Оперативное обновление 2.12.46 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей и совершенствования функциональных возможностей операционной системы общего назначения «Astra Linux Common Edition», далее по тексту - Astra Linux CE.
Оглавление
Данное обновление включает в себя:
Дополнительные сведения:
Данному обновлению соответствует следующий полный номер обновления Astra Linux CE: 2.12.46.6
См. также: Определение установленных обновлений и варианта исполнения Astra Linux
Подготовка к установке обновления
Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:
/boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ). Если увеличить размер дискового раздела /boot не представляется возможным, то необходимо удалить неиспользуемые пакеты linux-ядра (см. раздел Удаление неиспользуемых пакетов linux-ядра).См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.
Установка обновления с использованием зафиксированной ветки интернет-репозитория Astra Linux CE
В случаях, если интернет-репозиторий Astra-Linux CE по каким-либо причинам не представляется возможным использовать, можно создать собственный репозиторий.
Для установки обновления с использованием зафиксированной ветки интернет-репозитория Astra Linux CE необходимо выполнить следующие действия:
Подключить зафиксированную ветку интернет-репозитория Astra-Linux CE, для этого:
для использования сетевых репозиториев, работающих по протоколу HTTPS, установить пакеты
apt-transport-httpsиca-certificatesкомандой:sudo apt install apt-transport-https ca-certificatesКроме того, для подключения интернет-репозиториев Astra-Linux CE можно использовать протокол HTTP.
в файле
/etc/apt/sources.listдобавить строку:при использовании протокола HTTPS
deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.46/repository/ orel main contrib non-free
при использовании протокола HTTP
deb http://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.46/repository/ orel main contrib non-free
Выполнить повторную синхронизацию файлов описаний пакетов с их источником:
sudo apt updateУстановить обновление командой:
sudo apt dist-upgrade
Завершение установки обновления
После выполнения обновления перезагрузить систему.
Действия после установки обновления
Описанные ниже действия не обязательны и выполняются по необходимости.
Добавление корневого сертификата удостоверяющего центра Минцифры России
Добавление корневого сертификата необходимо выполнить после установки пакета ca-certificates-local и для каждого пользователя.
Добавление корневого сертификата в Firefox
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
- В адресную строку ввести "
about:preferences" и нажать клавишу <Enter>. - На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
- В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать...].
- В открывшемся окне импорта выбрать файл
/etc/ssl/certs/rootca_MinDDC_rsa2022.pemи нажать на кнопку [Открыть]. - В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
- В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].
Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:
The Ministry of Digital Development and Communications Russian Trusted Root CA
Добавление корневого сертификата в Chromium
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
- В адресную строку ввести "
chrome://settings/certificates" и нажать клавишу <Enter>. - На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
- В открывшемся окне импорта выбрать файл
/etc/ssl/certs/rootca_MinDDC_rsa2022.pemи нажать на кнопку [Открыть]. - В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].
После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:
org-The Ministry of Digital Development and Communications Russian Trusted Root CA
Удаление неиспользуемых пакетов linux-ядра
После установки обновления и успешной перезагрузки для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому linux-ядру. Проверить, какое linux-ядро загружено в данный момент можно командой:
Пример вывода после выполнения команды:
5.15.0-70-generic
Чтобы просмотреть перечень пакетов, относящихся к ядрам Linux и зарегистрированных в ОС, необходимо в терминале выполнить команду:
ii linux-image-4.15-generic ii linux-image-4.15-hardened ii linux-image-4.15.3-1-generic ii linux-image-4.15.3-1-hardened ii linux-image-4.15.3-141-generic ii linux-image-4.15.3-141-hardened ii linux-image-4.15.3-177-generic ii linux-image-4.15.3-177-hardened ii linux-image-5.4-generic ii linux-image-5.4-hardened ii linux-image-5.4.0-71-generic ii linux-image-5.4.0-71-hardened ii linux-image-5.4.0-110-generic ii linux-image-5.4.0-110-hardened ii linux-image-5.15-generic ii linux-image-5.15.0-33-generic ii linux-image-5.15.0-70-generic ii linux-image-hardened
В первом столбце отображается состояние пакета, может принимать следующие значения:
- «rc» — пакет был установлен, но уже удален;
- «ii» — пакет на текущий момент установлен.
Ниже представлен пример сценария для удаления пакетов, относящихся к неиспользуемым ядрам (необходимо запускать от имени администратора):
#!/bin/bash set -e # Перечень пакетов, дальнейшее использование которых не планируется. pkgs="linux-image-4.15.3-1-generic \ linux-image-4.15.3-1-hardened \ linux-image-4.15.3-141-generic \ linux-image-4.15.3-141-hardened \ linux-image-4.15.3-177-generic \ linux-image-4.15.3-177-hardened \ linux-image-5.4.0-71-generic \ linux-image-5.4.0-71-hardened \ linux-image-5.4.0-110-generic \ linux-image-5.4.0-110-hardened \ linux-image-5.15.0-33-generic" # Проверка строки и запуск удаления пакетов. # Для удаления пакета и всех связанных с ним # конфигурационных файлов необходимо использовать команду apt purge. [ -n "$pkgs" ] && apt remove $pkgs #обновление конфигурационного файла Grub. update-grub2
Кроме того, можно выборочно удалить пакеты с помощью предпочитаемого менеджера пакетов.
Подключение интернет-репозиториев предыдущих обновлений Astra Linux CE
На текущий момент поддерживаются следующие версии обновлений Astra Linux CE:
- 2.12.45
- 2.12.44
- 2.12.43
- 2.12.42
- 2.12.40
- 2.12.29
- 2.12.22
- 2.12.21
- 2.12.14
- 2.12.13
Если необходимо использовать предыдущие версии репозиториев, то в файле /etc/apt/sources.list необходимо удалить (закомментировать) строку с описанием текущего актуального репозитория и добавить следующую строку:
при использовании протокола HTTPS
deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.<номер_обновления>/repository/ orel main contrib non-free
при использовании протокола HTTP
deb http://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.<номер_обновления>/repository/ orel main contrib non-free
Например, для Astra Linux CE 2.12.29 (при использовании протокола HTTPS) строка будет иметь вид:
deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.29/repository/ orel main contrib non-free