Справочный центр

Дерево страниц

Сравнение версий

Старая версия 14

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия 15

changes.mady.by.user Алексей Федоров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация

Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.7), далее по тексту - Astra Linux.



Информация
titleДанное обновление содержит:
  • обновления (изменения) репозитория установочного диска (основного репозитория - main);
  • обновлённый базовый репозиторий (base);
  • изменения в эксплуатационную документацию.



Информация
titleДанное обновление включает в себя:



Оглавление
maxLevel3
excludeОбновление с использованием tar-архива обновлённого базового репозитория





Предупреждение

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление базового репозитория (base).


Подсказка

Базовый репозиторий (base) также содержит пакеты основного репозитория (main), размещённого на установочном диске. В связи с этим при обновлении базового репозитория будут обновлены и пакеты основного репозитория.


Информация
titleДополнительная информация:
Отображение дочерних


Примечание

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.



Общая информация

Предупреждение
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).


Предупреждение
titleВнимание

После успешной установки обновления (в том числе, после установки обновления базового репозитория) проверка целостности программных пакетов установочного диска (основного репозитория - main) осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в корневом каталоге образа диска обновления repository-update.iso.


Предупреждение
titleВнимание!

В случае применения оперативного обновления необходимо указать сведения о нем в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux. 


Порядок установки обновления

Подготовка к установке обновления

Предупреждение

Перед установкой обновлений:


Предупреждение
titleВнимание

В системах с уровнем защищенности «Усиленный» (Воронеж) или «Максимальный» (Смоленск):

  • Обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;

  • На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:

    Command
    sudo astra-nochmodx-lock disable



Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

Command
df -h /boot

Для установки настоящего обновления требуется не менее 75 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ).

См. статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.


Установка обновления основного репозитория (main)

Загрузка и проверка образа диска с обновлением

  1. Скачать образ диска с обновлением с помощью WEB-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/stable/1.7_x86-64/iso/repository-update.iso
    либо выполнив команду: 

    Command

    wget https://dl.astralinux.ru/astra/stable/1.7_x86-64/iso/repository-update.iso


  2. Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      Command
      gostsum -d /mnt/repository-update.iso

      Контрольная сумма:

      Информация
      iconfalse

      7ecad966c73814ba0a89c7020642a076fcb04eb2b05a5b546265c92f530c17cd


    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:

      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью WEB-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/stable/1.7_x86-64/iso/repository-update.iso.sig
        либо выполнив команду: 

        Command

        wget https://dl.astralinux.ru/astra/stable/1.7_x86-64/iso/repository-update.iso.sig


      2. загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,

      3. перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update.iso repository-update.iso.sig -f repository-update.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
         Подпись проверена.
[ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории из установочного диска и образа диска с обновлением (см. Создание локальных и сетевых репозиториев) и если на обновляемой системе настроен доступ к этим сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

Command
sudo astra-update -A -r

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).

Установка обновления с использованием локальной копии образа диска с обновлением

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий образа установочного диска и образа диска с обновлением. Образы дисков могут быть сохранены как локальные файлы, или размещены на подключаемом съемном носителе. Установка обновления в таком случае может быть выполнена командой:

Command
sudo astra-update -A /mnt/<имя_образа_установочного_диска> /mnt/repository-update.iso

В приведенном примере предполагается, что образы дисков скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании инструментов fly-astra-update и astra-update.


Установка обновления базового репозитория (base)

С использованием интернет-репозитория Astra Linux

  1. Подключить интернет-репозиторий Astra-Linux (если ранее он не был подключен), для этого:

    1. для использования сетевых репозиториев, работающих по протоколу HTTPS, установить пакеты apt-transport-https и ca-certificates командой: 

      Command

      sudo apt install apt-transport-https ca-certificates


      Информация

      Кроме того, для этой цели можно использовать протокол HTTP.


    2. в файле /etc/apt/sources.list добавить (раскомментировать) строку:

      • при использовании протокола HTTPS

        Блок кода
        deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free


      • при использовании протокола HTTP 
        deb http://download.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free
         Блок  кода

  2. Обновить списки пакетов командой:
     Command
    sudo apt update
    Установить обновление командой: 

  3. После подключения обновлённого базового репозитория (base), обновление может быть установлено одной из следующих команд:

    •  Command
      sudo astra-update -A -r -T


    •  Command
      sudo apt dist-upgrade
Обновление с 


С использованием tar-архива обновлённого базового репозитория
note
 Информация
Ссылка на tar-архив обновлённого базового репозитория предоставляется 
 пользователю 
 в личном кабинете 
.Загрузка и проверка tar-архива обновления
пользователя.
  1. Скачать tar-архив обновлённого базового репозитория 
 с помощью WEB-браузера 
  1.  по 
 предоставленной ссылке;
  • Перейти в каталог с полученным tar-архивом;
    • Проверить соответствие контрольной сумме, 
    1. ссылке, представленной в личном кабинете.
    2. Загруженный tar-архив поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
      • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 
         Command
    gostsum base
      • gostsum  /mnt/devel-1.7.
    1
      • 2-
    22
      • 01.
    11
      • 08.
    2021
      • 2022_
    10
      • 15.
    50
      • 33.tgz
        Контрольная сумма:
         Информация
        iconfalse
    1eacbaf1c4da65d36b2d968c83c684a625c1bd94b98692c0995a07a012eca000
    Подключение обновлённого базового репозитория (base)
      • dd122e41028ddfcd527c030b7b852f3e92f9561f00e3e78c19a94a92b1fd2b77

      • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
        Порядок проверки:
        1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" по ссылке, представленной в личном кабинете,
        2. загруженный файл электронной подписи поместить в каталог /mnt на обновляемой системе,
        3. перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):
           Command
          /opt/cprocsp/bin/amd64/cryptcp -verify -detached devel-1.7.2-01.08.2022_15.33.tgz devel-1.7.2-01.08.2022_15.33.tgz.sig -f devel-1.7.2-01.08.2022_15.33.tgz.sig
          В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
          Сообщение вида: 
           Блок  кода
           Подпись проверена.
[ErrorCode: 0x00000000]
          говорит о том, что проверка подписи завершена успешно.
    1. Перейти в каталог с tar-архивом обновлённого базового репозитория
    ;
    1. .
    2. Распаковать tar-архив, например, в каталог /srv/base-repository:
       Command
      sudo mkdir /srv/base-repository
      sudo tar zxvf 
     base
    1. devel-1.7.
    1
    1. 2-
    22
    1. 01.
    11
    1. 08.
    2021
    1. 2022_
    10
    1. 15.
    50
    1. 33.tgz -C /srv/base-repository/

       Информация
      Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать архив можно сразу на съемный носитель, и далее установку выполнять с этого носителя.

    2. Полученный в результате распаковки архива каталог /srv/base-repository/ подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Для архива, распакованного в указанный локальный каталог, строка описания репозитория выглядит следующим образом:
       Блок  кода
      deb file:/srv/base-repository/ 1.7_x86-64  main contrib non-free

    3. После подключения репозитория 
     обновить список пакетов
    1.  выполнить повторную синхронизацию файлов описаний пакетов с их источником командой
       Command
      sudo apt update
    Установка обновления

    2. После подключения обновлённого базового репозитория (base), обновление может быть установлено одной из следующих команд:

    •  Command
      sudo astra-update -A -r -T


    •  Command
      sudo apt dist-upgrade

    Завершение установки обновления
     Предупреждение
    После выполнения обновления перезагрузить систему.

    Действия после установки обновления
     Примечание
    Описанные ниже действия не обязательны и выполняются по необходимости.
    Подключение интернет-репозитория Astra Linux
     Информация
    Репозитории Astra Linux доступны по протоколам:
    • HTTPS - префикс адреса репозитория https://
    • HTTP - префикс адреса репозитория http://
    Протокол FTP (префикс адреса репозитория ftp://) не используется.
    1. Для использования сетевых репозиториев, работающих по протоколу HTTPS требуется чтобы в системе были установлены пакеты apt-transport-https и ca-certificates, обеспечивающие возможность загрузки пакетов с использованием этого протокола. Для установки этих пакетов можно воспользоваться следующей командой: 
       Command
      sudo apt install apt-transport-https ca-certificates

    2. Для подключения репозитория установочного диска (основного репозитория - main) и обновления (изменения) основного репозитория в файле /etc/apt/sources.list раскомментировать следующие строки:
       Блок  кода
      deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free
deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-update/ 1.7_x86-64 main contrib non-free

    3. Для подключения актуальной версии базового репозитория (base) в файле /etc/apt/sources.list раскомментировать следующую строку:
       Блок  кода
      deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free

    4. Обновить списки пакетов командой:
       Command
      sudo apt update


     Примечание
    Если необходимо использовать предыдущие версии репозиториев (1.7.0 или 1.7.1), то в файле /etc/apt/sources.list необходимо добавить следующие строки:
    • для репозитория установочного диска (основного репозитория - main) 
       Блок  кода
      deb https://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.0/repository-main/ 1.7_x86-64 main contrib non-free 
      или 
       Блок  кода
      deb https://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.1/repository-main/ 1.7_x86-64 main contrib non-free 

    • для базового репозитория (base) 
       Блок  кода
      deb https://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.0/repository-base/ 1.7_x86-64 main contrib non-free 
      или 
       Блок  кода
      deb https://download.astralinux.ru/astra/frozen/1.7_x86-64/1.7.1/repository-base/ 1.7_x86-64 main contrib non-free 

    и обновить списки пакетов командой:
     Command
    sudo apt update


    Добавление корневого сертификата удостоверяющего центра Минцифры России
     Информация
    Добавление корневого сертификата необходимо выполнить для каждого пользователя после установки пакета ca-certificates-local.
    Добавление корневого сертификата в Firefox
    1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
    2. В адресную строку ввести "about:preferences" и нажать клавишу <Enter>.
    3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
    4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать...].
    5. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
    6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
    7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].
    Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:
     Блок  кода
    The Ministry of Digital Development and Communications
	Russian Trusted Root CA
    Добавление корневого сертификата в Chromium
    1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
    2. В адресную строку ввести "chrome://settings/certificates" и нажать клавишу <Enter>.
    3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
    4. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
    5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].
    После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:
     Блок  кода
    org-The Ministry of Digital Development and Communications
	Russian Trusted Root CA

    Установка программы «Центр уведомлений»
    Программа «Центр уведомлений» позволяет просматривать и управлять уведомлениями на рабочем столе. Для установки этой программы необходимо выполнить команду:
     Command
    sudo apt install fly-notifications
    Во время выполнения этой команды пакет qtnotifydaemon будет автоматически удален.