Обновление операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-37 (очередное обновление 7.7), далее по тексту - Astra Linux, предназначено для совершенствования функциональных возможностей.


Обновленные пакеты, в которых реализованы улучшения функциональности,  включены в состав оперативного обновления 1.7.7  (БЮЛЛЕТЕНЬ № 2025-0319SE17).



В случае применения (установки) обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux. 

После успешной установки обновления проверка целостности программных пакетов установочного диска (основного репозитория - main) осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в корневом каталоге образа диска обновления.


Настоящее обновление не является кумулятивным. При применении данного обновления другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Перед установкой настоящего обновления необходимо установить срочное оперативное обновление 1.7.6.UU2 (БЮЛЛЕТЕНЬ № 2024-1127SE17MD).


Настоящее обновление предоставляет пакеты программного обеспечения, реализующего замкнутую программную среду (ЗПС). В обновленном программном обеспечении ЗПС улучшен механизм контроля целостности на основе проверки цифровых подписей в расширенных атрибутах файловой системы.

Действия, необходимые для настройки указанного механизма, представлены в разделе Порядок настройки Astra Linux для работы ЗПС в режиме проверки подписи в расширенных атрибутах файловой системы системы.


Оглавление


Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).
В системах с включенным механизмом мандатного контроля целостности обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.


Установка обновления

Подготовка к установке обновления

Перед установкой обновлений:

Загрузка и проверка образа диска с обновлением

  1. Скачать образ диска с обновлением с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso
    либо выполнив команду: 

    wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso


  2. Перейти в каталог с загруженным образом диска и выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      gostsum -d md-1.7.6.15-10.03.25_13.31-20250310.iso

      Контрольная сумма:

      1866fe03545a13cbd340590f0b4405b087dec52a0e8ab47b3121a56d53543ab6


    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:

      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso.sig
        либо выполнив команду: 

        wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/iso/md-1.7.6.15-10.03.25_13.31-20250310.iso.sig


      2. загруженную электронную подпись поместить в каталог с загруженным образом диска;

      3. перейти в каталог с загруженным образом диска и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached md-1.7.6.15-10.03.25_13.31-20250310.iso md-1.7.6.15-10.03.25_13.31-20250310.iso.sig -f md-1.7.6.15-10.03.25_13.31-20250310.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
[ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления

  1. Создать локальные или сетевые репозитории из установочного диска, образа диска с оперативным обновлением 1.7.6.UU2 (БЮЛЛЕТЕНЬ № 2024-1127SE17MD), а также образа диска с настоящим обновлением (см. Создание локальных и сетевых репозиториев).
  2.  Настроить доступ к этим репозиториям в файле /etc/apt/sources.list.

    В репозитории настоящего обновления представлен только компонент non-free, в связи с этим строка с описанием источника пакетов должна иметь следующий вид:

    deb <путь_к_репозиторию> 1.7_x86-64 non-free


  3. Выполнить повторную синхронизацию файлов описаний пакетов с их источником:

    sudo apt update


  4. Установить обновление: 

    sudo astra-update -A -r

Завершение установки обновления

После выполнения обновления перезагрузить систему.


Порядок настройки Astra Linux для работы ЗПС в режиме проверки подписи в расширенных атрибутах файловой системы системы

Для настройки проверки исполняемых файлов подписью в расширенных атрибутах файловой системы (ФС) необходимо выполнить последовательность действий, описанную ниже.

  1. Сформировать полный список исполняемых файлов на установленной системе:
    sudo find / -type f -exec file {} \; | grep " ELF " | cut -d: -f1 > ELFS

    Сообщения вида:

    double free or corruption (!prev)
find: ‘file’ прерван по сигналу 6

    являются диагностическими и свидетельствуют о выполнении действий, направленных на устранение неконтролируемого уменьшения свободной оперативной или виртуальной памяти компьютера.

  2. Создать ключевую пару (закрытый и открытый ключи) по ГОСТ Р 34.10-2012, выполнив команду:
    sudo gpg --full-generate-key

    В процессе выполнения команды необходимо отвечать на запросы системы. На запрос о выборе типа ключа следует указать номер пункта, соответствующий ГОСТ Р 34.10-2012.

    gpg (GnuPG) 2.2.40; Copyright (C) 2022 g10 Code GmbH

This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Выберите тип ключа:
(1) RSA и RSA (по умолчанию)
(2) DSA и Elgamal
(3) DSA (только для подписи)
(4) RSA (только для подписи)
(14) Имеющийся на карте ключ
(14) GOST R34.10-2001 (sign only) OBSOLETE
(15) GOST R34.10-2012 (sign only)
Ваш выбор? 15
длина ключей GOST_R34.10-2012 может быть от 1024 до 4096.
Какой размер ключа Вам необходим? (3072)
Запрошенный размер ключа - 3072 бит
Выберите срок действия ключа.
0 = не ограничен
<n> = срок действия ключа - n дней
<n>w = срок действия ключа - n недель
<n>m = срок действия ключа - n месяцев
<n>y = срок действия ключа - n лет292
РУСБ.10015-01 97 01-1
Срок действия ключа? (0)
Срок действия ключа не ограничен
Все верно? (y/N) y
GnuPG должен составить идентификатор пользователя для идентификации ключа.
Ваше полное имя: test user
Адрес электронной почты: test@test.ru
Примечание:
Вы выбрали следующий идентификатор пользователя:
"test user <test@test.ru>"
Сменить (N)Имя, (C)Примечание, (E)Адрес; (O)Принять/(Q)Выход? o
Необходимо получить много случайных чисел. Желательно, чтобы Вы в процессе генерации выполняли какие-то другие действия (печать на клавиатуре, движения мыши, обращения к дискам); это даст генератору случайных чисел больше возможностей получить достаточное количество энтропии.
gpg: /root/.gnupg/trustdb.gpg: создана таблица доверия
gpg: создан каталог ’/root/.gnupg/openpgp-revocs.d’
gpg: сертификат отзыва записан в ’/root/.gnupg/openpgp-revocs.d/07888\
A89440B749338619DF1FBBB20B915E8F5EA.rev’.
открытый и секретный ключи созданы и подписаны.
pub gP256 2024-06-14 [SC]
07888A89440B749338619DF1FBBB20B915E8F5EA
uid test user <test@test.ru>

    В созданной ключевой паре открытый ключ имеет идентификатор 07888A89440B749338619DF1FBBB20B915E8F5EA, с которым он добавляется в хранилище GPG-ключей /root/.gnupg/pubring.kbx и по которому он выбирается в командах экспорта и копирования.

    Так как созданная ключевая пара предназначена для подписания в расширенных атрибутах ФС, открытый ключ не требуется подписывать закрытым ключом изготовителя.

  3. Экспортировать открытый ключ созданной пары и сохранить его в каталоге /etc/digsig/xattr_keys/ выполнив команду:

    sudo gpg --export <идентификатор_ключа> | sudo tee /etc/digsig/xattr_keys/<имя_файла_ключа>

    sudo gpg --export 07888A89440B749338619DF1FBBB20B915E8F5EA | sudo tee /etc/digsig/xattr_keys/secondary_gost_key.gpg

  4. Сохранить пароль созданной ключевой пары в текстовый файл.
  5. Подписать все исполняемые файлы из перечня, сформированного на шаге 1, подписью в расширенных атрибутах ФС:

    cat ELFS | sudo bsign -N -s -X --pgoptions="--batch --pinentry-mode=loopback --passphrase-file=<файл_с_паролем> --default-key=<идентификатор_ключа>" -f -

    Процесс подписания может занимать длительное время, в зависимости от количества исполняемых файлов, указанных в перечне. 

  6. Включить проверку цифровой подписи исполняемых файлов в расширенных атрибутах ФС. Для этого:
    1. в конфигурационном файле /etc/digsig/digsig_initramfs.conf для параметров DIGSIG_ELF_MODE и DIGSIG_ELF_VERIFICATION_MODE задать значение 1:
      DIGSIG_ELF_MODE = 1
DIGSIG_ELF_VERIFICATION_MODE = 1
    2. после внесения изменений в конфигурационный файл /etc/digsig/digsig_initramfs.conf, а также для загрузки модулем digsig_verif  ключей после их размещения в каталоге /etc/digsig/xattr_keys/ выполнить команду:
      sudo update-initramfs -u -k all


В связи с техническими особенностями работы механизма контроля целостности на основе проверки цифровых подписей в расширенных атрибутах файловой системы, файлы модулей ядра с расширением .ko будут проверяться на основе встраиваемых цифровых подписей изготовителя.

Указанные файлы уже подписаны, дополнительных действий не требуется.