Справочный центр

Дерево страниц

Оперативное обновление 1.7.9 представляет собой кумулятивное обновление безопасности для операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-37 (очередное обновление 7.7), далее по тексту - Astra Linux, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей.

ВНИМАНИЕ!

Обновление Astra Linux в случае, когда операционная система является составной частью программных или программно-аппаратных комплексов, должно применяться только на основании информации от производителей (разработчиков) таких комплексов, содержащей сведения о порядке и возможности обновления комплекса и Astra Linux из его состава. 
Не рекомендуется применять обновления Astra Linux вне контекста порядка обновления программного или программно-аппаратного комплекса в целом. 

Данное обновление содержит:

  • обновления (изменения) программного обеспечения репозитория установочного диска (основного репозитория - main);
  • обновленный базовый репозиторий (base);
  • обновленный расширенный репозиторий (extended).

Дата фиксации дистрибутива: 20 ноября 2025 г.

Данному обновлению соответствует следующий полный номер обновления Astra Linux: 1.7.9.41
См. также: Определение установленных обновлений и варианта исполнения Astra Linux

Предварительно необходимо ознакомиться с разделом Важная информация.

Дополнительная информация:

Данное обновление включает в себя:

Оглавление



В случае применения (установки) обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux. 

После успешной установки обновления (в том числе, после установки обновления базового репозитория) проверка целостности программных пакетов установочного диска (основного репозитория — main) осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в корневом каталоге образа диска обновления repository-update.iso.

Важная информация

  1. В системах с включенным механизмом мандатного контроля целостности обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
  2. В конфигурации защищенной СУБД для параметра ac_audit_destination более не поддерживаются следующие значения: parsec и all. Параметру ac_audit_destination после установки обновленной версии защищенной СУБД присваивается значение logfile (запись в журнал postgresql). При необходимости можно использовать значение syslog — запись в системный журнал. Иные значения параметра не используются. При необходимости перенаправления диагностических сообщений в другие журналы следует использовать возможности службы syslog-ng, см. статью Журналы работы системных служб.
  3. При использовании программного обеспечения, реализующего взаимодействие удаленных графических интерфейсов Astra Linux и Windows (пакет xrdp), после установки настоящего обновления необходимо выполнить дополнительные действия по обновлению/переустановке пакета xrdp.

  4. При использовании устаревшего ядра linux версии 5.4 ограничено функционирование модуля контроля неизменности (целостности) и подлинности файлов (digsig_verif):

    • поддерживается только режим проверки встраиваемой подписи (параметр DIGSIG_ELF_VERIFICATION_MODE=0). Возможность изменения режима отсутствует;
    • отсутствует интерфейс внутренней архитектуры /sys/digsig/elf_verification_mode (реализует режим проверки цифровой подписи исполняемых файлов и разделяемых библиотек).

    Рекомендуется установить ядро linux версии 5.15 или 6.1

  5. Начиная с оперативного обновления 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17) в среде виртуализации Astra Linux применяются обновленные правила мандатного управления доступом (МРД). При использовании среды виртуализации после установки настоящего обновления необходимо выполнить дополнительные действия по добавлению пользователя в группу libvirt-admin.

Возможные варианты установки обновления

Установка обновления программного обеспечения основного репозитория (main) с использованием образа диска с обновлением

При установке обновления программного обеспечения основного репозитория (main) дополнительно потребуется образ установочного диска.

Ссылка на образ установочного диска предоставляется в личном кабинете пользователя.

Загрузка и проверка образа диска с обновлением

  1. Скачать образ диска с обновлением с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.9/iso/repository-update.iso
    либо выполнив команду: 

    wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.9/iso/repository-update.iso

    Ссылка на образ диска c обновлением также предоставляется в личном кабинете пользователя.

  2. Перейти в каталог с загруженным образом диска и выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      gostsum -d repository-update.iso

      Контрольная сумма:

      a677bcc2c184062645c075be7480b12ec5103e8c9a0a80e40aafd4518034e5b8
    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:

      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.9/iso/repository-update.iso.sig
        либо выполнив команду: 

        wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.9/iso/repository-update.iso.sig

        Ссылка на усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" также предоставляется в личном кабинете пользователя.

      2. загруженную электронную подпись поместить в каталог с загруженным образом диска;

      3. перейти в каталог с загруженным образом диска и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update.iso repository-update.iso.sig -f repository-update.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
[ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления с использованием локальных или сетевых репозиториев

  1. Создать локальные или сетевые репозитории из установочного диска и образа диска с обновлением и настроить доступ к этим репозиториям в файле /etc/apt/sources.list, (см. Создание локальных и сетевых репозиториев).

    Если в качестве источников пакетов указан оптический установочный диск, строка вида:

    deb cdrom:[<наименование_установочного_диска>]/ 1.7_x86-64 contrib main non-free

    то эту строку необходимо удалить или закомментировать (установить символ "#" в начале строки).

  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    sudo apt update

  3. Выполнить обновление инструмента командной строки astra-update командой:

    sudo apt install astra-update

  4. Установить обновление: 

    sudo astra-update -A -r

Установка обновления с использованием локальной копии образа диска с обновлением

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий образа установочного диска и образа диска с обновлением. Образы дисков могут быть сохранены как локальные файлы, или размещены на подключаемом съемном носителе.

  1. Примонтировать загруженный образ диска, например, в каталог /media/cdrom:

    sudo mount /mnt/repository-update.iso /media/cdrom

    В приведенном примере предполагается, что образ диска скопирован в каталог /mnt/ или находится на съемном носителе, смонтированном в каталог /mnt/.

  2. Выполнить обновление инструмента командной строки astra-update:

    sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb

  3. Отмонтировать загруженный образ диска:

    sudo umount /media/cdrom
  4. Установить обновление: 

    sudo astra-update -A /mnt/<имя_образа_установочного_диска> /mnt/repository-update.iso

    В приведенном примере предполагается, что образы дисков скопированы в каталог /mnt/ или находятся на съемном носителе, смонтированном в каталог /mnt/.

Установка обновления программного обеспечения основного репозитория (main) с использованием зафиксированной ветки интернет-репозитория Astra Linux

  1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить строки:

    deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.9/repository-main/ 1.7_x86-64 main contrib non-free
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.9/repository-update/ 1.7_x86-64 main contrib non-free

    Если в качестве источников пакетов указан оптический установочный диск, строка вида:

    deb cdrom:[<наименование_установочного_диска>]/ 1.7_x86-64 contrib main non-free

    то эту строку необходимо удалить или закомментировать (установить символ "#" в начале строки).

  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    sudo apt update

  3. Выполнить обновление инструмента командной строки astra-update командой:

    sudo apt install astra-update

  4. Установить обновление: 

    sudo astra-update -A -r

Установка обновления программного обеспечения базового репозитория (base)

Установка обновления с использованием зафиксированной ветки интернет-репозитория Astra Linux

  1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить строку:

    deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.9/repository-base/ 1.7_x86-64 main contrib non-free

    Если в качестве источников пакетов указан оптический установочный диск, строка вида:

    deb cdrom:[<наименование_установочного_диска>]/ 1.7_x86-64 contrib main non-free

    то эту строку необходимо удалить или закомментировать (установить символ "#" в начале строки).

  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником:

    sudo apt update

  3. Выполнить обновление инструмента командной строки astra-update командой:

    sudo apt install astra-update

  4. Установить обновление: 

    sudo astra-update -A -r -T

Установка обновления с использованием образа диска обновленного базового репозитория (base)

Ссылка на образ диска обновленного базового репозитория предоставляется в личном кабинете пользователя.

  1. Скачать образ диска обновленного базового репозитория по ссылке, представленной в личном кабинете.

  2. Перейти в каталог с образом диска обновленного базового репозитория.

  3. Выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      gostsum -d base-1.7.9.41-20.11.25_23.15.iso

      Контрольная сумма:

      e1e495a613b05fc13fac42e8a3d32443c4422c1d8f8c00a697be41964003033e

    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:

      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" по ссылке, представленной в личном кабинете;

      2. загруженный файл электронной подписи поместить в каталог с образом диска обновленного базового репозитория;

      3. перейти в каталог с образом диска обновленного базового репозитория и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached base-1.7.9.41-20.11.25_23.15.iso base-1.7.9.41-20.11.25_23.15.iso.sig -f base-1.7.9.41-20.11.25_23.15.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
[ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

  4. Примонтировать образ диска обновленного базового репозитория, например, в каталог /media/cdrom:

    sudo mount base-1.7.9.41-20.11.25_23.15.iso /media/cdrom/

  5. Выполнить обновление инструмента командной строки astra-update:

    sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb

  6. Отмонтировать образ диска:

    sudo umount /media/cdrom
  7. Установить обновление: 

    sudo astra-update -A -T base-1.7.9.41-20.11.25_23.15.iso

Завершение установки обновления

После выполнения обновления перезагрузить компьютер.

Действия после установки обновления


Активация Astra Linux

Начиная с оперативного обновления 1.7.8 (БЮЛЛЕТЕНЬ № 2025-0923SE17) в состав Astra Linux включена подсистема активации продуктов Группы Астра.

В настоящем оперативном обновлении статус наличия или отсутствия обновления не влияет на функциональность и носит информационный характер.

Начиная с очередного обновления 1.9 активация может потребоваться для перевода программного обеспечения Astra Linux в полнофункциональный режим, позволяющий выполнять все функции в соответствии с документацией и приобретенной лицензией. При этом легальность использования программного обеспечения Astra Linux подтверждается и будет подтверждаться исключительно лицензионным договором и ничем иным.

В процессе активации потребуется зарегистрировать хост, на котором установлена Astra Linux, в личном кабинете пользователя. Перед заменой комплектующих хоста требуется отменить его регистрацию (см. Отмена регистрации хоста) и выполнить ее повторно после замены, в противном случае активация будет признана не действительной. 


После установки настоящего обновления в окне программы «Информация о системе» для пользователей, которые входят в системную группу astra-admin будет отображена следующая информация:

  • в строке Статус лицензии — «Не активирована»;

  • в строке Исполнение —«Не определено». Данное значение отображается, если в системе не установлен пакет, указывающий на вариант лицензирования Astra Linux. Пакет, который соответствует варианту лицензирования, пользователю необходимо установить самостоятельно (см. ниже).

Перед активацией копии Astra Linux необходимо в личном кабинете пользователя добавить подписку на использование Astra Linux (см. статью Активация лицензий).

Для активации установленной копии Astra Linux следует выполнить действия, описанные ниже.

  1. Установить настоящее обновление.
  2. Установить один из пакетов, которые используются для идентификации варианта лицензирования Astra Linux:
    • astra-subscription-desktop — для рабочей станции;
    • astra-subscription-server — для сервера;
    • astra-subscription-embedded — для специализированных устройств;
    • astra-subscription-mobile — для мобильного устройства.

    Вариант лицензирования Astra Linux указан в приобретенной лицензии. Описание варианта лицензирования представлено в документе «Лицензионное соглашение с конечным пользователем по использованию операционной системы специального назначения «Astra Linux Special Edition» (доступен на странице https://astra.ru/info/law/).

    Пример

    Для установки пакета astra-subscription-desktop выполнить команду:

    sudo apt install astra-subscription-desktop


    Для обновления информации, отображаемой в окне программы «Информация о системе», программу необходимо перезапустить.
    После установки пакета в окне программы «Информация о системе» для пользователей, которые входят в системную группу astra-admin, в строке Исполнение будет отображен вариант лицензирования Astra Linux:

    • «Desktop» — для рабочей станции;
    • «Server» — для сервера;
    • «Embedded» — для специализированных устройств;
    • «Mobile» — для мобильного устройства.
  3. Содержание файла /etc/astra-subscription/common.yaml привести к следующему виду:
    server:
    baseurl: "https://lk.astra.ru"
    prefix: "/api/integrations/candlepin"
    insecure: false
    port: 443
logging:
    syslog: true
     
  4.  Зарегистрировать хост, на котором установлена копия Astra Linux, в личном кабинете пользователя командой:
    sudo astra-subscription register --username=<имя_пользователя> --password="<пароль>"
    где <имя_пользователя> и <пароль> — соответственно имя и пароль пользователя, которые используется для доступа в личный кабинет. 
    Допускается не указывать в команде имя и пароль пользователя. В этом случае они будут запрошены в интерактивном режиме в процессе выполнения команды.
    Пример вывода после успешной регистрации хоста в личном кабинете пользователя:
    Статус регистрации: Зарегистрирован
ID клиента: 8165ea5a-074d-4b78-...-e7b96cc1951b
  5. Вывести перечень доступных пулов лицензий на использование Astra Linux:
    astra-subscription status --available --list
    и зафиксировать идентификатор пула лицензий (ID пула). Пример вывода после выполнения команды:
    ID пула:  8a888403987...72a82
  ID продукта: 1040101007
  Имя продукта: ALSE desktop 1.7
  Статус активации: Не активирован
  Доступно активаций: 1
  Режим защищенности: Максимальный
  6. Активировать копию Astra Linux:
    sudo astra-subscription attach --pool-id=<идентификатор_пула_лицензий>

    Пример вывода после успешной активации копии Astra Linux:

    Статус прикрепления: Прикреплено
Активированные продукты: 1040101007


  7. Вывести информацию о статусе копии Astra Linux:
    astra-subscription status
    Пример вывода после выполнения команды:
    ID продукта: 1040101007
Имя продукта: ALSE Desktop 1.7
Статус активации: Активировано
Серийный номер: 59DF14D4618...83B32FD5C01
Действительно с:  2021-05-14 21:00:00
Действительно до:  2071-05-03 20:59:59
Версия: 1.7
Режим защищенности: Максимальный

Деактивация копии Astra Linux

При необходимости копия Astra Linux может быть деактивирована. Это позволит заменить хост, на котором была установлена и активирована Astra Linux, без увеличения количества активированных копий.

Для деактивации копии Astra Linux, установленной на хосте, необходимо выполнить команду:

sudo astra-subscription remove --serial=<серийный_номер>.

где <серийный_номер> — серийный номер активированной копии Astra Linux. Вывести серийный номер можно с помощью команды astra-subscription status (см. шаг 7 подраздела Активация Astra Linux).

Пример вывода после успешного выполнения команды:

Активация удалена

После выполнения команды будет отменена регистрация хоста в личном кабинете. В личном кабинете пользователя счетчик Использовано уменьшится на единицу.

Отмена регистрации хоста

При необходимости можно отменить регистрацию хоста, на котором установлена Astra Linux. Это позволит заменить хост, на котором была установлена и активирована Astra Linux, без увеличения количества активированных копий. Также требуется отменить регистрацию хоста перед заменой его комплектующих.

Для отмены регистрации хоста выполнить команду:

sudo astra-subscription unregister

Пример вывода после успешного выполнения команды:

Статус регистрации: Не зарегистрирован

В процессе выполнения команды будет произведена деактивация копии Astra Linux и отменена регистрация хоста в личном кабинете. В личном кабинете пользователя счетчик Использовано уменьшится на единицу.

Повторная активация копии Astra Linux

Если на хосте возникла необходимость заново установить Astra Linux (например, после критического сбоя), то после повторной установки Astra Linux требуется перерегистрировать этот хост в личном кабинете. Для этого на хосте выполнить команду:

sudo astra-subscription register --username=<имя_пользователя> --password="<пароль>" --force

где <имя_пользователя> и <пароль> — соответственно имя и пароль пользователя, которые используется для доступа в личный кабинет. 
Допускается не указывать в команде имя и пароль пользователя. В этом случае они будут запрошены в интерактивном режиме в процессе выполнения команды.
В процессе выполнения команды будет произведена деактивация копии Astra Linux и регистрация хоста в личном кабинете. После этого необходимо выполнить действия начиная с шага 5 подраздела Активация Astra Linux.


Добавление пользователя в группу libvirt-admin

Пользователи-участники группы libvirt-admin могут без использования sudo работать с виртуальными машинами, виртуальными сетями и хранилищами данных. До установки оперативного обновления 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17) эта группа использовалась только в Astra Linux с включенным мандатным управлением доступом (включен по умолчанию на максимальном уровне защищенности). После установки обновлений, начиная с оперативного обновления 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17), необходима также и при выключенном мандатным управлением доступом. Команда для добавления пользователя в группу libvirt-admin:

sudo usermod -a -G libvirt-admin $USER

Для того, чтобы добавление в группы вступило в силу, нужно перезапустить пользовательскую сессию. 

См. также Виртуализация QEMU/KVM в Astra Linux

Обновление/переустановка пакета xrdp

Для обновления пакета необходимо выполнить команду:

sudo apt install xrdp -y

Для переустановки пакета необходимо выполнить команду:

sudo apt install --reinstall xrdp -y

Затем необходимо удостовериться в том, что в конфигурационном файле /etc/xrdp/xrdp.ini для параметра fork установлено значение true:

fork=true

После внесения изменений в конфигурационный файл /etc/xrdp/xrdp.ini  необходимо перезапустить службу xrdp-сервера:

sudo systemctl restart xrdp

В процессе обновления или переустановки пакета xrdp также будет установлен пакет fuse3, который заменяет пакет fuse, установленный ранее. При этом конфигурационные файлы пакета fuse будут сохранены. В связи с этим, при выполнении команды dpkg -l для пакета fuse отображается статус rc (пакет удален, но конфигурационные файлы остались).

Установка программы «Центр уведомлений»

Описанные ниже действия не обязательны и выполняются по необходимости.

Начиная с оперативного обновления 1.7.1 в Astra Linux добавлена программа «Центр уведомлений» (пакет fly-notifications), реализующая вывод сообщений для пользователя на рабочем столе.

Для установки программы «Центр уведомлений» необходимо выполнить команду:

sudo apt install fly-notifications
Во время выполнения этой команды служба qtnotifydaemon будет автоматически удалена.