Установка и обновление ОС

Ошибка контроля целостности при обновлении с Astra Linux 1.7.5 на Astra Linux 1.8.0

Описание проблемы

После выполнения мажорного обновления с Astra Linux 1.7.5 на Astra Linux 1.8.0 при осуществлении контроля целостности инструментом Fly-admin-int-check обнаруживаются измененные файлы в подсистеме управления печатью CUP).

Устранение проблемы

После выполнения мажорного обновления с Astra Linux 1.7.5 на Astra Linux 1.8.0 переустановить пакеты:

sudo apt -o Dpkg::Options::="--force-confold" install --reinstall cups-filters
sudo apt -o Dpkg::Options::="--force-confold" install --reinstall cups-filters-core-drivers
sudo apt -o Dpkg::Options::="--force-confold" install --reinstall libcupsfilters2-common

Предотвращение проблемы

Предотвращение проблемы возможно несколькими способами:

• Выполнять мажорное обновление после установки оперативного обновления 1.7.6.

• Перед выполнением мажорного обновления полностью удалить подсистему управления печатью CUPS:

  
  
  После выполнения мажорного обновления установить подсистему копирования CUPS из актуального репозитория 1.8. При использовании этого способа настройки системы управления печатью CUPS, сделанные в 1.7 будут утеряны.

• Использовать сценарий мажорного обновления. в котором устранена данная ошибка.

Ошибка установки ОС при объеме оперативной памяти менее 2ГБ

Описание проблемы

При установке ОС на компьютеры с объемом оперативной памяти меньше 2ГБ после входа в режим LiveISO установка может прерываться. 

Предотвращение проблемы

Выполнять установку на компьютеры с объемом оперативной памяти 2ГБ и более.

Не поддерживается перенос защитного преобразования разделов при обновлении с Astra Linux 1.7.5 на Astra Linux 1.8.0

Описание проблемы

При автоматической установке мажорного обновления Astra Linux Special Edition 1.7.5 в Astra Linux Special Edition 1.8.0 дисковые разделы с защитным преобразованием данных создаются без защитного преобразования данных.

Предотвращение проблемы

При планировании обновления следует учитывать, что перенос дисковых разделов с сохранением защитного преобразования не поддерживается

В составе дистрибутива отсутствует ядро hardened

Описание проблемы

В составе дистрибутива Astra Linux Special Edition x.8 отсутствует ядро hardened (ядро операционной системы с усиленной самозащитой).

Устранение  проблемы

Ядро hardened исключено из состава дистрибутива Astra Linux Special Edition x.8. Все дополнительные возможности по защите информации, которые ранее обеспечивались ядром hardened, реализуются штатными средствами Astra Linux.

OpenSSL

Недоступен интерактивный режим OpenSSL

Описание проблемы

При работе с OpenSSL недоступен интерактивный режим (режим командной строки).

Устранение проблемы

В Astra Linux x.8 используется OpenSSL поколения 3, в котором исключена поддержка интерактивного режима. Для выполнения функций, ранее реализованных с использованием интерактивного режима, следует использовать опции командной строки.
См. также: Различия версий OpenSSL 1.1 и 3.

Работа в доменах

При работе с почтовой службой exim4 не доставляется электронная почта

Описание проблемы

При использовании на введенном в домен компьютере почтовой службы exim4 письма не доставляются почтовым клиентам доменных пользователей.

Устранение  проблемы

Для того, чтобы устранить проблему выполнить на почтовом сервере следующие действия:

1. В файл /etc/sssd/sssd.conf в секцию [sssd] добавить параметр default_domain_suffix с указанием домена, например:
   

   default_domain_suffix = astra.test

   2. Отредактировать файл /etc/exim4/conf.d/transport/30_exim4-config_maildir_home, приведя параметры directory и current_directory к следующему виду
   

   directory = /var/mail/$local_part_data@$domain_data
   current_directory = /var/mail/$local_part_data@$domain_data

2. Остановить службу sssd:
   

   sudo systemctl stop sssd

3. Очистить кеш службы sssd:

   sudo rm -f /var/lib/sss/db/*

4. Запустить службу sssd:

   sudo systemctl start sssd

5. Обновить конфигурацию почтовой службы exim4:

   sudo update-exim4.conf

6. Перезапустить почтовую службу exim4:

   sudo systemctl restart exim4

Доменным пользователям недоступны виртуальные машины при подключении через qemu+tcp

Описание проблемы

Устранение  проблемы

Для устранения проблемы отключить использование полных доменных имен, для чего:

1. В файле /etc/sssd/sssd.conf в секции параметров домена изменить значение параметра use_fully_qualified_names на False:

   use_fully_qualified_names = False

2. Перезапустить службу sssd:

   sudo systemctl restart sssd

Полное устранение проблемы без необходимости отключения использования длинных имен ожидается в следующих оперативных обновлениях.

Не работает аутентификация Kerberos для доменной службы apache2

Описание проблемы

Не работает аутентификация Kerberos для доменной службы apache2. Недоступен модуль аутентификации Kerberos mod_auth_kerb (пакет libapache2-mod-auth-kerb).

Решение проблемы

В Astra Linux Special Edition x.8 пакет libapache2-mod-auth-kerb, предоставляющий модульlibapache2-mod-auth-kerb, исключен как устаревший. Его заменой является пакет libapache2-mod-auth-gssapi (модуль mod_auth_gssapi).

Для устранения проблемы:

1. Установить пакет libapache2-mod-auth-gssapi:

   sudo apt install libapache2-mod-auth-gssapi

2. В конфигурационных файлах службы apache2 использовать тип аутентификации GSSAPI. Например:

   /etc/apache2/conf-available/kerberos-auth.conf

           <Location />
               AuthType GSSAPI
               AuthName "Kerberos Authentication"
               GssapiBasicAuth On
               GssapiLocalName On
               GssapiCredStore keytab:$keytab
               require valid-user
           </Location>
   

Подробнее см. статью: Настройка службы аpache2 с аутентификацией Kerberos в домене FreeIPA

Не удается подключиться к БД mariadb

Описание проблемы

Доменным пользователям не удается подключиться к mariadb.

Устранение проблемы

Использовать для подключения полное доменное имя пользователя, включающее имя области (realm) Kerberos. Имя области должно быть указано заглавными буквами. Например: user@IPA.RBT.

Не работает монтирование учтенных носителей

Описание проблемы

Не работает монтирование с помощью fly-reflex-service носителей, учтенных для доменных пользователей.

Устранение проблемы

Проблема будет устранены в следующих обновлениях.
До устранения проблемы использовать короткие имена доменных пользователей:

• при вводе в домен применять опцию -sn;
• на ранее введенных домен машинах отключить использование полных имен, для чего в файле /etc/sssd/sssd.conf опции use_fully_qualified_names присвоить значение false и перезапустить службу ssssd.

В командах ldapmodify и ldapsearch недоступны опции -h и -p

Описание проблемы

В командах ldapmodify и ldapsearch недоступны опции -h (указание имени хоста) и -p (указание имени порта).

Устранение проблемы

Поддержка указанных опций прекращена. Вместо них следует использовать универсальное указание ресурса (ресурсов) с помощью опции -H.

Виртуализация и контейнеризация

Ограничение ресурсов контейнеров docker не работает в rootlessenv службе

Описание проблемы

Ограничение ресурсов контейнеров docker не работает в rootlessenv службе docker. Например, не работает ограничение объема выделяемой контейнеру памяти. Кроме того, не работает приостановка работы контейнера:

Устранение  проблемы

Для устранения проблемы при работе с Astra Linux Special Edition 1.8 следует:

1. Установить пакет dbus-user-session:

   sudo apt install dbus-user-session

2. В параметры загрузки (файл /etc/default/grub) добавить параметр cgroup_enable=memory и параметр swapaccount=1. Например:
   

   GRUB_CMDLINE_LINUX_DEFAULT="quiet splash parsec.max_ilev=0 cgroup_enable=memory swapaccount=1"

   
   

3. В файле /usr/share/rootless-helper-astra/start-label.sh в последней строке заменить значение cgroupfs параметра native.cgroupdriver:
   

   native.cgroupdriver=cgroupfs

   на значение systemd:
   

   native.cgroupdriver=systemd

   Например:
   

   exec /usr/share/docker.io/contrib/dockerd-rootless.sh --exec-opt native.cgroupdriver=systemd

   
   

4. Отключить мандатный контроль целостности:

   sudo astra-mic-control disable

5. Перезагрузить ОС:

   sudo reboot

Не запускаются контейнеры podman,  использующие память подкачки

Описание проблемы

Контейнеры Podman не запускаются от имени непривилегированного пользователя если для контейнера задано использование памяти подкачки.

Устранение  проблемы

Для устранения проблемы при работе с Astra Linux Special Edition 1.8 следует:

1. При работе с включенным мандатным контролем целостности (МКЦ) не использовать ограничения ресурсов контейнеров, то есть не использовать следующие опции:
   1. --cgroup-manager;
   2. -dt;
   3. --memory;
   4. --memory-swap. 

      
      

2. При возможности отключить МКЦ:

   1. Установить пакет dbus-user-session:

      sudo apt install dbus-user-session

   2. Отключить мандатный контроль целостности:

      sudo astra-mic-control disable

   3. Перезагрузить ОС:

      sudo reboot

Утилиты FLY

В меню Пуск не появляются ярлыки

Описание проблемы

В меню Пуск у пользователей не появляются ярлыки и иные файловые объекты, размещенные в каталоге /usr/share/applications/flystartmenu.

Устранение проблемы

Новая версия меню Пуск в Astra Linux x.8 вне поддерживает работу с каталогом /usr/share/applications/flystartmenu. Для публикации ярлыков следует:

• при использовании новой версии меню — публиковать ярлыки в каталоге  /usr/share/applications/;
• при необходимости публиковать иные объекты, а также при необходимости обеспечения совместимости — использовать классическую версию меню.

Подробнее см. статью: Общие ярлыки/папки на рабочих столах/в меню пользователей

В меню Пуск отсутствует Панель управления

Описание проблемы

В меню Пуск отсутствует Панель управления.

Устранение проблемы

В Astra Linux Special Edition  1.8 приложение Панель управления (fly-admin-center) заменено приложением Параметры системы (astra-systemsettings). Для доступа к остальным модулям настроек fly, составляющим классическую Панель управления, используется раздел Параметры нового меню Пуск, в котором в виде иерархической группировки доступны как новые так и старые модули настроек:

Дополнительно, при выборе классического меню Пуск:
  Medium
разделы Панели управления продублированы в группе Параметры

Пакет fly-admin-center перенесен в расширенный репозиторий. При его установке в классическом меню Пуск происходит переопределение вызова Панели управления вместо Параметров системы.

Не найден инструмент fly-admin-smc

Описание проблемы

Не найден (отсутствует) графический инструмент администрирования fly-admin-smc.

Устранение проблемы

Для администрирования системы следует использовать графический инструмент astra-systemsettings, заменяющий в Astra Linux Special Edition x.8 графический инструмент fly-admin-smc.

Анимация fly-start-menu выполняется слишком медленно

Описание проблемы

В Astra Linux Special Edition 1.8 по умолчанию включена анимация развертывания меню "Пуск". Использование анимации может негативно влиять на производительность системы, а также вызывать дискомфорт у пользователей.

Устранение проблемы

Для отключения анимации меню "Пуск":

1. В секцию [General] файла .config/rusbitech/fly-start-menu.conf в домашнем каталоге пользователя добавить параметр animationEnabled=false. Пример содержимого файла:

   [General]
   animationEnabled=false

   Если файла .config/rusbitech/fly-start-menu.conf нет, то создать его:

   echo -e "[General]\nanimationEnabled=false" | sudo tee ~<имя_пользователя>/.config/rusbitech/fly-start-menu.conf
   sudo chown <имя_пользователя>:<имя_пользователя> ~<имя_пользователя>/.config/rusbitech/fly-start-menu.conf

2. Для отключения анимации у будущих пользователей действуя от имени суперпользователя (при включенном МКЦ — от имени суперпользователя с высоким уровнем целостности) создать файл .config/rusbitech/fly-start-menu.conf с указанным выше содержимым в каталоге /etc/skel.

Прекращается отслеживание изменяемых файлов inotify

Описание проблемы

В состав Astra Linux входит подсистема inotify. Эта подсистема позволяет получать уведомления об изменении файловых объектов. Для отслеживания изменений для каждого контролируемого каталога приложениями, использующими inotify, создается экземпляр (instance) inotify в ядре. При изменении или удалении какого-либо файлового объекта  в этом каталоге генерируется уведомление. Уведомления обрабатываются приложением, создавшим inotify.

Количество одновременно создаваемых объектов лимитировано, и при превышении лимита создать новых instance завершается ошибкой. Лимит количества instance по умолчанию определяется автоматически, и зависит от следующих параметров ядра. 

• fs.inotify.max_user_watches — выбирается в диапазоне 8 192 — 1 048 576, при этом на размещение instance выделяется не более 1% от адресуемой памяти (один instance при использовании архитектуры x86-64 занимает 80 байт);
  
• fs.inotify.max_user_instances — максимальное количество экземпляров не должно превышать значение параметра kernel.pid_max (128 по умолчанию);
  
• kernel.pid_max — значение параметра по умолчанию определяется как 1024 * <количество_процессоров/нитей>. Например:
  • для системы с 32 процессорами это 32 768;
  • для системы с 64 процессорами это 65 536;
  • для системы  с 4096 процессорами это 4 194 304 (максимально возможный лимит).

Устранение проблемы

Для устранения проблемы необходимо увеличить значение лимита.

Текущий значения параметров можно узнать командой:

fs.inotify.max_user_watches=<значение_лимита>

где <значение_лимита> — число, задающее значение.

Комплекс средств защиты информации

Создаваемые файловые объекты не наследуют метку целостности контейнере

Описание проблемы

В расширенном режиме Мандатного Контроля Целостности (strict mode) при создании файловых объектов (сущностей) создаваемым объектам назначается нулевая метка, метка целостности каталога (контейнера), в котором он создается объект, не наследуется.

Устранение проблемы

При необходимости использовать strict mode, одновременно обеспечив наследование меток целостности, каталогам, в которых должна наследоваться метка целостности, должен быть присвоен  атрибуты метки безопасности iinh и irelax:

• При наличии только атрибута iinh создаваемые файловые объекту будут наследовать метку целостности каталога, а создаваемые каталоги также будут наследовать атрибут iinh. Метка целостности процесса, создающего объекты, при этом должна быть не ниже метки целостности контейнера.
• При наличии атрибута irelax метка целостности процесса, создающего объекты, может быть меньше метки целостности каталога. Метка целостности создаваемого объекта при этом будет выбираться как максимальная метка, меньшая меток процесса и каталога.
• При одновременном наличии атрибутов iinh и irelax действуют правила для атрибута irelax.

Подробнее см. эксплуатационную документацию, "Руководство по КСЗ", ч.1.

Недоступен инструмент astra-modban-lock

Описание проблемы

Недоступен инструмент astra-modban-lock (блокировка загрузки ранее не загруженных модулей ядра).

Устранение проблемы

Инструмент astra-modban-lock исключен из состава Astra Linux Special Edition x.8.

Подробнее см. статью: Инструменты командной строки astra-safepolicy.

Нерешенные задачи