Обновления для операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-16 исполнение 2 (сертификат соответствия ФСБ России №СФ/СЗИ-0343) предназначены для применения в составе автоматизированных систем в защищенном исполнении, находящихся в компетенции ФСБ России.
Обновления прошли контрольные тематические исследования в системе сертификации средств защиты информации ФСБ России (выписка № 149/3/6/472 от 23.05.2022 из дополнения № 3 к заключению № 149/3/6/313 от 04.04.2019 о соответствии операционной системы специального назначения «Asrta Linux Special Edition» РУСБ.10015-16 требованиям безопасности ФСБ России).
Настоящий информационный ресурс является официальным источником получения обновлений для использования в работе предприятиями промышленности.
Для установки настоящего оперативного обновления и последующих оперативных обновлений следует использовать следующие инструменты:
- инструмент командной строки — пакет astra-update;
- графический инструмент — пакет fly-astra-update.
Установка инструментов fly-astra-update/astra-update описана в разделе Установка fly-astra-update/astra-update из образа обновления.
Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.
В случае применения (установки) оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux.
Внимание
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлением репозитория установочного (основного) диска.
Общая информация
Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-16 исполнение 2, далее по тексту - Astra Linux.
Данное обновление содержит:
- обновление репозитория установочного (основного) диска:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso; - обновление диска со средствами разработки:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.
Данное обновление включает в себя следующие оперативные обновления:
Подготовка к установке обновления
Перед установкой обновлений:
- Ознакомиться с настоящей инструкцией;
- Ознакомиться с инструкцией: fly-astra-update и astra-update - инструменты для установки обновлений в части использования инструментов.
Внимание
- Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано командой:
sudo astra-nochmodx-lock disableПри использовании инструмента
fly-astra-update или astra-updateс аргументом-A, на время обновления будут автоматически отключены функции безопасности, мешающие обновлению.- Для полного завершения обновления требуется установочный диск (образ установочного диска) Astra Linux.
apt-cdrom add для регистрации дисков.Загрузка и проверка образов обновления
Загрузка и проверка обновления репозитория установочного (основного) диска
Скачать образ диска с обновлением с помощью WEB-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso
либо выполнив команду:wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso- Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum -d /mnt/RUSB.10015-16_v2_8.1.3.isoКонтрольная сумма:
- проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью WEB-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso.sig
либо выполнив команду:wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso.sig- загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,
перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):
/opt/cprocsp/bin/amd64/cryptcp -verify -detached RUSB.10015-16_v2_8.1.3.iso RUSB.10015-16_v2_8.1.3.iso.sig -f RUSB.10015-16_v2_8.1.3.iso.sigВ процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Подпись проверена. [ErrorCode: 0x00000000]
говорит о том, что проверка подписи завершена успешно.
Загрузка и проверка обновления средств разработки
Скачать образ диска с обновлением средств разработки, соответствующий настоящему бюллетеню, с помощью WEB-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso
либо выполнив команду:wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso- Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
gostsum -d /mnt/RUSB.10015-16_v2_8.1.3-devel.isoКонтрольная сумма:
- проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Порядок проверки:скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью WEB-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.sig
либо выполнив команду:wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.sig- загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,
перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):
/opt/cprocsp/bin/amd64/cryptcp -verify -detached RUSB.10015-16_v2_8.1.3-devel.iso RUSB.10015-16_v2_8.1.3-devel.iso.sig \
-f RUSB.10015-16_v2_8.1.3-devel.iso.sig
В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.
Сообщение вида:
Подпись проверена. [ErrorCode: 0x00000000]
говорит о том, что проверка подписи завершена успешно.
Установка fly-astra-update/astra-update из образа обновления
Примонтировать загруженный ISO-образ обновления репозитория установочного (основного) диска, например, в каталог /media/cdrom:
sudo mount /mnt/RUSB.10015-16_v2_8.1.3.iso /media/cdromУстановить пакеты:
только инструмент командной строки astra-update:
sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.debили инструмент командной строки astra-update и графический инструмент fly-astra-update:
sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb
Отмонтировать образ:
sudo umount /media/cdrom
Установка обновления
Установка обновления с использованием сетевых репозиториев
Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступных на обновляемой машине:
- Обязательные репозитории:
- Установочный диск;
- Диск с обновлением;
- Дополнительные репозитории:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:
Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).
Установка обновления с использованием локальных копий ISO-образов
Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:
- Обязательные ISO-образы:
- Установочный диск;
- Диск с обновлением;
- Дополнительные ISO-образы:
- Диск со средствами разработки;
- Диск с обновлением средств разработки;
ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:
В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании fly-astra-update и astra-update - инструменты для установки обновлений.
Завершение установки обновления
После выполнения обновления перезагрузить систему.