Оперативное обновление 1.7.6 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей и совершенствования функциональных возможностей операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-37 (очередное обновление 7.7), далее по тексту - Astra Linux.

Данное обновление содержит:

  • обновления (изменения) программного обеспечения репозитория установочного диска (основного репозитория — main);
  • обновленный базовый репозиторий (base);
  • обновленный расширенный репозиторий (extended).

Данному обновлению соответствует следующий полный номер обновления Astra Linux: 1.7.6.11

См. также: Определение установленных обновлений и варианта исполнения Astra Linux

Оглавление

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях.

После успешной установки обновления (в том числе, после установки обновления базового репозитория) проверка целостности программных пакетов установочного диска (основного репозитория - main) осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt, расположенного в корневом каталоге образа диска обновления repository-update.iso.

В случае применения (установки) оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux. 

Начиная с оперативного обновления 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17) в среде виртуализации Astra Linux применяются обновленные правила мандатного управления доступом (МРД).

При использовании среды виртуализации после установки настоящего обновления необходимо выполнить дополнительные действия по добавлению пользователя в группу libvirt-admin.

Порядок установки обновления

Подготовка к установке обновления

Внимание

В системах с включенным механизмом мандатного контроля целостности обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

При установке обновления программного обеспечения основного репозитория (main) дополнительно потребуется образ установочного диска.

Ссылка на образ установочного диска предоставляется в личном кабинете пользователя.

Установка обновления программного обеспечения основного репозитория (main) с использованием образа диска с обновлением

Загрузка и проверка образа диска с обновлением

  1. Скачать образ диска с обновлением с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/iso/repository-update.iso
    либо выполнив команду: 

    wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/iso/repository-update.iso

  2. Перейти в каталог с загруженным образом диска и выполнить проверку. Возможные варианты проверки:
    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      gostsum -d repository-update.iso

      Контрольная сумма:

      72fb56d7cc777a56b447942a2690b13c517c6a8fd914a4da6af0510ba0bd552a

    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:
      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" с помощью веб-браузера по следующей ссылке:
        https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/iso/repository-update.iso.sig
        либо выполнив команду: 

        wget https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/iso/repository-update.iso.sig

      2. загруженную электронную подпись поместить в каталог с загруженным образом диска;
      3. перейти в каталог с загруженным образом диска и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update.iso repository-update.iso.sig -f repository-update.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
        [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

Установка обновления с использованием локальных или сетевых репозиториев

  1. Создать локальные или сетевые репозитории из установочного диска и образа диска с обновлением и настроить доступ к этим репозиториям в файле /etc/apt/sources.list, (см. Создание локальных и сетевых репозиториев).

    Если в качестве источников пакетов указан оптический установочный диск, строка вида:

    deb cdrom:[<наименование_установочного_диска>]/ 1.7_x86-64 contrib main non-free

    то эту строку необходимо удалить или закомментировать (установить символ "#" в начале строки).

  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    sudo apt update

  3. Выполнить обновление инструмента командной строки astra-update командой:

    sudo apt install astra-update

  4. Установить обновление: 

    sudo astra-update -A -r

Установка обновления с использованием локальной копии образа диска с обновлением

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий образа установочного диска и образа диска с обновлением. Образы дисков могут быть сохранены как локальные файлы, или размещены на подключаемом съемном носителе.
  1. Примонтировать загруженный образ диска, например, в каталог /media/cdrom:

    sudo mount /mnt/repository-update.iso /media/cdrom

    В приведенном примере предполагается, что образ диска скопирован в каталог /mnt/ или находится на съемном носителе, смонтированном в каталог /mnt/.

  2. Выполнить обновление инструмента командной строки astra-update:

    sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
  3. Отмонтировать загруженный образ диска:

    sudo umount /media/cdrom
  4. Установить обновление: 

    sudo astra-update -A /mnt/<имя_образа_установочного_диска> /mnt/repository-update.iso

    В приведенном примере предполагается, что образы дисков скопированы в каталог /mnt/ или находятся на съемном носителе, смонтированном в каталог /mnt/.

Установка обновления программного обеспечения основного репозитория (main) с использованием зафиксированной ветки интернет-репозитория Astra Linux

  1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить строки:

    deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/repository-main/ 1.7_x86-64 main contrib non-free
    deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/repository-update/ 1.7_x86-64 main contrib non-free 

    Если в качестве источников пакетов указан оптический установочный диск, строка вида:

    deb cdrom:[<наименование_установочного_диска>]/ 1.7_x86-64 contrib main non-free

    то эту строку необходимо удалить или закомментировать (установить символ "#" в начале строки).

  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    sudo apt update

  3. Выполнить обновление инструмента командной строки astra-update командой:

    sudo apt install astra-update

  4. Установить обновление: 

    sudo astra-update -A -r

Установка обновления базового репозитория (base)

Установка обновления с использованием зафиксированной ветки интернет-репозитория Astra Linux

  1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить строку:

    deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/repository-base/ 1.7_x86-64 main contrib non-free
    

    Если в качестве источников пакетов указан оптический установочный диск, строка вида:

    deb cdrom:[<наименование_установочного_диска>]/ 1.7_x86-64 contrib main non-free

    то эту строку необходимо удалить или закомментировать (установить символ "#" в начале строки).

  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником:

    sudo apt update

  3. Выполнить обновление инструмента командной строки astra-update командой:

    sudo apt install astra-update

  4. Установить обновление: 

    sudo astra-update -A -r -T

Установка обновления с использованием образа диска обновленного базового репозитория (base)

Ссылка на образ диска обновленного базового репозитория предоставляется в личном кабинете пользователя.
  1. Скачать образ диска обновленного базового репозитория по ссылке, представленной в личном кабинете.

  2. Перейти в каталог с образом диска обновленного базового репозитория.

  3. Выполнить проверку. Возможные варианты проверки:

    • проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду: 

      gostsum -d base-1.7.6.11-26.08.24_17.26.iso

      Контрольная сумма:

      d2eabea5926139001e8d59e01607cad87e1d3ce36de1d2737e7f367624887ac6

    • проверка отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
      Порядок проверки:
      1. скачать усиленную квалифицированную электронную подпись ООО "РусБИТех-Астра" по ссылке, представленной в личном кабинете;

      2. загруженный файл электронной подписи поместить в каталог с образом диска обновленного базового репозитория;

      3. перейти в каталог с образом диска обновленного базового репозитория и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):

        /opt/cprocsp/bin/amd64/cryptcp -verify -detached base-1.7.6.11-26.08.24_17.26.iso base-1.7.6.11-26.08.24_17.26.iso.sig -f base-1.7.6.11-26.08.24_17.26.iso.sig

        В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести "y" и нажать клавишу <Enter>.

        Сообщение вида: 

         Подпись проверена.
        [ErrorCode: 0x00000000]

        говорит о том, что проверка подписи завершена успешно.

  4. Примонтировать образ диска обновленного базового репозитория, например, в каталог /media/cdrom:

    sudo mount base-1.7.6.11-26.08.24_17.26.iso /media/cdrom/

  5. Выполнить обновление инструмента командной строки astra-update:

    sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
  6. Отмонтировать образ диска:

    sudo umount /media/cdrom
  7. Установить обновление: 

    sudo astra-update -A -T base-1.7.6.11-26.08.24_17.26.iso

Завершение установки обновления

После выполнения обновления перезагрузить компьютер.

Действия после установки обновления

Добавление пользователя в группу libvirt-admin

Пользователи-участники группы libvirt-admin могут  без использования sudo работать с виртуальными машинами, виртуальными сетями и хранилищами данных. До установки оперативного обновления 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17) эта группа использовалась только в Astra Linux с включенным МРД (включен по умолчанию в Усиленном и Максимальном режимах защищенности). После установки обновлений, начиная с оперативного обновления 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17), необходима также и при выключенном МРД. Команда для добавления пользователя в группу libvirt-admin:

sudo usermod -a -G libvirt-admin $USER

См. также Виртуализация QEMU/KVM в Astra Linux

Установка программы «Центр уведомлений»

Описанные ниже действия не обязательны и выполняются по необходимости.

Начиная с оперативного обновления 1.7.1 в Astra Linux добавлена программа «Центр уведомлений» (пакет fly-notifications), реализующая вывод сообщений для пользователя на рабочем столе.

Для установки программы «Центр уведомлений» необходимо выполнить команду:

sudo apt install fly-notifications
Во время выполнения этой команды служба qtnotifydaemon будет автоматически удалена.