Справочный центр

Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Алексей Федоров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация

Оперативное обновление 4.7.3 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей Срочное оперативное обновление, содержащее изменения программного обеспечения операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10152-02 (очередное обновление 4.7), далее по тексту - Astra Linux, внесенные с целью совершенствования функций безопасности, а также устранения некоторых ошибок и уязвимостей.



Информация
titleДанное обновление содержит:
  • обновления (изменения) репозитория пакетов установочного диска (основного репозитория - main);
  • обновленный базовый репозиторий (base);
  • обновленный расширенный репозиторий (extended);
  • изменения в эксплуатационную документацию.


Информация
titleДополнительная информация:

Отображение дочерних

Информация
titleДанное обновление включает в себя:


Информация

Данному обновлению соответствует следующий полный номер версии Astra Linux: 4.7.3.8

См. также: Определение установленных обновлений и варианта исполнения Astra Linux



Предупреждение

Настоящее обновление безопасности не является кумулятивным.

Если планируется обновить только пакеты установочного диска, то предварительно необходимо установить оперативное обновление 4.7.

1)

3 (БЮЛЛЕТЕНЬ №

2021-0915SE47MD

2022-1121SE47).


Примечание

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения в техническую поддержку.


Предупреждение

Ядро Linux, представленное в оперативном обновлении 4.7.3.UU.1, несовместимо с прошивками материнской платы TF307-MB-S-C rev3.0 версии ниже sdk-5.4. 

Перед установкой обновления необходимо выполнить обновление прошивки материнской платы в соответствии с инструкцией производителя. Если обновить прошивку не представляется возможным, после установки обновления необходимо настроить загрузку Astra Linux с использованием файла описания аппаратной конфигурации.

Примечание

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.



Оглавление

Оглавление
maxLevel3
excludeОглавление

Предупреждение

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление базового репозитория (base).

ПодсказкаБазовый репозиторий (base) также содержит пакеты основного репозитория (main), размещённого на установочном диске. В связи с этим при обновлении базового репозитория будут обновлены и пакеты основного репозитория.






Общая информация

Внимание!
Предупреждение
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).
Предупреждение
title


Примечание

После успешной установки обновления (в том числе, после установки обновления с использованием обновленного базового репозитория) проверка целостности программных пакетов установочного диска (основного репозитория - main) осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в корневом каталоге образа диска обновления repository-update.iso.

Предупреждение
titleВнимание!

В случае применения (установки) оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux. 


Порядок установки обновления

Подготовка к установке обновления

Предупреждение

Перед установкой обновлений:


Предупреждение
titleВнимание

В системах с включенным механизмом мандатного контроля целостности обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

Command
df -h /boot

Для установки настоящего обновления требуется не менее 75 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512 МБ).

См. статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.

Информация

Если подключены интернет-репозитории Astra Linux, то оперативное обновление устанавливается командами:

Command

sudo apt update

sudo astra-update -a -r

Информация об альтернативных способах установки оперативного обновления представлена ниже.



Установка обновления

основного репозитория (main)

пакетов установочного диска с использованием образа диска

с обновлением

Загрузка и проверка образа диска с обновлением

  1. Скачать образ диска с обновлением с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.3/uu/1/iso/repository-update.iso
    либо выполнив команду: 

    Command

    wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.3/uu/1/iso/repository-update.iso


  2. Загруженный ISO-образ поместить в каталог, например, /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      Command
      gostsum -d /mnt/repository-update.iso

      Контрольная сумма:

      Информация
      iconfalse

      4b807e6e40d8d6e6b16fe7584be08ea631df7df68836e49d443cd97c3f2cfc84d5cf7d3d6de4ffd0698031d681623bed5628375052a03881c04ca671ad77485e


    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:

      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.3/uu/1/iso/repository-update.iso.sig
        либо выполнив команду: 

        Command

        wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.3/uu/1/iso/repository-update.iso.sig


      2. загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,

      3. перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update.iso repository-update.iso.sig -f repository-update.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
         Подпись проверена.
[ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории из установочного диска и образа диска с обновлением (см. Создание локальных и сетевых репозиториев) и если на обновляемой системе настроен доступ к этим сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

Command
sudo astra-update -a -r -T

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).

Установка обновления с использованием локальной копии образа диска с обновлением

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий образа установочного диска и образа диска с обновлением. Образы дисков могут быть сохранены как локальные файлы, или размещены на подключаемом съемном носителе. Установка обновления в таком случае может быть выполнена командой:

Command
sudo astra-update -a /mnt/<имя_образа_установочного_диска> /mnt/repository-update.iso

В приведенном примере предполагается, что образы дисков скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании инструментов fly-astra-update и astra-update.

Установка обновления

основного репозитория (main)

пакетов установочного диска с использованием зафиксированной ветки интернет-репозитория Astra Linux

Информация

Для Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) в репозиториях доступны дополнительные аппаратно-зависимые компоненты. На момент выпуска настоящего оперативного обновления это:

  • baikal1;
  • huawei1;
  • mtrust1;
  • mesa22.

  1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить следующие строки (на примере аппаратно-зависимого компонента baikal1):

    Блок кода
    # Основной репозиторий, включая аппаратно-зависимый компонент baikal1:
deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.3/uu/1/repository-main/ 4.7_arm main contrib non-free baikal1
 
# Актуальное оперативное обновление основного репозитория, включая аппаратно-зависимый компонент baikal1:
deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.3/uu/1/repository-update/ 4.7_arm main contrib non-free baikal1


  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    Command

    sudo apt update


  3. Установить обновление, выполнив команду:

    Command

    sudo astra-update -a -r -T


Установка обновления пакетов базового репозитория (base)

С использованием зафиксированной ветки интернет-репозитория Astra Linux

Информация

Для Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) в репозиториях доступны дополнительные аппаратно-зависимые компоненты. На момент выпуска настоящего оперативного обновления это:

  • baikal1;
  • huawei1;
  • mtrust1;
  • mesa22.

  1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить следующие строки:

    Блок кода
    # Базовый репозиторий
deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.3/uu/1/repository-base/     4.7_arm main contrib non-free
# Базовый репозиторий - аппаратно-зависимые компоненты
deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.3/uu/1/repository-base/     4.7_arm <название_аппаратно_зависимого_компонента>


  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    Command

    sudo apt update


  3. Установить обновление, выполнив команду: 

    Command

    sudo astra-update -a -r -T



С использованием tar-архива обновленного базового репозитория (base)

Информация
Ссылка на tar-архив обновленного базового репозитория предоставляется в личном кабинете пользователя.

  1. Скачать tar-архив обновленного базового репозитория по ссылке, представленной в личном кабинете.

  2. Загруженный tar-архив поместить в каталог, например, /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      Command
      gostsum  /mnt/base-4.7.3-10uu1-27.1101.20222023_15.11.43.tgz

      Контрольная сумма:

      Информация
      iconfalse

      808ea885899175ae6f2c42502885da65098e800c6c0d50442764cd1b55dad3e3d4d77baff96ef095a5dcab0d6abca60c41501501c74289a9eb7ed2831378e64f


    • проверка отсоединенной электронной подписи ISOtar-образа архива посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:

      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" по ссылке, представленной в личном кабинете,

      2. загруженный файл электронной подписи поместить в каталог /mnt на обновляемой системе,

      3. перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        Command

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached base-4.7.3-uu1-1027.1101.20222023_15.11.43.tgz base-4.7.3-10uu1-27.1101.20222023_15.11.43.tgz.sig -f base-4.7.3-uu1-1027.1101.20222023_15.11.43.tgz.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

        Блок кода
         Подпись проверена.
[ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

  3. Перейти в каталог с tar-архивом обновленного базового репозитория.

  4. Распаковать tar-архив, например, в каталог /srv/base-repository:

    Command

    sudo mkdir /srv/base-repository

    sudo tar zxvf base-4.7.3-10uu1-27.1101.20222023_15.11.43.tgz -C /srv/base-repository/


    Информация

    Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать архив можно сразу на съемный носитель, и далее установку выполнять с этого носителя.


  5. Полученный в результате распаковки архива каталог /srv/base-repository/ подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Для архива, распакованного в указанный локальный каталог, строки описания репозитория выглядит следующим образом:

    Блок кода
    # Базовый репозиторий
deb  file:/srv/base-repository/   4.7_arm main contrib non-free
# Базовый репозиторий - аппаратно-зависимые компоненты
deb  file:/srv/base-repository/   4.7_arm <название_аппаратно_зависимого_компонента>


  6. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    Command

    sudo apt update


  7. Установить обновление, выполнив команду: 

    Command

    sudo astra-update -a -r -T


Завершение установки обновления

Примечание

Если настоящее обновление установлено на Astra Linux, развернутой на аппаратной платформе материнской платы TF307-MB-S-C rev3.0, и версия прошивки этой материнской платы ниже sdk-5.4, необходимо не перезагружая систему выполнить действия, описанные в подразделе Настройка загрузки с использованием файла описания аппаратной конфигурации.


Предупреждение

После выполнения обновления перезагрузить систему.


Действия после установки

обновления
Примечание

Описанные ниже действия не обязательны и выполняются по необходимости.

Добавление корневого сертификата удостоверяющего центра Минцифры России

Информация

Добавление корневого сертификата необходимо выполнить после установки пакета ca-certificates-local и для каждого пользователя.

Добавление корневого сертификата в Firefox

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
  2. В адресную строку ввести "about:preferences" и нажать клавишу <Enter>.
  3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
  4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать...].
  5. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
  6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
  7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

Блок кода
The Ministry of Digital Development and Communications
	Russian Trusted Root CA

Добавление корневого сертификата в Chromium

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
  2. В адресную строку ввести "chrome://settings/certificates" и нажать клавишу <Enter>.
  3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
  4. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
  5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:

Блок кода
org-The Ministry of Digital Development and Communications
	Russian Trusted Root CA

Установка программы «Центр уведомлений»

ИнформацияНачиная с оперативного

обновления

4.7.1 в Astra Linux добавлена программа «Центр уведомлений» (пакет fly-notifications), реализующая вывод сообщений для пользователя на рабочем столе.

Для установки программы «Центр уведомлений» необходимо выполнить команду:

Command
sudo apt install fly-notifications

Во время выполнения этой команды сервис qtnotifydaemon будет автоматически удален.

Якорь
dtb-grub
dtb-grub
Настройка загрузки с использованием файла описания аппаратной конфигурации

Предупреждение
Ядро Astra Linux, представленное в оперативном обновлении 4.7.3.UU.1, несовместимо с прошивками материнской платы TF307-MB-S-C rev3.0 версии ниже sdk-5.4. Перед установкой оперативного обновления 4.7.3 на компьютеры с материнской платой TF307-MB-S-C необходимо обновить прошивку материнской платы до версии не ниже sdk-5.4 или выполнить указанные ниже действия. Невыполнение настоящих рекомендаций приведет к неработоспособности оборудования после установки обновления.

Если обновить прошивку материнской платы не представляется возможным, то необходимо выполнить следующие действия:

  1. Скопировать файл описания аппаратной конфигурации bm1000-mbm10.dtb в каталог /boot, командой:

    Command

    sudo cp -f /usr/lib/firmware/5.4.0-110-generic/device-tree/baikal/bm1000-mbm10.dtb /boot


  2. Отредактировать конфигурационный файл  /boot/grub/grub.cfg —  в разделе menuentry, описывающем загрузку обновленного ядра, добавить строку вида:

    Блок кода
    devicetree /boot/bm1000-mbm10.dtb