Обновления для операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-16 исполнение 2 (сертификаты соответствия ФСБ России №СФ/СЗИ-0342 и №СФ/СЗИ-0343) предназначены для применения в составе автоматизированных систем в защищенном исполнении, находящихся в компетенции ФСБ России.

Обновления прошли контрольные тематические исследования в системе сертификации средств защиты информации ФСБ России (выписка № 149/3/6/174 от 24 февраля 2021 г. из дополнения № 2 к заключению № 149/3/6/313 от 04.04.2019 о соответствии операционной системы специального назначения «Asrta Linux Special Edition» РУСБ.10015-16 требованиям безопасности ФСБ России).

Настоящий информационный ресурс является официальным источником получения обновлений для использования в работе предприятиями промышленности.

Для установки настоящего оперативного обновления и последующих оперативных обновлений следует использовать следующие инструменты:

инструмент командной строки — пакет astra-update;
графический инструмент — пакет fly-astra-update.

Установка инструментов fly-astra-update/astra-update описана в разделе Установка fly-astra-update/astra-update из образа обновления.

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо выполнить обновление пакетов, размещённых на диске со средствами разработки.

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки.

Общая информация

Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-16 исполнение 2, далее по тексту - Astra Linux.

Данное обновление содержит:

обновление репозитория установочного (основного) диска: https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81.iso;
обновление диска со средствами разработки: https://dl.astralinux.ru/astra/stable/leningrad/security-updates/devel/20211019SE81.

Данное обновление включает в себя следующие оперативные обновления:

БЮЛЛЕТЕНЬ № 20201007SE81

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Подготовка к установке обновления

Перед установкой обновлений:

Ознакомиться с настоящей инструкцией;
Ознакомиться с инструкцией: fly-astra-update и astra-update - инструменты для установки обновлений в части использования инструментов.

Внимание

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:
sudo astra-nochmodx-lock disable
Для полного завершения обновления требуется установочный диск (образ установочного диска) Astra Linux.

При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков.

Загрузка и проверка образов обновления

Образ диска с обновлением репозитория установочного (основного) диска

доступен для скачивания по ссылке:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81.iso

Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы. Для получения контрольной суммы выполнить команду:

gostsum -d /mnt/20211019SE81.iso

Контрольная сумма:

46b7897a35dfa6c3b9bbd22c9dc3fa2777b39b7d5fb6e1a729ee9a056a0d2fcf

Оперативное обновление подписано усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра":
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/20211019SE81/20211019SE81.iso.sig.

Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

Образ диска с обновлением средств разработки, соответствующий настоящему бюллетеню, доступен по ссылке:
https://dl.astralinux.ru/astra/stable/leningrad/security-updates/devel/20211019SE81

Контрольная сумма образа диска с обновлением средств разработки:

d28b99c5c416c11f9fe1f90410c51454e2efe4ceccbf80a9b79b0083b4587e2e

Установка fly-astra-update/astra-update из образа обновления

Примонтировать загруженный образ обновления, например, в каталог /media/cdrom:
sudo mount /mnt/20211019SE81.iso /media/cdrom
Установить пакеты:
1. Только инструмент командной строки astra-update:
  sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
2. Или инструмент командной строки astra-update и графический инструмент fly-astra-update:
  sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
  sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
  sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb
Отмонтировать образ:
sudo umount /media/cdrom

Установка обновления

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов, доступных на обновляемой машине:

Обязательные репозитории:
1. Установочный диск;
2. Диск с обновлением;
Дополнительные репозитории:
1. Диск со средствами разработки;
2. Диск с обновлением средств разработки;

И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

sudo astra-update -a -r -T

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).

Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

Обязательные ISO-образы:
1. Установочный диск;
2. Диск с обновлением;
Дополнительные ISO-образы:
1. Диск со средствами разработки;
2. Диск с обновлением средств разработки;

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

sudo astra-update -a -T /mnt/leningrad-26.01.2019_17.49-e2k-8c.iso /mnt/20211019SE81.iso /mnt/leningrad-devel-26.01.2019_17.49-e2k-8c.iso /mnt/20211019SE81-devel.iso

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании fly-astra-update и astra-update - инструменты для установки обновлений.

Дополнительные примеры использования astra-update

Например, при наличии образов установочного диска и диска обновления установка обновления может быть выполнена командой:

sudo astra-update -a -T  <имя_образа_установочного диска> /mnt/20211019SE81.iso

При наличии установочного диска (должен быть зарегистрирован как источник пакетов) и скачанного образа обновления, установка обновления может быть выполнена командой:

sudo astra-update -a -T /mnt/20211019SE81.iso

При этом понадобится загрузить установочный диск в привод компакт-дисков.

Для более сложных схем обновления, в том числе для обновления средств разработки, инструкция по использованию инструментов astra-update и fly-astra-update доступна по ссылке: fly-astra-update и astra-update - инструменты для установки обновлений.

Завершение установки обновления

После выполнения обновления перезагрузить систему.