Page tree
Skip to end of metadata
Go to start of metadata

Обновления для операционной системы специального  назначения «Astra Linux Special Edition» РУСБ.10015-16 исполнение 2 (сертификат соответствия ФСБ России №СФ/СЗИ-0343) предназначены для применения в составе автоматизированных систем в защищенном исполнении, находящихся в компетенции ФСБ России.

Обновления прошли контрольные тематические исследования в системе сертификации средств защиты информации ФСБ России (выписка  № 149/3/6/472 от 23.05.2022 из дополнения № 3 к заключению № 149/3/6/313 от 04.04.2019 о соответствии операционной системы специального назначения «Asrta Linux Special Edition» РУСБ.10015-16 требованиям безопасности ФСБ России).

Настоящий информационный ресурс является официальным источником получения обновлений для использования в работе предприятиями промышленности.

Для установки настоящего оперативного обновления и последующих оперативных обновлений следует использовать следующие инструменты:

  • инструмент командной строки — пакет astra-update;
  • графический инструмент — пакет fly-astra-update.

Установка инструментов fly-astra-update/astra-update описана в разделе Установка fly-astra-update/astra-update из образа обновления.

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки.

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.

В случае применения (установки) оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux.

Внимание

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлением репозитория установочного (основного) диска.

Общая информация

Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-16 исполнение 2, далее по тексту - Astra Linux.

Данное обновление содержит:

Данное обновление включает в себя следующие оперативные обновления:

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Подготовка к установке обновления

Перед установкой обновлений:

Внимание

  • Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
  • На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано командой:

    sudo astra-nochmodx-lock disable

    При использовании инструмента fly-astra-update или astra-update с аргументом -A,  на время обновления будут автоматически отключены функции безопасности, мешающие обновлению.

  • Для полного завершения обновления требуется установочный диск (образ установочного диска) Astra Linux.
При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков.

Загрузка и проверка образов обновления

Загрузка и проверка обновления репозитория установочного (основного) диска

  1. Скачать образ диска с обновлением с помощью WEB-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso
    либо выполнив команду: 

    wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso

  2. Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      gostsum -d /mnt/RUSB.10015-16_v2_8.1.3.iso

      Контрольная сумма:

      9559c8e27cd27fe75edb10d2405513f22c9db5950b39370957db5c2ad8e8a3a5

    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:
      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью WEB-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso.sig
        либо выполнив команду: 

        wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3.iso.sig

      2. загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,
      3. перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached RUSB.10015-16_v2_8.1.3.iso RUSB.10015-16_v2_8.1.3.iso.sig -f RUSB.10015-16_v2_8.1.3.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
        [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.


Загрузка и проверка обновления средств разработки

  1. Скачать образ диска с обновлением средств разработки, соответствующий настоящему бюллетеню, с помощью WEB-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso
    либо выполнив команду: 

    wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso

  2. Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и выполнить проверку. Возможные варианты проверки:
    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      gostsum -d /mnt/RUSB.10015-16_v2_8.1.3-devel.iso

      Контрольная сумма:

      d28b99c5c416c11f9fe1f90410c51454e2efe4ceccbf80a9b79b0083b4587e2e

    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:
      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью WEB-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.sig
        либо выполнив команду: 

        wget https://dl.astralinux.ru/astra/stable/leningrad/security-updates/8.1-FSB/20211019SE81/RUSB.10015-16_v2_8.1.3-devel.iso.sig

      2. загруженную электронную подпись поместить в каталог /mnt на обновляемой системе,
      3. перейти в каталог /mnt и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached RUSB.10015-16_v2_8.1.3-devel.iso RUSB.10015-16_v2_8.1.3-devel.iso.sig \

             -f RUSB.10015-16_v2_8.1.3-devel.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
        [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.


Установка fly-astra-update/astra-update из образа обновления

  1. Примонтировать загруженный ISO-образ обновления репозитория установочного (основного) диска, например, в каталог /media/cdrom:

    sudo mount /mnt/RUSB.10015-16_v2_8.1.3.iso /media/cdrom

  2. Установить пакеты:

    1. только инструмент командной строки astra-update:

      sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb

    2. или инструмент командной строки astra-update и графический инструмент fly-astra-update:

      sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
      sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
      sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb

  3. Отмонтировать образ:

    sudo umount /media/cdrom

Установка обновления

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступных на обновляемой машине:

  1. Обязательные репозитории:
    1. Установочный диск;
    2. Диск с обновлением;
  2. Дополнительные репозитории:
    1. Диск со средствами разработки;
    2. Диск с обновлением средств разработки;

И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

sudo astra-update -a -r -T

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).

Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

  1. Обязательные ISO-образы:
    1. Установочный диск;
    2. Диск с обновлением;
  2. Дополнительные ISO-образы:
    1. Диск со средствами разработки;
    2. Диск с обновлением средств разработки;

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

sudo astra-update -a -T /mnt/<имя_образа_установочного_диска> /mnt/RUSB.10015-16_v2_8.1.3.iso /mnt/<имя_образа_диска_со_средствами_разработки> /mnt/RUSB.10015-16_v2_8.1.3-devel.iso

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании fly-astra-update и astra-update - инструменты для установки обновлений.

Завершение установки обновления

После выполнения обновления перезагрузить систему.

  • No labels