Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)


Установка и обновление

Ошибка установки ОС при малом объеме оперативной памяти

Описание

При установке ОС на компьютеры с объемом оперативной памяти меньше 2ГБ после входа в режим LiveISO установка может прерываться.

Рекомендации

Для установки Astra Linux Special Edition 1.8 на компьютеры с объемом памяти менее 2ГБ использовать текстовый режим. При этом требуется не менее 1ГБ оперативной памяти.

Установка ОС зависает на 37%

Описание

При установке ОС с помощью astra-installer из образа на USB установка может зависать на 37% выполнения (этап установки ядра).

Рекомендации

  • Вариант 1. Перед началом загрузки с установочного носителя отключить привод CD/DVD, после чего выполнить загрузку и установку в обычном порядке.
  • Вариант 2. После загрузки операционного окружения установщика но до начала установки ОС в загруженном окружении в файл /usr/lib/python3/dist-packages/astra_installer/configs/installer/amd64/preinst_overrides/etc/apt/apt.conf.d/00CDMountPoint в секцию Acquire::cdrom добавить строку AutoDetect "false";: 
    Блок кода
    Acquire::cdrom {
      AutoDetect "false";
      mount "/media/cdrom"; 
    };
    Dir::Media::MountPath "/media/cdrom";
    после чего начать установку ОС в обычном порядке.

Особенность будет устранена в следующем срочном оперативном обновлении.

Не поддерживается перенос защитного преобразования разделов при обновлении с Astra Linux 1.7.6 на Astra Linux 1.8

Описание

При выполнении автоматического обновления Astra Linux Special Edition 1.7.6 в Astra Linux Special Edition 1.8 дисковые разделы с защитным преобразованием данных создаются без защитного преобразования данных.

Рекомендации

При планировании обновления следует учитывать, что перенос дисковых разделов с сохранением защитного преобразования не поддерживается.

Перенос драйверов Nvidia при обновлении с Astra Linux 1.7.6 на Astra Linux 1.8

Описание

Обновление  с Astra Linux 1.7.6 на Astra Linux 1.8 невозможно из-за ошибок обновления, связанных с драйверами Nvidia.

Рекомендации

Перед выполнением обновления установить самую свежую версию драйверов Nvidia, поддерживающую имеющееся оборудование и доступную в очередных обновлениях 1.7 и 1.8. Также рекомендуется до выполнения обновления убедиться, что установленные драйверы корректно работают после перезагрузки.

В составе дистрибутива отсутствует ядро hardened

Описание

В составе дистрибутивов Astra Linux Special Edition x.8 отсутствует ядро hardened (ядро операционной системы с усиленной самозащитой).

Рекомендации

Ядро hardened исключено из состава дистрибутива Astra Linux Special Edition x.8. При этом ОС с основным ядром полностью соответствует требованиям по защите информации и работает в соответствии с эксплуатационной документацией. 
Для обеспечения безопасной работы ОС также подготовлены методические рекомендации по безопасной настройке. При эксплуатации ОС следует руководствоваться указанными материалами. См. также Политика включения ядер Linux в Astra Linux Special Edition.

Не работает сетевая установка на диски vfat

Описание

Не работает сетевая установка на дисковые разделы с файловой системой vfat.

Рекомендации

Использовать для установки Astra Linux Special Edition 1.8 дисковые разделы с современными файловыми системами, поддерживающими мандатное управление доступом и мандатный контроль целостности: ext2, ext3, ext4, xfs.
Ограничение будет устранено в следующих оперативных обновлениях.

Предупреждение "Warning: apt-key is deprecated...." при установке ключей для сторонних репозиториев

Описание

При установке ключей для сторонних репозиториев выдается некритичное предупреждение:

Блок кода
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))

Рекомендации

Использовать современный более безопасный метод установки ключей, см. Установка ключей для сторонних репозиториев пакетов.

При проверке с использованием fly-fm не совпадает контрольная сумма установочного образа

Описание

При проверке с помощью графического файлового менеджера (fly-fm) контрольной суммы (КС) загруженного через личный кабинет образа установочного диска  installation-1.8.1.6-27.06.2024_14.12.iso (для проверки в fly-fm: ПКМ - "Свойства" - "КС") полученная КС (034a26394215b156f3483d34336b9d4786127012390494d8ba2294b2b838f607) не совпадает с КС, указанной в файле installation-1.8.1.6-27.06.2024_14.12.iso.gost (a9f534d69ef1497c4766dc4d0d6a8ebb6fb1f7242f66a52952bda5acdff09bdf).

Рекомендации

Проверку контрольный сумм образов дисков следует выполнять с использованием опции -d команды проверки gostsum. Графический менеджер файлов поверяет образы дисков как обычные файлы и не использует указанную опцию. Обе полученные КС верны для своей области применения. Примеры:

  1. Проверка КС файла как образа диска (используется при подсчете КС для проверочного файла с КС):
    Command
    Titlegostsum -d Загрузки/installation-1.8.1.6-27.06.2024_14.12.iso

    a9f534d69ef1497c4766dc4d0d6a8ebb6fb1f7242f66a52952bda5acdff09bdf  Загрузки/installation-1.8.1.6-27.06.2024_14.12.iso

  2. Проверка КС файла как файла (используется в графическом файловом менеджере):
    Command
    Titlegostsum Загрузки/installation-1.8.1.6-27.06.2024_14.12.iso

    034a26394215b156f3483d34336b9d4786127012390494d8ba2294b2b838f607  Загрузки/installation-1.8.1.6-27.06.2024_14.12.iso

Сетевые службы

Не найден сетевой интерфейс ethN

Описание

После установки ОС недоступны проводные сетевые интерфейсы ethN (eth0, eth1, eth2, ...).

Рекомендации

В Astra Linux Special Edition x.8 по умолчанию используется схема предсказуемого именования сетевых интерфейсов. При использовании этой схемы названия сетевых интерфейсов формируются по определенным правилам, например, наиболее употребительные варианты:

  • Двухбуквенный префикс имени, определяющий тип сетевого интерфейса:
    • en — ethernet;
    • wl — wlan;
  • Тип имени: 
    • o<index> — интегрированное устройство;
    • p<bus>s<slot>[f<function>][d<dev_port>] — устройство, размещенное на шине PCI, идентифицируемое номером на шине и номером слота;
    • x<MAC> — устройство, идентифицируемое MAC-адресом.

Примеры:

  • eno1 — интегрированный сетевой адаптер Ethernet;
  • enp6s0 — сетевой адаптер Ethernet на шине PCI, номер на шине 6, слот 0;
  • wlx112233445566 — адаптер WiFi с MAC-адресом 112233445566.

Рекомендуется адаптировать ПО к сделанным изменениям.

Принятую по умолчанию схему можно отключить (не рекомендуется). Для этого:

  1. В файле параметров ядра /etc/default/grub в строке GRUB_CMDLINE_LINUX_DEFAULT указать параметр net.ifnames=0.
  2. Выполнить команду:
    Command
    sudo update-grub
  3. Перезагрузить ОС.

Интерфейс локальной петли находится под управлением NetworkManager

Описание

В отличие от предыдущих очередных обновлений в Astra Linux Special Editon 1.8 интерфейс локальной петли (loopback) находится под управлением сетевой службы NetworkManager. Это может влиять на управление сетевым стеком IPv6.

Рекомендации

Рекомендации по управлению стеком IPv6 с учетом указанной особенности представлены в инструкции IPv6: включение и выключение. См. также статью Настройка сетевых подключений в Astra Linux.

Не найден пакет/команда ceph-deploy

Описание

При настройке файловой системы ceph по инструкции Распределенная файловая система CephFS не устанавливается пакет ceph-deploy. 

Рекомендации

Пакет ceph-deploy более не сопровождается разработчиками и исключен из состава Astra Linux Special Edition x.8. Для развертывания файловой системы ceph в Astra Linux Special Edition x.8 следует использовать инструкции из актуальной версии Руководства Администратора, ч.1, доступной на странице Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8). Эксплуатационная и дополнительная документация.

Openvpn

Не работает подключение между сервером openvpn Astra Linux Special Edition 1.8 и клиентами с более ранним обновлением

Описание

При совместном использовании сервера openvpn под управлением Astra Linux Special Edition 1.8 и клиентов более ранних очередных обновлений подключение клиентов не выполняется. 

Рекомендации

  1. На сервере openvpn:
    1. Если используется параметр конфигурации ncp-diasble, то удалить его.
    2. В значение параметра конфигурации службы openvpn data-ciphers добавить алгоритмы защитного преобразования kuznyechik-cbc и AES-256-GCM. Если параметр отсутствует, то добавить его. Названия алгоритмов разделяются символом двоеточие. Например:
      Блок кода
      data-ciphers kuznyechik-cbc:AES-256-GCM
    3. Значение параметра auth заменить на SHA1:
      Блок кода
      auth SHA1


    4. Перезапустить службу openvpn.
  2. На клиентских машинах:
    1. На клиентских машинах с очередными обновлениями, выпущенными до очередного обновления 1.8 (openvpn версии 2.4), использовать для параметра конфигурации ncp-cipher значение ncp-ciphers grasshopper-cbc:AES-256-GCM:
      Блок кода
      ncp-ciphers grasshopper-cbc:AES-256-GCM
    2. На всех клиентских машинах если используется параметр auth, то его значение заменить на SHA1:
      Блок кода
      auth SHA1

Не работает подключение между клиентами openvpn Astra Linux Special Edition 1.8 и сервером openvpn с более ранним обновлением

Описание

При совместном использовании клиентов openvpn под управлением Astra Linux Special Edition 1.8 и серверов с более ранним очередным обновлением подключение клиентов не выполняется.

Рекомендации

  1. На сервере openvpn:
    1. Если используется параметр конфигурации ncp-diasble, то удалить его.
    2. В значение параметра конфигурации службы openvpn ncp-ciphers добавить алгоритмы защитного преобразования grasshopper-cbc и AES-256-GCM. Если параметр отсутствует, то добавить его. Названия алгоритмов разделяются символом двоеточие. Например:
      Блок кода
      ncp-ciphers grasshopper-cbc:AES-256-GCM
    3. Если используется параметр auth, то его значение заменить на SHA1:
      Блок кода
      auth SHA1
    4. Перезапустить службу openvpn.
  2. На клиентских машинах:
    1. На клиентских машинах с Astra Linux 1.8, использовать для параметра конфигурации data-ciphers значение kuznyechik-cbc:AES-256-GCM. Если параметр отсутствует, то добавить его. Например:
      Блок кода
      data-ciphers kuzniechk-cbc:AES-256-GCM
    2. Если используется параметр auth, то его значение заменить на SHA1:
      Блок кода
      auth SHA1

OpenSSL

Недоступен интерактивный режим OpenSSL

Описание

При работе с OpenSSL недоступен интерактивный режим (режим командной строки). Команда

Command
openssl

вместо приглашения к работе в интерактивном режиме выводит список своих подкоманд и завершает работу.

Рекомендации

В Astra Linux x.8 используется OpenSSL поколения 3, в котором исключена поддержка интерактивного режима. Для выполнения функций, ранее реализованных с использованием интерактивного режима, следует использовать опции командной строки.
См. также: Различия версий OpenSSL 1.1 и 3.

Работа в доменах

Недоступен пакет ald-server-common

Описание

При установке домена ALD по инструкции Astra Linux Directory (ALD) недоступен пакет ald-server-common.

Рекомендации

ПО ALD исключено из состава Astra Linux Special Edition x.8. Для организации доменов рекомендуется использовать программный комплекс ALD Pro. Также возможно использование доменов FreeIPA, Samba, Windows AD.

Пользователь домена не может выполнить вход/не найден

Описание

При работе пользователей домена при использовании коротких имен пользователей (имен без указания домена) невозможен вход в ОС, или не работают некоторые команды, сообщая, что пользователь не найден или не существует.

Рекомендации

В Astra Linux Special Edition x.8 после ввода компьютеров под управлением ОС в домен по умолчанию используются полные имена пользователей (имена с указанием домена). Это позволяет устранить необходимости обеспечивать несовпадение имен локальных и доменных пользователей.

Рекомендуется адаптировать ПО к использованию полных имен.

Использование полных имен можно отключить (не рекомендуется). При этом ответственность за обеспечение несовпадения имен локальных и доменных пользователей ложится на администраторов информационной системы. Для отключения использования полных имен:

  1. В файле /etc/sssd/sssd.conf опции use_fully_qualified_names присвоить значение false;
  2. Перезапустить службу ssssd.

Не работает аутентификация Kerberos для доменной службы apache2: ошибка "AM00003: getpwnam(...) failed: user not found"

Описание

При работе доменной службы apache2 в режиме AstraMode on аутентификация Kerberos для доменных пользователей не выполняется, в журнале /var/log/apache2/error.log фиксируется ошибка вида:

Блок кода
AM00003: getpwnam(...) failed: user not found

Рекомендации

Для корректного выполнения аутентификации Kerberos для доменных пользователей в файле /etc/apache2/apache2.conf указать (раскомментировать) параметр IncludeRealm со значением on:

Блок кода
IncludeRealm on
 

Не работает аутентификация Kerberos для доменной службы apache2: недоступен модуль mod_auth_kerb

Описание

Не работает аутентификация Kerberos для доменной службы apache2. Недоступен модуль аутентификации Kerberos mod_auth_kerb (пакет libapache2-mod-auth-kerb).

Рекомендации

В Astra Linux Special Edition x.8 пакет libapache2-mod-auth-kerb, предоставляющий модуль libapache2-mod-auth-kerb, исключен как устаревший. Его заменой является пакет libapache2-mod-auth-gssapi (модуль mod_auth_gssapi).

Для устранения проблемы:

  1. Установить пакет libapache2-mod-auth-gssapi:

    Блок кода
    sudo apt install libapache2-mod-auth-gssapi


  2. В конфигурационных файлах службы apache2 использовать тип аутентификации GSSAPI. Например:

    Блок кода
    title/etc/apache2/conf-available/kerberos-auth.conf
            <Location />
                AuthType GSSAPI
                AuthName "Kerberos Authentication"
                GssapiBasicAuth On
                GssapiLocalName On
                GssapiCredStore keytab:$keytab
                require valid-user
            </Location>
    


Подробнее см. статью: Настройка аутентификации Kerberos для службы apache2 в Astra Linux.

Не удается подключиться к БД mariadb с использованием Kerberos

Описание

Доменным пользователям не удается подключиться к БД mariadb.

Рекомендации

Использовать для подключения полное доменное имя пользователя, включающее имя области (realm) Kerberos. Имя области должно быть указано заглавными буквами. Например: user@IPA.RBT.

Не работает монтирование носителей, учтенных для доменных пользователей

Описание

Не работает монтирование с помощью fly-reflex-service носителей, учтенных для доменных пользователей.

Рекомендации

Проблема будет устранены в следующих обновлениях.
До устранения проблемы использовать короткие имена доменных пользователей:

  • при вводе в домен применять опцию -sn;
  • на ранее введенных домен машинах отключить использование полных имен, для чего в файле /etc/sssd/sssd.conf опции use_fully_qualified_names присвоить значение false и перезапустить службу ssssd.

В службе управления печатью CUPS не работает аутентификация Kerberos

Описание

В службе управления печатью CUPS не работает аутентификация Kerberos (GSSAPI).

Рекомендации

Проблема будет устранены в следующих обновлениях.
До устранения проблемы использовать короткие имена доменных пользователей:

  • при вводе в домен применять опцию -sn;
  • на ранее введенных домен машинах отключить использование полных имен, для чего в файле /etc/sssd/sssd.conf опции use_fully_qualified_names присвоить значение false и перезапустить службу ssssd.

В службе apache2 не работает аутентификация Kerberos

Описание

В службе apache2 не работает аутентификация Kerberos (GSSAPI).

Рекомендации

Установить в конфигурации службы apache2 параметр:

Блок кода
IncludeRealm on


Якорь
postgresql+kerberos
postgresql+kerberos
В БД postgresql не работает аутентификация Kerberos

Описание

В базе данных postgresql не работает аутентификация Kerberos (GSSAPI).

Рекомендации

Настроить отображение имен доменных пользователей в имена базы данных. 
Пример:

Блок кода
mymap /^(.*)@mydomain\.com$ \1
mymap /^(.*)@otherdomain\.com$ guest

Подробнее см. документацию по базе данных.

В командах ldapmodify и ldapsearch недоступны опции -h и -p

Описание

В командах ldapmodify и ldapsearch недоступны опции -h (указание имени хоста) и -p (указание имени порта).

Рекомендации

Поддержка указанных опций прекращена. Вместо этих опций следует использовать универсальное указание ресурса (ресурсов) с помощью опции -H.

Защищенная СУБД (ЗСУБД)

См. также: В БД postgresql не работает аутентификация Kerberos.

После установки OC не запускается кластер ЗСУБД

Описание

После установки OC Astra Linux Special Edition x.8 не запускается кластер ЗСУБД. При попытке запуска в системных журналах регистрируются ошибки вида:

Блок кода
июн 20 12:57:17 susrv postgresql@15-main[2958]: 2024-06-20 09:57:17.547 GMT [2962] СООБЩЕНИЕ:  неверное значение для параметра "ac_audit_destination": "all"
июн 20 12:57:17 susrv postgresql@15-main[2958]: 2024-06-20 09:57:17.547 GMT [2962] ПОДСКАЗКА:  Available values: syslog, logfile.Устранение проблемы

Рекомендации

Журналы, в которые выполняется запись диагностических сообщений, определяются параметром ac_audit_destination. Начиная с обновления Astra Linux Special Edition x.8 в конфигурации ЗСУБД более не поддерживаются следующие значения параметра ac_audit_destination:

  • parsec;
  • all.

Для устранения проблемы следует заменить значение параметра ac_audit_destination на одно из значений:

  • syslog — запись в системный журнал;
  • logfile — запись в журнал postgresql.

После изменения значения запустить кластер.

Не выполняется запись диагностических сообщений в журнал PARSEC и в системный журнал

Описание

При эксплуатации ЗСУБД, установленной после установки ОС, не выполняется запись диагностических сообщений в журнал PARSEC и системный журнал.

Рекомендации

Журналы, в которые выполняется запись диагностических сообщений, определяются параметром ac_audit_destination. Начиная с обновления Astra Linux Special Edition 1.8 в конфигурации ЗСУБД более не поддерживаются следующие значения параметра ac_audit_destination:

  • parsec;
  • all.

Параметру ac_audit_destination при установке ЗСУБД присваивается значение logfile (запись в журнал postgresql). При необходимости можно использовать значение syslog — запись в системный журнал. Иные значения параметра не  используются. При необходимости перенаправления диагностических сообщений в другие журналы следует использовать возможности службы syslog-ng, см. статью Журналы работы системных служб.

Недостаточно прав для изменения схемы public

Описание

При работе с базами данных после предоставления пользователю полных прав доступа к базе данных:

Блок кода
GRANT ALL ON DATABASE <имя_базы_данных> TO <имя_пользователя>;

возникают ошибки нехватки прав вида "permission denied for schema public".

Рекомендации

В Astra Linux Special Edition x.8 используется защищенная ЗСУБД соответствующая СУБД postgresql версии 15. В отличие от версий, использовавшихся в более ранних очередных обновлениях, в этой версии права изменения публичных схем баз данных (public и др.) по умолчанию отсутствуют у всех пользователей, кроме владельца базы данных. Рекомендованным способом предотвращения проблемы недостатка прав является создание для каждого пользователя индивидуальной схемы, в которых будут локализоваться вносимые пользователем изменения:

Блок кода
CREATE SCHEMA <имя_схемы> AUTHORIZATION <имя_пользователя>;

Для совместимости с ранее разработанными приложениями возможны следующие решения: 

  • сделать пользователя владельцем базы данных, тем самым предоставив ему все возможные права:
    Блок кода
    ALTER DATABASE <имя_базы_данных> OWNER TO <имя_пользователя>;
  • принудительно предоставить необходимые права пользователю:
    Блок кода
    GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA <имя_схемы> TO <имя_пользователя>;
    GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA <имя_схемы> TO <имя_пользователя>;

Имя схемы по умолчанию - public, однако могут использоваться и другие имена схем. Подробнее см. документацию на СУБД postgresql.

Не поддерживаются длинные имена идентификаторов

Описание

При использовании длинных идентификаторов (имен) возникают ошибки. Максимальная длина идентификатора составляет:

  • при использовании символов ASCII (в частности, латиницы) —  63 символа;
  • при использовании кириллицы (кодировка utf8) — 31 символ;
  • при использовании других символов максимальная длина идентификатора уменьшается и зависит от использованного набора символов.

Рекомендации

Максимальная допустимая длина идентификатора задается при сборке и не может быть изменена. В Astra Linux Special Edition x.7 использовалась максимальная длина идентификатора 255 байт (сборка ЗСУБД с параметром NAMEDATALEN = 256). В Astra Linux Special Edition x.8 в целях оптимизации производительности, улучшения тестирования и повышения устойчивости работы ЗСУБД максимальная длина идентификатора уменьшена до 63 байт (NAMEDATALEN=64). Прикладное ПО должно быть адаптировано к этим изменениям.

Виртуализация и контейнеризация

Не работает ограничение скорости операций ввода-вывода в контейнерах docker

Описание

Не работает ограничение скорости операций ввода-вывода в контейнерах docker. Опции запуска контейнера, задающие ограничения:

  • --device-read-bps;
  • --device-write-bps;
  • --device-read-iops;
  • --device-write-iops.

заданные при запуске контейнера не применяются. Проверить наличие ограничений запущенного контейнера можно командой

Command
docker inspect <идентификатор_контейнера>

Данное поведение не специфично для Astra Linux Special Edition и наблюдается в других ОС

Рекомендации

Для запуска контейнеров с ограничениями скорости операций ввода-вывода использовать команду docker-compose. Для запуска контейнера с помощью этой команды:

  1. Подготовить конфигурационный файл для docker-compose с указанием в этом файле имени запускаемого образа необходимых ограничений. Например, файл docker-compose.yml для запуска образа AstraLinux со следующим содержимым:
    Блок кода
    version: '3.8'
    services:
      mycontainer:
        image: AstraLinux
        container_name: mycontainer
        tty: true
        stdin_open: true
        blkio_config:
          device_read_bps:
            - path: /dev/sda
              rate: 1048576
          device_write_bps:
            - path: /dev/sda
              rate: 1048576
          device_read_iops:
            - path: /dev/sda
              rate: 1000
          device_write_iops:
            - path: /dev/sda
              rate: 1000
  2. Запустить контейнер с помощью комнанды docker-compose:
    Command
    docker-compose up -d

После выполнения указанных действий контейнер будет запущен с применением указанных ограничений. Убедиться в этом можно с помощью команды docker-inspect.

Ограничение ресурсов контейнеров docker не работает в rootlessenv службе

Описание

При включенном мандатном контроле целостности не работает ограничение ресурсов контейнеров docker в rootlessenv службе docker. Например, не работает ограничение объема выделяемой контейнеру памяти. Кроме того, не работает приостановка работы контейнера:

Command
rootlessenv docker pause

При запущенной пользовательской службе rootless docker проверить ограничения ресурсов, установленные для запущенных контейнеров, можно командой:

Command
rootlessenv docker stats

Рекомендации

Для устранения проблемы при работе с Astra Linux Special Edition 1.8:

  1. Установить пакет dbus-user-session:

    Command

    sudo apt install dbus-user-session


  2. В параметры загрузки (файл /etc/default/grub) добавить параметр cgroup_enable=memory и параметр swapaccount=1. Например:

    Блок кода
    GRUB_CMDLINE_LINUX_DEFAULT="quiet splash parsec.max_ilev=0 cgroup_enable=memory swapaccount=1"

     

  3. В файле /usr/share/rootless-helper-astra/start-label.sh в последней строке заменить значение cgroupfs параметра native.cgroupdriver:

    Блок кода
    native.cgroupdriver=cgroupfs

    на значение systemd:

    Блок кода
    native.cgroupdriver=systemd

    Например:

    Блок кода
    exec /usr/share/docker.io/contrib/dockerd-rootless.sh --exec-opt native.cgroupdriver=systemd

     

  4. Отключить мандатный контроль целостности:

    Command

    sudo astra-mic-control disable


  5. Перезагрузить ОС:

    Command

    sudo reboot


Полностью проблема будет устранена в следующих обновлениях.

Не запускаются контейнеры podman,  использующие память подкачки

Описание

Контейнеры Podman не запускаются от имени непривилегированного пользователя если для контейнера задано использование памяти подкачки и включен мандатный контроль целостности.

Рекомендации

Для устранения проблемы при работе с Astra Linux Special Edition 1.8 следует:

  1. При работе с включенным мандатным контролем целостности (МКЦ) не использовать ограничения ресурсов контейнеров, то есть не использовать следующие опции:
    1. --cgroup-manager;
    2. -dt;
    3. --memory;
    4. --memory-swap. 


  2. При возможности отключить МКЦ:
    1. Установить пакет dbus-user-session:

      Command

      sudo apt install dbus-user-session


    2. Отключить мандатный контроль целостности:

      Command

      sudo astra-mic-control disable


    3. Перезагрузить ОС:

      Command

      sudo reboot


На контроллере домена FreeIPA не запускаются виртуальные сети QEMU/KVM

Описание

После установки системы виртуализации QEMU/KVM на контроллер домена FreeIPA (ALD Pro) в системе виртуализации не запускаются виртуальные сети.

Рекомендации

Система виртуализации QEMU/KVM использует пакет dnsmasq-base, содержащий службу DNS dnsmasq. Контроллер домена FreeIPA в обязательном порядке использует собственную службу DNS, предоставляемую пакетом bind9. Начиная с оперативного обновления Astra Linux 1.8.1 службы dnsmasq и bind9 несовместимы. Для устранения проблемы рекомендуется исключить использование контроллеров домена FreeIPA как host-машин для службы виртуализации QEMU/KVM. Системы виртуализации следует разворачивать на клиентских машинах домена.


Утилиты FLY

В меню Пуск не появляются ярлыки

Описание

В меню Пуск у пользователей не появляются ярлыки и иные файловые объекты, размещенные в каталоге /usr/share/applications/flystartmenu.

Рекомендации

В Astra Linux Special Edition x.8 используются две версии меню Пуск: классическая и новая. Новая версия меню Пуск, в отличие от классической, не поддерживает работу с каталогом /usr/share/applications/flystartmenu. Для публикации ярлыков:

  • при использовании новой версии меню — публиковать ярлыки в каталоге  /usr/share/applications/;
  • при необходимости публиковать иные объекты, а также при необходимости обеспечения совместимости — использовать классическую версию меню.

Подробнее см. статью: Общие ярлыки/папки на рабочих столах/в меню пользователей

В меню Пуск отсутствует Панель управления

Описание

В меню Пуск отсутствует Панель управления.

Рекомендации

В Astra Linux Special Edition x.8 приложение Панель управления (fly-admin-center) заменено приложением Параметры системы (инструмент astra-systemsettings, пакет astra-systemsettings). Для доступа к остальным модулям настроек fly, составляющим классическую Панель управления, используется раздел Параметры нового меню Пуск, в котором в виде иерархической группировки доступны как новые так и старые модули настроек:

Дополнительно, при выборе классического меню Пуск:
 
разделы Панели управления продублированы в группе Параметры

Пакет fly-admin-center перенесен в расширенный репозиторий. При его установке в классическом меню Пуск происходит переопределение вызова и вызывается Панель управления вместо Параметров системы.

Не найден инструмент fly-admin-smc

Описание

Не найден (отсутствует) графический инструмент администрирования fly-admin-smc.

Рекомендации

Для администрирования системы следует использовать графический инструмент astra-systemsettings (пакет astra-systemsettings), заменяющий в Astra Linux Special Edition x.8 графический инструмент fly-admin-smc.

Анимация fly-start-menu выполняется слишком медленно

Описание

В Astra Linux Special Edition 1.8 по умолчанию включена анимация развертывания меню "Пуск". Использование анимации может негативно влиять на производительность системы, а также вызывать субъективный дискомфорт у пользователей.

Рекомендации

Для устранения негативных эффектов анимацию меню "Пуск" можно отключить. Для отключения анимации можно в настройках меню пуск отключить пункт "Использовать анимацию при раскрытии меню" или выполнить следующие действия:

  1. В секцию [General] файла .config/rusbitech/fly-start-menu.conf в домашнем каталоге пользователя добавить параметр animationEnabled=false. Пример содержимого файла:

    Блок кода
    [General]
    animationEnabled=false

    Если файла .config/rusbitech/fly-start-menu.conf нет, то создать его:

    Command
    echo -e "[General]\nanimationEnabled=false" | sudo tee ~<имя_пользователя>/.config/rusbitech/fly-start-menu.conf
    sudo chown <имя_пользователя>:<имя_пользователя> ~<имя_пользователя>/.config/rusbitech/fly-start-menu.conf


  2. Для отключения анимации у будущих пользователей действуя от имени суперпользователя (при включенном МКЦ — от имени суперпользователя с высоким уровнем целостности) создать файл .config/rusbitech/fly-start-menu.conf с указанным выше содержимым в каталоге /etc/skel.

Прекращается отслеживание изменяемых файлов inotify

Описание

В состав Astra Linux входит подсистема inotify. Эта подсистема позволяет приложениям получать уведомления об изменении файловых объектов. Для отслеживания изменений для каждого контролируемого каталога приложением, использующим inotify, создается экземпляр (instance) inotify в ядре. При изменении или удалении какого-либо файлового объекта  в этом каталоге генерируется уведомление. Уведомления обрабатываются приложением, создавшим inotify.

Количество одновременно создаваемых instance лимитировано. При превышении лимита создание новых instance завершается ошибкой. Лимит количества instance по умолчанию определяется автоматически, и зависит от следующих параметров ядра: 

  • fs.inotify.max_user_watches — выбирается в диапазоне 8 192 — 1 048 576, при этом на размещение instance выделяется не более 1% от адресуемой памяти (один instance при использовании архитектуры x86-64 занимает 80 байт);
  • fs.inotify.max_user_instances — максимальное количество экземпляров не должно превышать значение параметра kernel.pid_max (128 по умолчанию);
  • kernel.pid_max — значение параметра по умолчанию определяется как 1024 * <количество_процессоров/нитей>. Например:
    • для системы с 32 процессорами это 32 768;
    • для системы с 64 процессорами это 65 536;
    • для системы  с 4096 процессорами это 4 194 304 (максимально возможный лимит).

Рекомендации

Для устранения проблемы необходимо увеличить значение лимита instance.

Текущий значения параметров можно узнать командой:

Command
cat /proc/sys/fs/inotify/{max_user_watches,max_user_instances} /proc/sys/kernel/pid_max

Изменить значение лимита количества instance можно командой:

Command
sudo sysctl fs.inotify.max_user_watches=<новое_значение_лимита>

где <новое_значение_лимита> — число, задающее значение.
Такое изменение будет действовать до перезагрузки. Для того, чтобы значение лимита устанавливалось автоматически после перезагрузки, с
оздать в каталоге /etc/sysctl.d/ файл с произвольным именем и расширением .conf. Например, создать файл /etc/sysctl.d/40-max-user-watches.conf со следующим содержимым:

Блок кода
title/etc/sysctl.d/40-max-user-watches.conf
fs.inotify.max_user_watches=<значение_лимита>

где <значение_лимита> — число, задающее значение лимита instance.

Включение драйвера ввода libinput в усиленном и максимальном режимах защиты

Описание

В Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.8 по умолчанию используется драйвер ввода evdev (пакет xserver-xorg-input-evdev). При этом более перспективным является использование драйвера libinput (пакет xserver-xorg-input-libinput, устанавливается по умолчанию, но не используется). При следующих условиях:

  • ОС работает в усиленном и максимальном режимах защиты;
  • графический сервер работает без привилегий суперпользователя (см.статью Уязвимости при переключении fly-dm на работу от имени root).

драйвер libinput не работает

Рекомендации

Для перехода на использование драйвера libinput:

  1. Убедиться, что в системе работает драйвер evdev:
    Command
    sudo grep "Using input" /var/log/fly-dm/Xorg.0.log
    В результате выполнения команды будут выведены сообщения об используемом драйвере ввода, например:
    Блок кода
    Using input driver 'evdev' for 'Power Button'
  2. Установить пакет пакет xserver-xorg-input-libinput если он не был ранее установлен:
    Command
    sudo apt install xserver-xorg-input-libinput
  3. Запретить запуск драйвера evdev, для чего переименовать файл /usr/share/X11/xorg/conf.d/41-evdev.conf  в /usr/share/X11/xorg/conf.d/40-evdev.conf:
    Command
    sudo mv /usr/share/X11/xorg.conf.d/41-evdev.conf /usr/share/X11/xorg.conf.d/40-evdev.conf
    Информация

    Удалять пакет xsever-xorg-input-evdev не рекомендуется, так как вместе с ним будут удалены некоторые другие пакеты.

  4. В файле /usr/sbin/pdp-init-fs закоментировать (удалить) строки (если они там есть):
    Блок кода
    /usr/sbin/pdpl-file -R "$imaxlbl:CCNRA" /dev/input
    /usr/sbin/pdpl-file -R "$imaxlbl"       /dev/input
  5. Создать файл /etc/udev/rules.d/99-astra-input-labeling.rules со следующим содержимым:
    Блок кода
    # prevent input device hijacking but allow access for Xorg drivers
    ACTION=="remove", GOTO="input_labeling_end"
    SUBSYSTEM=="input", PDPL="0:8:0x0:ssi"
    LABEL="input_labeling_end"
  6. Перезагрузить ОС:
    Command
    sudo reboot

После перезагрузки войти в систему и убедиться, что используется драйвер ввода libinput (см. п.1).

Данная особенность будет устранена в следующих оперативных обновлениях.

Комплекс средств защиты информации

Создаваемые файловые объекты не наследуют метку целостности контейнера

Описание

В расширенном режиме Мандатного Контроля Целостности (режим strict mode) при создании файловых объектов (сущностей) создаваемым объектам назначается нулевая метка. Метка целостности каталога (контейнера) в котором создается объект не наследуется.

Рекомендации

При необходимости использовать strict mode, одновременно обеспечив наследование меток целостности каталогам, в которых должна наследоваться метка целостности, должны быть присвоены атрибуты метки безопасности iinh и irelax:

  • При наличии только атрибута iinh создаваемые файловые объекты будут наследовать метку целостности каталога, в котором они создаются. Создаваемые каталоги при этом будут наследовать атрибут iinh. Метка целостности процесса, создающего объекты, при этом должна быть не ниже метки целостности контейнера.
  • При наличии атрибута irelax метка целостности процесса, создающего объекты, может быть меньше метки целостности каталога. Метка целостности создаваемого объекта при этом будет выбираться как максимальная метка, меньшая меток процесса и каталога.
  • При одновременном наличии атрибутов iinh и irelax действуют правила наследования метки целостности, определенные атрибутом irelax. Атрибут iinh при этом наследуется.

Подробнее см. эксплуатационную документацию, "Руководство по КСЗ", ч.1.

Недоступен инструмент psmac

Описанием

Недоступен инструмент psmac (чтение и установка классификационной метки процесса).

Рекомендации

Инструмент psmac исключен из состава Astra Linux Special Edition x.8. Изменение меток безопасности выполняющихся процессов в Astra Linux Special Edition x.8 не поддерживается.

Недоступен инструмент astra-modban-lock

Описание

Недоступен инструмент astra-modban-lock из состава пакета astra-safepolicy.

Рекомендации

Инструмент astra-modban-lock исключен из состава пакета astra-safepolicy. Замена не предусмотрена. Для предотвращения загрузки неподписанных модулей следует использовать механизм замкнутой программной среды (ЗПС).

Ошибки проверки целостности (неизменности) файловых объектов

Описание

При проверке целостности (неизменности) файловых объектов с помощью графического инструмента fly-admin-int-check или инструмента командной строки astra-int-check возможны ложные сообщения об изменении файлов.

Рекомендации

При появлении сообщений о нарушении целостности (изменении файлов) следует убедиться, что файлы, указанные в сообщениях как измененные, не являются символическими ссылками на символические ссылки. Проверка цепочек символических ссылок не поддерживается, что ведет к появлению ложных сообщений. При интерпретации результатов проверки следует учитывать только информацию о наличии или отсутствии изменений в целевом файле цепочки.

Данная особенность будет устранена в следующих оперативных обновлениях.