Установка обновления

Подготовка к установке обновления

Загрузка и проверка образа диска с обновлением

1. Скачать образ диска с обновлением с помощью веб-браузера по следующей ссылке:
   https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso
   либо выполнив команду: 

   wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso

2. Перейти в каталог с загруженным образом диска и выполнить проверку. Возможные варианты проверки:

   • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

     gostsum -d md-1.7.6.15-10.03.25_13.31-20250310.iso

     Контрольная сумма:

     1866fe03545a13cbd340590f0b4405b087dec52a0e8ab47b3121a56d53543ab6

   • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
     Порядок проверки:

     1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso.sig
        либо выполнив команду: 

        wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso.sig

     2. загруженную электронную подпись поместить в каталог с загруженным образом диска;

     3. перейти в каталог с загруженным образом диска и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached md-1.7.6.15-10.03.25_13.31-20250310.iso md-1.7.6.15-10.03.25_13.31-20250310.iso.sig -f md-1.7.6.15-10.03.25_13.31-20250310.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
        [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления

1. Создать локальные или сетевые репозитории из установочного диска, образа диска с оперативным обновлением 1.7.6.UU2 (БЮЛЛЕТЕНЬ № 2024-1127SE17MD), а также образа диска с настоящим обновлением (см. Создание локальных и сетевых репозиториев).
2.  Настроить доступ к этим репозиториям в файле /etc/apt/sources.list.

   В репозитории настоящего обновления представлен только компонент non-free, в связи с этим строка с описанием источника пакетов должна иметь следующий вид:

   deb <путь_к_репозиторию> 1.7_x86-64 non-free

3. Выполнить повторную синхронизацию файлов описаний пакетов с их источником:

   sudo apt update

4. Установить обновление: 

   sudo astra-update -A -r

Завершение установки обновления

Порядок настройки Astra Linux для работы ЗПС в режиме проверки подписи в расширенных атрибутах файловой системы

Для настройки проверки исполняемых файлов подписью в расширенных атрибутах файловой системы (ФС) необходимо выполнить последовательность действий, описанную ниже.

1. Сформировать полный список исполняемых файлов на установленной системе:
   
   sudo find / -type f -exec file {} \; | grep " ELF " | cut -d: -f1 > ELFS

   Сообщения вида:

   double free or corruption (!prev)
   find: ‘file’ прерван по сигналу 6 

   являются диагностическими и свидетельствуют о выполнении действий, направленных на устранение неконтролируемого уменьшения свободной оперативной или виртуальной памяти компьютера.

2. Создать ключевую пару (закрытый и открытый ключи) по ГОСТ Р 34.10-2012, выполнив команду:
   
   sudo gpg --full-generate-key

   В процессе выполнения команды необходимо отвечать на запросы системы. На запрос о выборе типа ключа следует указать номер пункта, соответствующий ГОСТ Р 34.10-2012.

   Пример

   Вывод после выполнения команды:

   gpg (GnuPG) 2.2.40; Copyright (C) 2022 g10 Code GmbH
   
   This is free software: you are free to change and redistribute it.
   There is NO WARRANTY, to the extent permitted by law.
   Выберите тип ключа:
   (1) RSA и RSA (по умолчанию)
   (2) DSA и Elgamal
   (3) DSA (только для подписи)
   (4) RSA (только для подписи)
   (14) Имеющийся на карте ключ
   (14) GOST R34.10-2001 (sign only) OBSOLETE
   (15) GOST R34.10-2012 (sign only)
   Ваш выбор? 15
   длина ключей GOST_R34.10-2012 может быть от 1024 до 4096.
   Какой размер ключа Вам необходим? (3072)
   Запрошенный размер ключа - 3072 бит
   Выберите срок действия ключа.
   0 = не ограничен
   <n> = срок действия ключа - n дней
   <n>w = срок действия ключа - n недель
   <n>m = срок действия ключа - n месяцев
   <n>y = срок действия ключа - n лет292
   РУСБ.10015-01 97 01-1
   Срок действия ключа? (0)
   Срок действия ключа не ограничен
   Все верно? (y/N) y
   GnuPG должен составить идентификатор пользователя для идентификации ключа.
   Ваше полное имя: test user
   Адрес электронной почты: test@test.ru
   Примечание:
   Вы выбрали следующий идентификатор пользователя:
   "test user <test@test.ru>"
   Сменить (N)Имя, (C)Примечание, (E)Адрес; (O)Принять/(Q)Выход? o
   Необходимо получить много случайных чисел. Желательно, чтобы Вы в процессе генерации выполняли какие-то другие действия (печать на клавиатуре, движения мыши, обращения к дискам); это даст генератору случайных чисел больше возможностей получить достаточное количество энтропии.
   gpg: /root/.gnupg/trustdb.gpg: создана таблица доверия
   gpg: создан каталог ’/root/.gnupg/openpgp-revocs.d’
   gpg: сертификат отзыва записан в ’/root/.gnupg/openpgp-revocs.d/07888\
   A89440B749338619DF1FBBB20B915E8F5EA.rev’.
   открытый и секретный ключи созданы и подписаны.
   pub gP256 2024-06-14 [SC]
   07888A89440B749338619DF1FBBB20B915E8F5EA
   uid test user <test@test.ru>

   В созданной ключевой паре открытый ключ имеет идентификатор 07888A89440B749338619DF1FBBB20B915E8F5EA, с которым он добавляется в хранилище GPG-ключей /root/.gnupg/pubring.kbx и по которому он выбирается в командах экспорта и копирования.

   Так как созданная ключевая пара предназначена для подписания в расширенных атрибутах ФС, открытый ключ не требуется подписывать закрытым ключом изготовителя.

3. Экспортировать открытый ключ созданной пары и сохранить его в каталоге /etc/digsig/xattr_keys/ выполнив команду:

   sudo gpg --export <идентификатор_ключа> | sudo tee /etc/digsig/xattr_keys/<имя_файла_ключа>
   Пример

   sudo gpg --export 07888A89440B749338619DF1FBBB20B915E8F5EA | sudo tee /etc/digsig/xattr_keys/secondary_gost_key.gpg
4. Сохранить пароль созданной ключевой пары в текстовый файл.
5. Подписать все исполняемые файлы из перечня, сформированного на шаге 1, подписью в расширенных атрибутах ФС:
   
   cat ELFS | sudo bsign -N -s -X --pgoptions="--batch --pinentry-mode=loopback --passphrase-file=<файл_с_паролем> --default-key=<идентификатор_ключа>" -f -

   Процесс подписания может занимать длительное время, в зависимости от количества исполняемых файлов, указанных в перечне. 

6. Включить проверку цифровой подписи исполняемых файлов в расширенных атрибутах ФС. Для этого:
   1. в конфигурационном файле /etc/digsig/digsig_initramfs.conf для параметров DIGSIG_ELF_MODE и DIGSIG_ELF_VERIFICATION_MODE задать значение 1:
      

      DIGSIG_ELF_MODE = 1
      DIGSIG_ELF_VERIFICATION_MODE = 1

   2. после внесения изменений в конфигурационный файл /etc/digsig/digsig_initramfs.conf, а также для загрузки модулем digsig_verif  ключей после их размещения в каталоге /etc/digsig/xattr_keys/ выполнить команду:
      sudo update-initramfs -u -k all