Справочный центр

Дерево страниц

Оперативное обновление 4.7.9 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей и совершенствования функциональных возможностей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10152-02 (очередное обновление 4.7), далее по тексту - Astra Linux.

ВНИМАНИЕ!

Обновление Astra Linux в случае, когда операционная система является составной частью программных или программно-аппаратных комплексов, должно применяться только на основании информации от производителей (разработчиков) таких комплексов, содержащей сведения о порядке и возможности обновления комплекса и Astra Linux из его состава. 
Не рекомендуется применять обновления Astra Linux вне контекста порядка обновления программного или программно-аппаратного комплекса в целом. 

Данное обновление содержит:

  • обновления (изменения) пакетов установочного диска (основного репозитория - main);
  • обновленный базовый репозиторий (base);
  • обновленный расширенный репозиторий (extended).

Дата фиксации дистрибутива: 28 ноября 2025 г.

Данному обновлению соответствует следующий полный номер: 4.7.9.2

Информация о полном номере "сборки" программного обеспечения Astra Linux используется в процессе эксплуатации для диагностических целей. Данная информация не может использоваться при заказах Astra Linux и не указывается в документации информационных систем.

См. также: Определение установленных обновлений и варианта исполнения Astra Linux

Предварительно необходимо ознакомиться с разделом Важная информация

Дополнительная информация:

Данное обновление включает в себя:

Оглавление

После успешной установки обновления (в том числе, с использованием обновленного базового репозитория) проверка целостности программных пакетов установочного диска (основного репозитория - main) осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в корневом каталоге образа диска обновления repository-update.iso.

В случае применения (установки) оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux. 

Важная информация

  1. Ядро Linux 5.4, представленное в оперативном обновлении 4.7.9, включает изменения из релиза прошивки Baikal ARM64 SDK 2506-5.4 для процессоров Байкал-M и Байкал-S. Версии прошивки выше SDK 2506-5.4 не поддерживаются.
    Ядро Linux 6.1, представленное в оперативном обновлении 4.7.9, включает изменения из релиза прошивки Baikal ARM64 SDK 2506-6.1 для процессоров Байкал-M и Байкал-S. Версии прошивки выше SDK 2506-6.1 не поддерживаются.

    ВНИМАНИЕ!

    Ядра Linux 5.10 и 5.15, представленные в настоящем обновлении, не совместимы с аппаратной платформой Байкал.

  2. В системах с включенным механизмом мандатного контроля целостности обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
  3. Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях.

  4. Перед установкой обновлений необходимо:

  5. При использовании устаревшего ядра linux версии 5.4 ограничено функционирование модуля контроля неизменности (целостности) и подлинности файлов (digsig_verif):

    • поддерживается только режим проверки встраиваемой подписи (параметр DIGSIG_ELF_VERIFICATION_MODE=0). Возможность изменения режима отсутствует;
    • отсутствует интерфейс внутренней архитектуры /sys/digsig/elf_verification_mode (реализует режим проверки цифровой подписи исполняемых файлов и разделяемых библиотек).

    Рекомендуется установить ядро linux версии 5.15 или 6.1

  6. Начиная с оперативного обновления 4.7.5 (БЮЛЛЕТЕНЬ № 2024-0416SE47) в среде виртуализации Astra Linux применяются обновленные правила мандатного управления доступом (МРД). При использовании среды виртуализации после установки настоящего обновления необходимо выполнить дополнительные действия по добавлению пользователя в группу libvirt-admin.

Возможные варианты установки обновления

Установка обновления программного обеспечения основного репозитория (main) с использованием образа диска с обновлением

При установке обновления программного обеспечения основного репозитория (main) дополнительно потребуется образ установочного диска.

Ссылка на образ установочного диска предоставляется в личном кабинете пользователя.

Загрузка и проверка образа диска с обновлением

  1. Скачать образ диска с обновлением с помощью веб-браузера по следующей ссылке: 
    https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/iso/repository-update.iso
    либо выполнив команду: 

    wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/iso/repository-update.iso

    Ссылка на образ диска c обновлением также предоставляется в личном кабинете пользователя.

  2. Перейти в каталог с загруженным образом диска и выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      gostsum -d repository-update.iso

      Контрольная сумма:

      4a656edab54bc29025da85283867dd3cb09f87c8ed52666cd1541550dbf6cc78

    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:

      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/iso/repository-update.iso.sig
        либо выполнив команду:

        wget https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/iso/repository-update.iso.sig

        Ссылка на усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" также предоставляется в личном кабинете пользователя.

      2. загруженную электронную подпись поместить в каталог с загруженным образом диска;

      3. перейти в каталог с загруженным образом диска и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/aarch64/cryptcp -verify -detached repository-update.iso repository-update.iso.sig -f repository-update.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
[ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории из установочного диска и образа диска с обновлением (см. Создание локальных и сетевых репозиториев) и если на обновляемой системе настроен доступ к этим сетевым репозиториям в файле /etc/apt/sources.list, то обновление может быть установлено командой:

sudo astra-update -a -r -T

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update - инструменты для установки обновлений).

Установка обновления с использованием локальной копии образа диска с обновлением

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий образа установочного диска и образа диска с обновлением. Образы дисков могут быть сохранены как локальные файлы, или размещены на подключаемом съемном носителе. Установка обновления в таком случае может быть выполнена командой:

sudo astra-update -a /mnt/<имя_образа_установочного_диска> /mnt/repository-update.iso

В приведенном примере предполагается, что образы дисков скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt.
Подробности также см. в описании инструментов fly-astra-update и astra-update.

Установка обновления основного репозитория (main) с использованием зафиксированной ветки интернет-репозитория Astra Linux

Для Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) в репозиториях доступны дополнительные аппаратно-зависимые компоненты. На момент выпуска настоящего оперативного обновления это:

  • baikal1;
  • huawei1;
  • imx8;
  • kvadrat;
  • mtrust1.

  1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить следующие строки:

    # Основной репозиторий:
deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-main/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free
 
# Оперативное обновление основного репозитория:
deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-update/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free

     Пример для аппаратно-зависимого компонента baikal1:

    # Основной репозиторий, включая аппаратно-зависимый компонент baikal1:
deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-main/ 4.7_arm baikal1 main contrib non-free
  
# Оперативное обновление основного репозитория, включая аппаратно-зависимый компонент baikal1:
deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-update/ 4.7_arm baikal1 main contrib non-free

  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    sudo apt update

  3. Установить обновление, выполнив команду:

    sudo astra-update -a -r -T

Установка обновления пакетов базового репозитория (base) с использованием зафиксированной ветки интернет-репозитория Astra Linux

Для Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) в репозиториях доступны дополнительные аппаратно-зависимые компоненты. На момент выпуска настоящего оперативного обновления это:

  • baikal1;
  • huawei1;
  • imx8;
  • kvadrat;
  • mtrust1.

  1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить следующую строку:

    deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-base/ 4.7_arm <название_аппаратно_зависимого_компонента> main contrib non-free

    Пример для аппаратно-зависимого компонента baikal1:

    deb https://dl.astralinux.ru/astra/frozen/4.7_arm/4.7.9/repository-base/ 4.7_arm baikal1 main contrib non-free

  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    sudo apt update

  3. Установить обновление, выполнив команду: 

    sudo astra-update -a -r -T

Установка обновления пакетов базового репозитория (base) с использованием образа диска обновленного базового репозитория (base)

Ссылка на образ диска обновленного базового репозитория предоставляется в личном кабинете пользователя.

  1. Скачать образ диска обновленного базового репозитория по ссылке, представленной в личном кабинете.

  2. Перейти в каталог с образом диска обновленного базового репозитория.

  3. Выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      gostsum -d base-4.7.9.2-28.11.2025_23.44.iso

      Контрольная сумма:

      ceb532da54a5df8c24d92c40f0c3b3524dfcf0f5cb8348477f62487250f45dbe

    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:

      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" по ссылке, представленной в личном кабинете;

      2. загруженный файл электронной подписи поместить в каталог с образом диска обновленного базового репозитория;

      3. перейти в каталог с образом диска обновленного базового репозитория и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/aarch64/cryptcp -verify -detached base-4.7.9.2-28.11.2025_23.44.iso base-4.7.9.2-28.11.2025_23.44.iso.sig -f base-4.7.9.2-28.11.2025_23.44.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
[ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

  4. Примонтировать образ диска обновленного базового репозитория:

    sudo mount base-4.7.9.2-28.11.2025_23.44.iso /media/cdrom/

  5. Подключить примонтированный образ диска обновленного базового репозитория в качестве источников пакетов:

    sudo apt-cdrom add -m

  6. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    sudo apt update

  7. Установить обновление, выполнив команду: 

    sudo astra-update -a -r -T

Завершение установки обновления


После выполнения обновления перезагрузить компьютер.

Действия после установки обновления


Активация Astra Linux

В состав Astra Linux включена подсистема активации продуктов Группы Астра.

В настоящем оперативном обновлении статус наличия или отсутствия активации не влияет на функциональность и носит информационный характер.

Начиная с очередного обновления 4.9 активация может потребоваться для перевода программного обеспечения Astra Linux в полнофункциональный режим, позволяющий выполнять все функции в соответствии с документацией и приобретенной лицензией. При этом легальность использования программного обеспечения Astra Linux подтверждается и будет подтверждаться исключительно лицензионным договором и ничем иным.

В процессе активации потребуется зарегистрировать хост, на котором установлена Astra Linux, в личном кабинете пользователя. Перед заменой комплектующих хоста требуется отменить его регистрацию (см. Отмена регистрации хоста) и выполнить ее повторно после замены, в противном случае активация будет признана не действительной. 


После установки настоящего обновления в окне программы «Информация о системе» для пользователей, которые входят в системную группу astra-admin будет отображена следующая информация:

  • в строке Статус лицензии — «Не активирована»;

  • в строке Исполнение —«Не определено». Данное значение отображается, если в системе не установлен пакет, указывающий на вариант лицензирования Astra Linux. Пакет, который соответствует варианту лицензирования, пользователю необходимо установить самостоятельно (см. ниже).

Перед активацией копии Astra Linux необходимо в личном кабинете пользователя добавить подписку на использование Astra Linux (см. статью Активация лицензий).

Для активации установленной копии Astra Linux следует выполнить действия, описанные ниже.

  1. Установить настоящее обновление.
  2. Установить один из пакетов, которые используются для идентификации варианта лицензирования Astra Linux:
    • astra-subscription-desktop — для рабочей станции;
    • astra-subscription-server — для сервера;
    • astra-subscription-embedded — для специализированных устройств;
    • astra-subscription-mobile — для мобильного устройства.

    Вариант лицензирования Astra Linux указан в приобретенной лицензии. Описание варианта лицензирования представлено в документе «Лицензионное соглашение с конечным пользователем по использованию операционной системы специального назначения «Astra Linux Special Edition» (доступен на странице https://astra.ru/info/law/).

    Пример

    Для установки пакета astra-subscription-desktop выполнить команду:

    sudo apt install astra-subscription-desktop


    Для обновления информации, отображаемой в окне программы «Информация о системе», программу необходимо перезапустить.
    После установки пакета в окне программы «Информация о системе» для пользователей, которые входят в системную группу astra-admin, в строке Исполнение будет отображен вариант лицензирования Astra Linux:

    • «Desktop» — для рабочей станции;
    • «Server» — для сервера;
    • «Embedded» — для специализированных устройств;
    • «Mobile» — для мобильного устройства.
  3. Содержание файла /etc/astra-subscription/common.yaml привести к следующему виду:
    server:
    baseurl: "https://lk.astra.ru"
    prefix: "/api/integrations/candlepin"
    insecure: false
    port: 443
logging:
    syslog: true
     
  4.  Зарегистрировать хост, на котором установлена копия Astra Linux, в личном кабинете пользователя командой:
    sudo astra-subscription register --username=<имя_пользователя> --password="<пароль>"
    где <имя_пользователя> и <пароль> — соответственно имя и пароль пользователя, которые используется для доступа в личный кабинет. 
    Допускается не указывать в команде имя и пароль пользователя. В этом случае они будут запрошены в интерактивном режиме в процессе выполнения команды.
    Пример вывода после успешной регистрации хоста в личном кабинете пользователя:
    Статус регистрации: Зарегистрирован
ID клиента: 8165ea5a-074d-4b78-...-e7b96cc1951b
  5. Вывести перечень доступных пулов лицензий на использование Astra Linux:
    astra-subscription status --available --list
    и зафиксировать идентификатор пула лицензий (ID пула). Пример вывода после выполнения команды:
    ID пула:  8a888403987...72a82
  ID продукта: 1040104007
  Имя продукта: ALSE desktop 4.7
  Статус активации: Не активирован
  Доступно активаций: 1
  Режим защищенности: Максимальный
  6. Активировать копию Astra Linux:
    sudo astra-subscription attach --pool-id=<идентификатор_пула_лицензий>

    Пример вывода после успешной активации копии Astra Linux:

    Статус прикрепления: Прикреплено
Активированные продукты: 1040104007


  7. Вывести информацию о статусе копии Astra Linux:
    astra-subscription status
    Пример вывода после выполнения команды:
    ID продукта: 1040104007
Имя продукта: ALSE Desktop 4.7
Статус активации: Активировано
Серийный номер: 59DF14D4618...83B32FD5C01
Действительно с:  2021-05-14 21:00:00
Действительно до:  2071-05-03 20:59:59
Версия: 1.7
Режим защищенности: Максимальный

Деактивация копии Astra Linux

При необходимости копия Astra Linux может быть деактивирована. Это позволит заменить хост, на котором была установлена и активирована Astra Linux, без увеличения количества активированных копий.

Для деактивации копии Astra Linux, установленной на хосте, необходимо выполнить команду:

sudo astra-subscription remove --serial=<серийный_номер>.

где <серийный_номер> — серийный номер активированной копии Astra Linux. Вывести серийный номер можно с помощью команды astra-subscription status (см. шаг 7 подраздела Активация Astra Linux).

Пример вывода после успешного выполнения команды:

Активация удалена

После выполнения команды будет отменена регистрация хоста в личном кабинете. В личном кабинете пользователя счетчик Использовано уменьшится на единицу.

Отмена регистрации хоста

При необходимости можно отменить регистрацию хоста, на котором установлена Astra Linux. Это позволит заменить хост, на котором была установлена и активирована Astra Linux, без увеличения количества активированных копий. Также требуется отменить регистрацию хоста перед заменой его комплектующих.

Для отмены регистрации хоста выполнить команду:

sudo astra-subscription unregister

Пример вывода после успешного выполнения команды:

Статус регистрации: Не зарегистрирован

В процессе выполнения команды будет произведена деактивация копии Astra Linux и отменена регистрация хоста в личном кабинете. В личном кабинете пользователя счетчик Использовано уменьшится на единицу.

Повторная активация копии Astra Linux

Если на хосте возникла необходимость заново установить Astra Linux (например, после критического сбоя), то после повторной установки Astra Linux требуется перерегистрировать этот хост в личном кабинете. Для этого на хосте выполнить команду:

sudo astra-subscription register --username=<имя_пользователя> --password="<пароль>" --force

где <имя_пользователя> и <пароль> — соответственно имя и пароль пользователя, которые используется для доступа в личный кабинет. 
Допускается не указывать в команде имя и пароль пользователя. В этом случае они будут запрошены в интерактивном режиме в процессе выполнения команды.
В процессе выполнения команды будет произведена деактивация копии Astra Linux и регистрация хоста в личном кабинете. После этого необходимо выполнить действия начиная с шага 5 подраздела Активация Astra Linux.


Добавление пользователя в группу libvirt-admin

Пользователи-участники группы libvirt-admin могут без использования sudo работать с виртуальными машинами, виртуальными сетями и хранилищами данных. До установки оперативного обновления 4.7.5 (БЮЛЛЕТЕНЬ № 2024-0416SE47) эта группа использовалась только в Astra Linux с включенным мандатным управлением доступом (включен по умолчанию на максимальном уровне защищенности). После установки обновлений, начиная с оперативного обновления 4.7.5 (БЮЛЛЕТЕНЬ № 2024-0416SE47), необходима также и при выключенном мандатным управлением доступом. Команда для добавления пользователя в группу libvirt-admin:

sudo usermod -a -G libvirt-admin $USER

Для того, чтобы добавление в группы вступило в силу, нужно перезапустить пользовательскую сессию. 

См. также Виртуализация QEMU/KVM в Astra Linux


  • Нет меток