Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Кумулятивное оперативное обновление для нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6).

Данное обновление включает в себя:



Warning
Перед установкой оперативных обновлений рекомендуется ознакомиться с подробной инструкцией по
установке обновлений ОС Astra Linux с компакт-дисков.


Warning
Всё программное обеспечение, разработанное с использованием оперативных обновлений для дисков со средствами разработки, будет корректно функционировать только в среде ОС Astra Linux с установленными соответствующими оперативными обновлениямии.


Warning

Совместимость версий ПК СВ Брест с обновлениями ОС Astra Linux Special Edition


Для установки обновления необходимо выполнить обновление операционной системы в соответствии с инструкцией, приведенной ниже. 

1. Загрузить образ диска с обновлениями по ссылке:

Скачать


Info
Обновление диска со средствами разработки, соответствующее бюллетеню № 20190912SE16, доступно по ссылке.


2. Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы, выполнив команду:

Command
gostsum -d /mnt/20190912SE16.iso

Контрольная сумма:

Info
iconfalse

f70a610c3d8405218484a621191afdd1902506575319f30e3be640db198a1039


Tip
Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать).
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikatyПорядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.


Warning
titleВнимание

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6)

3. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться  в том, что зарегистрирован и доступен установочный диск, для чего
просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

Command
sudo apt-cdrom add

4. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации  повторить для всех компакт-дисков.

5. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:

Command

sudo mount /mnt/20190912SE16.iso /media/cdrom
sudo apt-cdrom -m add
sudo umount /media/cdrom

на вопрос об имени диска ввести "20190912SE16".

Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать по из параллельной терминальной сессии.

Note

Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.


Note

В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.

При установке с использованием компакт-диска дистрибутива ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и файла - образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

Command
sudo mount /mnt/20190912SE16.iso /media/cdrom


6. После завершения регистрации всех компакт-дисков и образов запустить сессию суперпользователя с высоким уровнем целостности и в этой сессии выполнить команды:

Command

sudo -s
apt update

apt dist-upgrade
apt -f install

По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.

Warning

После выполнения обновления рекомендуется перезагрузить систему.

После перезагрузки ОС рекомендуется проверить успех обновления:

Command

sudo apt-get check

и, при необходимости, повторно выполнить команду

Command

sudo apt -f install

После завершения выполнения указанных команд обновление операционной системы будет выполнено .


Note

После установки оперативного обновления изменятся и не будут совпадать контрольные суммы некоторых файлов, входящих в пакеты fly-admin-winprops и fly-winprops-service. Для устранения этой проблемы после установки оперативного обновления следует обновить указанные пакеты следующими командами:

Command

sudo apt install --reinstall fly-admin-winprops
sudo apt install --reinstall fly-winprops-service



Warning
titleВнимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.


Info

Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам  (каталогам файловой системы). 


Note

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.