Установка обновления

Подготовка к установке обновления

Загрузка и проверка образа диска с обновлением

1. Скачать образ диска с обновлением с помощью веб-браузера по следующей ссылке:
   https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.2025_13.31-20250310.iso
   либо выполнив команду: 

   wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.2025_13.31-20250310.iso

2. Перейти в каталог с загруженным образом диска и выполнить проверку. Возможные варианты проверки:

   • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

     gostsum -d md-1.7.6.15-10.03.2025_13.31-20250310.iso

     Контрольная сумма:

     b92b2595e745a4d6127fff9326aa031b32e8b2d5030f5355036fbf13f4e9bdb7

   • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
     Порядок проверки:

     1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.2025_13.31-20250310.iso.sig
        либо выполнив команду: 

        wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.2025_13.31-20250310.iso.sig

     2. загруженную электронную подпись поместить в каталог с загруженным образом диска;

     3. перейти в каталог с загруженным образом диска и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached md-1.7.6.15-10.03.2025_13.31-20250310.iso md-1.7.6.15-10.03.2025_13.31-20250310.iso.sig -f md-1.7.6.15-10.03.2025_13.31-20250310.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
        [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Варианты установки обновления

Установка обновления с использованием локальных или сетевых репозиториев

1. Создать локальные или сетевые репозитории из установочного диска и образа диска с обновлением и настроить доступ к этим репозиториям в файле /etc/apt/sources.list, (см. Создание локальных и сетевых репозиториев).

   В репозитории настоящего обновления представлен только компонент non-free, в связи с этим строка с описанием источника пакетов должна иметь следующий вид:

   deb <путь_к_репозиторию> 1.7_x86-64 non-free

2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 
   

   sudo apt update

3. Установить обновление: 

   sudo astra-update -A -r -T

Установка обновления с использованием локальной копии образа диска с обновлением

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий образа установочного диска и образа диска с обновлением. Образы дисков могут быть сохранены как локальные файлы, или размещены на подключаемом съемном носителе.  Установка обновления в таком случае может быть выполнена командой:

Завершение установки обновления

Порядок настройки проверки подписью в расширенных атрибутах файловой системы

 Для настройки проверки исполняемых файлов и разделяемых библиотек подписью в расширенных атрибутах файловой системы (ФС) необходимо выполнить последовательность действий, описанную ниже.

1. Сформировать полный список исполняемых файлов на установленной системе:
   
   sudo find / -type f -exec file {} \; | grep " ELF " | cut -d: -f1 > ELFS
2. Создать ключевую пару (закрытый и открытый ключи) по ГОСТ Р 34.10-2012, выполнив команду:
   
   gpg --full-generate-key

   В процессе выполнения команды необходимо отвечать на запросы системы. На запрос о выборе типа ключа следует указать номер пункта, соответствующий ГОСТ Р 34.10-2012.

   Пример.

   Пример в вывода команды:

   sudo gpg --full-generate-key
   

   ---

   gpg (GnuPG) 2.2.40; Copyright (C) 2022 g10 Code GmbH

   This is free software: you are free to change and redistribute it.
   There is NO WARRANTY, to the extent permitted by law.
   Выберите тип ключа:
   (1) RSA и RSA (по умолчанию)
   (2) DSA и Elgamal
   (3) DSA (только для подписи)
   (4) RSA (только для подписи)
   (14) Имеющийся на карте ключ
   (14) GOST R34.10-2001 (sign only) OBSOLETE
   (15) GOST R34.10-2012 (sign only)
   Ваш выбор? 15
   длина ключей GOST_R34.10-2012 может быть от 1024 до 4096.
   Какой размер ключа Вам необходим? (3072)
   Запрошенный размер ключа - 3072 бит
   Выберите срок действия ключа.
   0 = не ограничен
   <n> = срок действия ключа - n дней
   <n>w = срок действия ключа - n недель
   <n>m = срок действия ключа - n месяцев
   <n>y = срок действия ключа - n лет292
   РУСБ.10015-01 97 01-1
   Срок действия ключа? (0)
   Срок действия ключа не ограничен
   Все верно? (y/N) y
   GnuPG должен составить идентификатор пользователя для идентификации ключа.
   Ваше полное имя: test user
   Адрес электронной почты: test@test.ru
   Примечание:
   Вы выбрали следующий идентификатор пользователя:
   "test user <test@test.ru>"
   Сменить (N)Имя, (C)Примечание, (E)Адрес; (O)Принять/(Q)Выход? o
   Необходимо получить много случайных чисел. Желательно, чтобы Вы в процессе генерации выполняли какие-то другие действия (печать на клавиатуре, движения мыши, обращения к дискам); это даст генератору случайных чисел больше возможностей получить достаточное количество энтропии.
   gpg: /root/.gnupg/trustdb.gpg: создана таблица доверия
   gpg: создан каталог ’/root/.gnupg/openpgp-revocs.d’
   gpg: сертификат отзыва записан в ’/root/.gnupg/openpgp-revocs.d/07888\
   A89440B749338619DF1FBBB20B915E8F5EA.rev’.
   открытый и секретный ключи созданы и подписаны.
   pub gP256 2024-06-14 [SC]
   07888A89440B749338619DF1FBBB20B915E8F5EA
   uid test user <test@test.ru>

   В созданной ключевой паре открытый ключ имеет идентификатор 07888A89440B749338619DF1FBBB20B915E8F5EA, с которым он добавляется в хранилище GPG-ключей /root/.gnupg/pubring.kbx и по которому он выбирается в командах экспорта и копирования.

   Так как созданная ключевая пара предназначена для подписания в расширенных атрибутах ФС, открытый ключ не требуется подписывать закрытым ключом изготовителя.

3. Экспортировать открытый ключ созданной пары и сохранить его в каталоге /etc/digsig/xattr_keys/ выполнив команду:

   gpg --export <идентификатор_ключа> | sudo tee /etc/digsig/xattr_keys/<имя_файла_ключа>

В качестве директории для хранения сертификата следует выбрать /etc/digsig/xattr_keys

3) Подписать все полученные в п.1 исполняемые файлы собственным ключом в расширенных атрибутах. 

cat ELFS | bsign -N -s -X --pgoptions="--batch --pinentry-mode=loopback --passphrase-file=[файл с паролем от ключа] --default-key=[идентификатор ключа]" -f -

4) Перевести ЗПС в режим контроля по расширенным атрибутам. DIGSIG_ELF_VERIFICATION_MODE = 1.
Подробнее: https://wiki.astralinux.ru/pages/viewpage.action?pageId=321820023 (Раздел "Настройка режимов работы ЗПС").

Важное примечание: Подписи на файлах модулей ядра .ko будут проверяться по встроенной подписи вендора ОС даже в режиме контроля только по расширенным атрибутам. Это связано с техническими особенностями работы расширенных атрибутов при загрузке модулей ядра.