Справочный центр

Дерево страниц

Сравнение версий

Старая версия 12

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия 13

changes.mady.by.user Алексей Федоров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация

Обновления для операционной системы специального  назначения «Astra Linux Special Edition» РУСБ.10015-16 исполнение 2 (сертификаты соответствия ФСБ России №СФ/СЗИ-0342 и №СФ/СЗИ-0343) предназначены для применения в составе автоматизированных систем в защищенном исполнении, находящихся в компетенции ФСБ России.

Обновления прошли контрольные тематические исследования в системе сертификации средств защиты информации ФСБ России (выписка  № 149/3/6/174 от 24 февраля 2021 г. из дополнения № 2 к заключению № 149/3/6/313 от 04.04.2019 о соответствии операционной системы специального назначения «Asrta Linux Special Edition» РУСБ.10015-16 требованиям безопасности ФСБ России).

Настоящий информационный ресурс является официальным источником получения обновлений для использования в работе предприятиями промышленности.


Оглавление


Предупреждение

Для установки настоящего оперативного обновленияи последующих оперативных обновлений следует использовать следующие инструменты:

  • инструмент командной строки — пакет astra-update;
  • графический инструмент — пакет fly-astra-update.

Установка инструментов fly-astra-update/astra-update описана в разделе Установка fly-astra-update/astra-update из образа обновления.


Предупреждение
Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки.


Информация
Отображение дочерних


Примечание

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.


Общая информация

Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-16 исполнение 2, далее по тексту - Astra Linux.

Информация
titleДанное обновление содержит:

Данное обновление включает в себя следующие оперативные обновления:


Предупреждение
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Подготовка к установке обновления

Предупреждение

Перед установкой обновлений:


Предупреждение
titleВнимание
  • Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;

  • На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:

    Command
    sudo astra-nochmodx-lock disable


  • Для полного завершения обновления требуется установочный диск (образ установочного диска) Astra Linux.


Предупреждение
При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков.

Загрузка и проверка образов обновления

Загрузка и проверка обновления репозитория установочного (основного) диска

  1. Скачать образ диска с обновлением с помощью WEB-браузера по следующей ссылке::
    https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81.iso
    либо выполнив команду: 

    Command

    wget https://download.astralinux.ru/astra/stable/1.7_x86-64/iso/2022-0407SE17MD.tgz


  2. Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме ISO-образа, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      Command
      gostsum -d /mnt/20211019SE81.iso

      Контрольная сумма:

      Информация
      iconfalse

      46b7897a35dfa6c3b9bbd22c9dc3fa2777b39b7d5fb6e1a729ee9a056a0d2fcf


    • проверка соответствия контрольной сумме ISO-образа, подсчитанной помощью программы ФИКС-UNIX 1.0 и представленной ниже. Для получения контрольной суммы выполнить следующие действия (в примере предполагается, что программа ufix и образа диска находятся в текущем каталоге, команды должны выполняться с полномочиями администратора системы с высоким уровнем целостности): 

      1. создать в текущем каталоге временный подкаталог tmp командой: 

        Command

        mkdir tmp


      2. примонтировать образ диска с обновлением в подкаталог tmp командой: 

        Command

        mount 20211019SE81.iso tmp


      3. подсчитать контрольные суммы файлов, находящихся в примонтированном образе диска, командами: 

        Command

        ./ufix -jR tmp > tmp.list

        ./ufix -eP tmp.list

        ./ufix -h tmp.prj


      4. проверить контрольную сумму "ВСЕГО" в файле tmp.html, открыв его с помощью web-браузера, или иным способом (см. "«ФИКС-UNIX 1.0» Описание применения" 643.53132931.501492-01 31 01)

        Информация
        titleФИКС-UNIX 1.0 ВСЕГО:

        DC6B1A65


      5. (Опционально) отмонтировать iso-образ, удалить созданный подкаталог и созданные файлы ФИКС-UNIX: 

        Command

        umount tmp

        rmdir tmp

        rm tmp.list tmp.prj tmp.html


    • проверка целостности ISO-образа с помощью файла ФИКС 20211019SE81.iso.prj. Проверка выполняется в соответствии с инструкцией к программе ФИКС-Unix, при этом образ диска должен быть примонтирован в каталог /mnt.
    • проверка отсоединенной электронной подписи ISO-образа. Оперативное обновление подписано Образ диска с обновлением подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра":

      https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81.iso.sig.

      Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

Загрузка и проверка обновления средств разработки

  1. Скачать образ диска обновлением средств разработки, соответствующий настоящему бюллетеню, с помощью WEB-браузера по следующей ссылке::
    https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81-dev.iso
    либо выполнив команду: 

    Command

    wget https://download.astralinux.ru/astra/stable/1.7_x86-64/iso/2022-0407SE17MD.tgz


  2. Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме ISO-образа, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      Command
      gostsum -d /mnt/20211019SE81-dev.iso

      Контрольная сумма:

      Информация
      iconfalse

      46b7897a35dfa6c3b9bbd22c9dc3fa2777b39b7d5fb6e1a729ee9a056a0d2fcf


    • проверка соответствия контрольной сумме ISO-образа, подсчитанной помощью программы ФИКС-UNIX 1.0 и представленной ниже. Для получения контрольной суммы выполнить следующие действия (в примере предполагается, что программа ufix и образа диска находятся в текущем каталоге, команды должны выполняться с полномочиями администратора системы с высоким уровнем целостности): 

      1. создать в текущем каталоге временный подкаталог tmp командой: 

        Command

        mkdir tmp


      2. примонтировать образ диска с обновлением в подкаталог tmp командой: 

        Command

        mount 20211019SE81-dev.iso tmp


      3. подсчитать контрольные суммы файлов, находящихся в примонтированном образе диска, командами: 

        Command

        ./ufix -jR tmp > tmp.list

        ./ufix -eP tmp.list

        ./ufix -h tmp.prj


      4. проверить контрольную сумму "ВСЕГО" в файле tmp.html, открыв его с помощью web-браузера, или иным способом (см. "«ФИКС-UNIX 1.0» Описание применения" 643.53132931.501492-01 31 01)

        Информация
        titleФИКС-UNIX 1.0 ВСЕГО:

        DC6B1A65


      5. (Опционально) отмонтировать iso-образ, удалить созданный подкаталог и созданные файлы ФИКС-UNIX: 

        Command

        umount tmp

        rmdir tmp

        rm tmp.list tmp.prj tmp.html


    • проверка целостности ISO-образа с помощью файла ФИКС 20211019SE81.iso.prj. Проверка выполняется в соответствии с инструкцией к программе ФИКС-Unix, при этом образ диска должен быть примонтирован в каталог /mnt.
    • проверка отсоединенной электронной подписи образ ISO-образа. Образ диска с обновлением. Оперативное обновление подписано обновлением средств разработки подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра":

      https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81.iso.sig.

      Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.


Якорь
installFromIso
installFromIso
Установка fly-astra-update/astra-update из образа обновления

  1. Примонтировать загруженный ISO-образ обновления репозитория установочного (основного) диска, например, в каталог /media/cdrom:

    Command
    sudo mount /mnt/20211019SE81.iso /media/cdrom


  2. Установить пакеты:

    1. Только инструмент командной строки astra-update:

      Command

      sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb


    2. Или инструмент командной строки astra-update и графический инструмент fly-astra-update:

      Command

      sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
      sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
      sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb


  3. Отмонтировать образ:

    Command
    sudo umount /media/cdrom



Установка обновления

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступных на обновляемой машине:

  1. Обязательные репозитории:
    1. Установочный диск;
    2. Диск с обновлением;
  2. Дополнительные репозитории:
    1. Диск со средствами разработки;
    2. Диск с обновлением средств разработки;

И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

Command
sudo astra-update -a -r -T

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).

Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

  1. Обязательные ISO-образы:
    1. Установочный диск;
    2. Диск с обновлением;
  2. Дополнительные ISO-образы:
    1. Диск со средствами разработки;
    2. Диск с обновлением средств разработки;

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

Command
sudo astra-update -a -T /mnt/<имя_образа_установочного_диска>  /mnt/20211019SE81.iso /mnt/<имя_образа_диска_со_средствами_разработки> /mnt/20211019SE81-devel.iso

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании fly-astra-update и astra-update - инструменты для установки обновлений.

Завершение установки обновления

Предупреждение

После выполнения обновления перезагрузить систему.


Предупреждение
titleВнимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.