Удалить перед публикацией
Источник:
ftp://192.168.41.31/incoming/SMOLENSK-1-6-FSB/repository-update-bin.iso
ftp://192.168.41.31/incoming/SMOLENSK-1-6-FSB/repository-update-dev.iso
Размещение:
Общий каталог обновлений Исп 1:
- https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6-FSB
- https://dl.astralinux.ru/astra/stable/smolensk/devel/1.6-FSB
Каталог для обновления:
- https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6-FSB/Up1-20201007SE16
- https://dl.astralinux.ru/astra/stable/smolensk/devel/1.6-FSB/Up1-20201007SE16
Образы:
- https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6-FSB/Up1-20201007SE16/Up1-20201007SE16.iso
gostsum: 6033622af0e96565866a517a9170e04406cfb9e6070a6ea39804adbe0fdcd282
ufix: 2B08657D
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6-FSB/Up1-20201007SE16/Up1-20201007SE16.iso.sig
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6-FSB/Up1-20201007SE16/devel-Up1-20201007SE16.iso
gostdum: cd925e09a0478948a8a176fb24dbfd8d858cfbdcf418dbb6da39d29d10909a46
ufix: AEA892E4
Обновления для операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-16 исполнение 1 (сертификаты соответствия ФСБ России №СФ/СЗИ-0342 и №СФ/СЗИ-0343) предназначены для применения в составе автоматизированных систем в защищенном исполнении, находящихся в компетенции ФСБ России.
Обновления прошли контрольные тематические исследования в системе сертификации средств защиты информации ФСБ России (заключение ФСБ России ФСБ № 149/3/6/174 от 24 февраля 2021 г.).
Настоящий информационный ресурс является официальным источником получения обновлений для использования в работе предприятиями промышленности.
установке обновлений ОС Astra Linux с компакт-дисков.
Для установки обновления рекомендуется использовать astra-update - инструмент для установки обновлений.
Без использования astra-update обновление можно выполнить в соответствии с инструкцией, приведенной ниже:
1. Загрузить образ диска с обновлениями по ссылке: Скачать
Поместить загруженный iso-образ в каталог /mnt на обновляемой системе и проверить соответствие контрольных сумм, выполнив команды:
Для проверки контрольной суммы gostsum:
gostsum -d /mnt/Up1-20201007SE16.iso- Для проверки контрольной суммы c помощью программы ФИКС-UNIX 1.0 (в примере предполагается, что программа ufix и iso-образ находятся в текущем каталоге, команды должны выполняться с с полномочиями администратора системы с высоким уровнем целостности):
Примонтировать полученный iso-образ, например, создав в текущем каталоге временный подкаталог tmp следующими командами:
mkdir tmp
mount Up1-20201007SE16.iso tmpПостроить контрольные суммы файлов, находящихся в примонтированном iso-образе, командами:
./ufix -jR tmp > tmp.list
./ufix -eP tmp.list
./ufix -h tmp.prj- После выполнения указанных команд проверить контрольную сумму "ВСЕГО" в файле tmp.html, открыв его с помощью web-браузера, или иным способом (см. "«ФИКС-UNIX 1.0» Описание применения" 643.53132931.501492-01 31 01).
(Опционально) Отмонтировать iso-образ, удалить созданный подкаталог и созданные файлы ФИКС-UNIX:
umount tmp
rmdir tmp
rm tmp.list tmp.prj tmp.html
Контрольные суммы:
Внимание
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-16 исполнение 1.
3. Если при установке обновления не используется репозиторий основной системы, то необходимо убедиться в том, что зарегистрирован и доступен установочный диск, для чего
просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:
sudo apt-cdrom add
5. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:
sudo mount /mnt/20201007SE16.iso /media/cdrom
sudo apt-cdrom -m add
sudo umount /media/cdrom
Можно не использовать ключ -m, тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения - отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать из параллельной терминальной сессии.
Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.
В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать Enter.
При установке с использованием компакт-диска дистрибутива ОС ОН Смоленск 1.6 и файла - образа диска с обновлениями переключать носители не потребуется.
При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:
sudo mount /mnt/20201007SE16.iso /media/cdrom
6. Команды обновления следует выполнять из сессии суперпользователя (sudo -s) с высоким уровнем целостности, а не через отдельные команды sudo:
sudo -s
... команды ...
exit
7. После завершения регистрации всех компакт-дисков и образов выполнить команды для "холостого прогона" установки обновлений (без внесения реальных изменений в систему, ключ -s команды apt), и убедитесь, что в результате работы не возникает неустранимых ошибок:
sudo -s
apt update
apt -s dist-upgrade
exit
По мере появления приглашения на замену носителей - выполнять замену в соответствии с изложенной выше инструкцией.
8. Выполнить обновление командами:
sudo -s
apt update
apt dist-upgrade
apt -f install
exit
После выполнения обновления необходимо перезагрузить систему.
После завершения выполнения указанных команд обновление операционной системы будет выполнено .
Внимание
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsum.txt, расположенного в корневом каталоге диска с обновлениями.
Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы).
Известные проблемы и их решения
Требующие действий перед установкой обновления
Недостаточно места в дисковом разделе /boot
Размеры дисковых разделов можно проверить командой:
Если обновление устанавливается на только что установленную ОС с разметкой LVM, выполненной по умолчанию (а именно - размер дискового раздела /boot менее 512МБ, по умолчанию 234МБ), то:
либо увеличить размер дискового раздела /boot до 512МБ:
либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным:
удалить ядро hardened командой:
sudo apt remove linux-image-4.15.3-1-hardenedПодключить обновления и выполнить их установку обновление.
Перезагрузить ОС, загрузившись с использованием ядра 4.15.3-2-generic
При необходимости использовать ядро hardened, повторно установить ядро hardened командой:
sudo apt install linux-image-4.15.3-2-hardened linux-astra-modules-4.15.3-2-hardenedи повторно перезагрузить ОС с использованием ядра hardened
См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.
Требующие действий после установки обновления
На момент выпуска настоящего бюллетеня не обнаружены.