Информация |
---|
Обновления для операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-16 исполнение 2 (сертификаты соответствия ФСБ России №СФ/СЗИ-0342 и №СФ/СЗИ-0343) предназначены для применения в составе автоматизированных систем в защищенном исполнении, находящихся в компетенции ФСБ России. Обновления прошли контрольные тематические исследования в системе сертификации средств защиты информации ФСБ России (выписка № 149/3/6/174 от 24 февраля 2021 г. из дополнения № 2 к заключению № 149/3/6/313 от 04.04.2019 о соответствии операционной системы специального назначения «Asrta Linux Special Edition» РУСБ.10015-16 требованиям безопасности ФСБ России). Настоящий информационный ресурс является официальным источником получения обновлений для использования в работе предприятиями промышленности. |
Оглавление |
---|
Предупреждение |
---|
Для установки настоящего оперативного обновленияи последующих оперативных обновлений следует использовать следующие инструменты:
Установка инструментов fly-astra-update/astra-update описана в разделе Установка fly-astra-update/astra-update из образа обновления. |
Предупреждение |
---|
Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки. |
Информация | |
---|---|
|
Примечание |
---|
Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки. |
Общая информация
Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-16 исполнение 2, далее по тексту - Astra Linux.
Информация | ||
---|---|---|
| ||
|
Данное обновление включает в себя следующие оперативные обновления:
Предупреждение |
---|
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки). |
Подготовка к установке обновления
Предупреждение |
---|
Перед установкой обновлений:
|
Предупреждение | ||
---|---|---|
| ||
|
Предупреждение |
---|
При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков. |
Загрузка и проверка образов обновления
Загрузка и проверка обновления репозитория установочного (основного) диска
Скачать образ диска с обновлением с помощью WEB-браузера по следующей ссылке::
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81.iso
либо выполнив команду:Command wget https://download.astralinux.ru/astra/stable/1.7_x86-64/iso/2022-0407SE17MD.tgz
- Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме ISO-образа, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum -d /mnt/20211019SE81.iso Контрольная сумма:
Информация icon false 46b7897a35dfa6c3b9bbd22c9dc3fa2777b39b7d5fb6e1a729ee9a056a0d2fcf
- проверка соответствия контрольной сумме ISO-образа, подсчитанной помощью программы ФИКС-UNIX 1.0 и представленной ниже. Для получения контрольной суммы выполнить следующие действия (в примере предполагается, что программа
ufix
и образа диска находятся в текущем каталоге, команды должны выполняться с полномочиями администратора системы с высоким уровнем целостности):создать в текущем каталоге временный подкаталог
tmp
командой:Command mkdir tmp
примонтировать образ диска с обновлением в подкаталог
tmp
командой:Command mount 20211019SE81.iso tmp
подсчитать контрольные суммы файлов, находящихся в примонтированном образе диска, командами:
Command ./ufix -jR tmp > tmp.list
./ufix -eP tmp.list
./ufix -h tmp.prj
проверить контрольную сумму "ВСЕГО" в файле
tmp.html
, открыв его с помощью web-браузера, или иным способом (см. "«ФИКС-UNIX 1.0» Описание применения" 643.53132931.501492-01 31 01)Информация title ФИКС-UNIX 1.0 ВСЕГО: DC6B1A65
(Опционально) отмонтировать iso-образ, удалить созданный подкаталог и созданные файлы ФИКС-UNIX:
Command umount tmp
rmdir tmp
rm tmp.list tmp.prj tmp.html
- проверка целостности ISO-образа с помощью файла ФИКС 20211019SE81.iso.prj. Проверка выполняется в соответствии с инструкцией к программе ФИКС-Unix, при этом образ диска должен быть примонтирован в каталог /mnt.
- проверка отсоединенной электронной подписи ISO-образа. Оперативное обновление подписано Образ диска с обновлением подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра":
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81.iso.sig.
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.
Загрузка и проверка обновления средств разработки
Скачать образ диска обновлением средств разработки, соответствующий настоящему бюллетеню, с помощью WEB-браузера по следующей ссылке::
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81-dev.iso
либо выполнив команду:Command wget https://download.astralinux.ru/astra/stable/1.7_x86-64/iso/2022-0407SE17MD.tgz
- Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме ISO-образа, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
Command gostsum -d /mnt/20211019SE81-dev.iso Контрольная сумма:
Информация icon false 46b7897a35dfa6c3b9bbd22c9dc3fa2777b39b7d5fb6e1a729ee9a056a0d2fcf
- проверка соответствия контрольной сумме ISO-образа, подсчитанной помощью программы ФИКС-UNIX 1.0 и представленной ниже. Для получения контрольной суммы выполнить следующие действия (в примере предполагается, что программа
ufix
и образа диска находятся в текущем каталоге, команды должны выполняться с полномочиями администратора системы с высоким уровнем целостности):создать в текущем каталоге временный подкаталог
tmp
командой:Command mkdir tmp
примонтировать образ диска с обновлением в подкаталог
tmp
командой:Command mount 20211019SE81-dev.iso tmp
подсчитать контрольные суммы файлов, находящихся в примонтированном образе диска, командами:
Command ./ufix -jR tmp > tmp.list
./ufix -eP tmp.list
./ufix -h tmp.prj
проверить контрольную сумму "ВСЕГО" в файле
tmp.html
, открыв его с помощью web-браузера, или иным способом (см. "«ФИКС-UNIX 1.0» Описание применения" 643.53132931.501492-01 31 01)Информация title ФИКС-UNIX 1.0 ВСЕГО: DC6B1A65
(Опционально) отмонтировать iso-образ, удалить созданный подкаталог и созданные файлы ФИКС-UNIX:
Command umount tmp
rmdir tmp
rm tmp.list tmp.prj tmp.html
- проверка целостности ISO-образа с помощью файла ФИКС 20211019SE81.iso.prj. Проверка выполняется в соответствии с инструкцией к программе ФИКС-Unix, при этом образ диска должен быть примонтирован в каталог /mnt.
- проверка отсоединенной электронной подписи образ ISO-образа. Образ диска с обновлением. Оперативное обновление подписано обновлением средств разработки подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра":
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81.iso.sig.
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.
Якорь | ||||
---|---|---|---|---|
|
Примонтировать загруженный ISO-образ обновления репозитория установочного (основного) диска, например, в каталог /media/cdrom:
Command sudo mount /mnt/20211019SE81.iso /media/cdrom Установить пакеты:
Только инструмент командной строки astra-update:
Command sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
Или инструмент командной строки astra-update и графический инструмент fly-astra-update:
Command sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb
Отмонтировать образ:
Command sudo umount /media/cdrom
Установка обновления
Установка обновления с использованием сетевых репозиториев
Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступных на обновляемой машине:
- Обязательные репозитории:
- Установочный диск;
- Диск с обновлением;
- Дополнительные репозитории:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list
, то обновление может быть установлено командой:
Command |
---|
sudo astra-update -a -r -T |
Если доступ к репозиториям в файле /etc/apt/sources.list
не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).
Установка обновления с использованием локальных копий ISO-образов
Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:
- Обязательные ISO-образы:
- Установочный диск;
- Диск с обновлением;
- Дополнительные ISO-образы:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:
Command |
---|
sudo astra-update -a -T /mnt/<имя_образа_установочного_диска> /mnt/20211019SE81.iso /mnt/<имя_образа_диска_со_средствами_разработки> /mnt/20211019SE81-devel.iso |
В приведенном примере предполагается, что образы скопированы в каталог /mnt
или находятся на съемном носителе, смонтированном в каталог /mnt
.
Подробности также см. в описании fly-astra-update и astra-update - инструменты для установки обновлений.
Завершение установки обновления
Предупреждение |
---|
После выполнения обновления перезагрузить систему. |
Предупреждение | ||
---|---|---|
| ||
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями. |