимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.


Информация

Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам  (каталогам файловой системы). 

Действия после установки обновления

Установка ядра linux-5.10

Информация

Начиная с оперативного обновления 9 (БЮЛЛЕТЕНЬ № 20211008SE16) добавлена поддержка ядра linux-5.10.

Для того чтобы установить ядро linux-5.10 следует выполнить команду (должен быть доступен репозиторий, содержащий пакеты настоящего обновления): 

Command

sudo apt install linux-5.10

После завершения установки ядра будет автоматически обновлен загрузчик Grub. 


Якорь
CoreDel
CoreDel
Удаление неиспользуемых пакетов после обновления ядра

После установки нового ядра и успешной перезагрузки с обновленным ядром для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:

Command
uname -r

Пример вывода после выполнения команды:

Блок кода
5.10.0-1045-generic

Чтобы просмотреть перечень пакетов, относящихся к ядрам Linux и зарегистрированных в ОС, необходимо в терминале выполнить команду:

Command
dpkg -l | awk '/linux-image/ {print $1,$2}'

Пример вывода после выполнения команды:

Блок кода
ii linux-image-4.15-generic
ii linux-image-4.15-hardened
ii linux-image-4.15.3-1-generic
ii linux-image-4.15.3-1-hardened
ii linux-image-4.15.3-141-generic
ii linux-image-4.15.3-141-hardened
ii linux-image-4.15.3-154-generic
ii linux-image-4.15.3-154-hardened
ii linux-image-5.10-generic
ii linux-image-5.10-hardened
ii linux-image-5.10.0-1045-generic
ii linux-image-5.10.0-1045-hardened
ii linux-image-5.4-generic
ii linux-image-5.4-hardened
ii linux-image-5.4.0-71-generic
ii linux-image-5.4.0-71-hardened
ii linux-image-5.4.0-81-generic
ii linux-image-5.4.0-81-hardened
ii linux-image-hardened

В первом столбце отображается состояние пакета, может принимать следующие значения:

  • «rc» — пакет был установлен, но уже удален;
  • «ii» — пакет на текущий момент установлен.

Ниже представлен пример сценария для удаления пакетов, относящихся к неиспользуемым ядрам (необходимо запускать от имени администратора с высоким уровнем целостности):

Блок кода
#!/bin/bash

set -e

# Перечень пакетов, дальнейшее использование которых не планируется.
pkgs="linux-image-4.15.3-1-generic \
linux-image-4.15.3-1-hardened \
linux-image-4.15.3-141-generic \
linux-image-4.15.3-141-hardened \
linux-image-4.15.3-154-generic \
linux-image-4.15.3-154-hardened \
linux-image-5.4.0-71-generic \
linux-image-5.4.0-71-hardened "

# Проверка строки и запуск удаления пакетов.
# Для удаления пакета и всех связанных с ним 
# конфигурационных файлов необходимо использовать команду apt purge.
[ -n "$pkgs" ] && apt remove $pkgs

#обновление конфигурационного файла Grub.
update-grub2  

Кроме того, можно выборочно удалить пакеты с помощью предпочитаемого менеджера пакетов.




...