Перед установкой обновлений рекомендуется ознакомиться с инструкциями:
Общая информация
Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6).
- Данное обновление содержит:
- После установки данного обновления требуется перезагрузка;
- После успешной перезагрузки с новым ядром рекомендуется удалить пакеты, относящиеся к старому ядру (см. Известные проблемы и их решения);
- После обновления ядра ОС при установке данного обновления становятся доступны для установки Драйверы Nvidia без DKMS: ядро 5.4.0-71
Данное обновление включает в себя:
- БЮЛЛЕТЕНЬ № 20210317SE16MD
- БЮЛЛЕТЕНЬ № 20210128SE16MD
- БЮЛЛЕТЕНЬ № 20201207SE16MD
- БЮЛЛЕТЕНЬ № 20200921SE16MD
- БЮЛЛЕТЕНЬ № 20200807SE16MD
- БЮЛЛЕТЕНЬ № 20200722SE16 - Update 6
- БЮЛЛЕТЕНЬ № 20200526SE16MD
- БЮЛЛЕТЕНЬ № 20200327SE16 - Update 5
- БЮЛЛЕТЕНЬ № 20191029SE16 - Update 4
- БЮЛЛЕТЕНЬ № 20190912SE16 - Update 3
- БЮЛЛЕТЕНЬ № 20190712SE16MD
- БЮЛЛЕТЕНЬ № 20190621SE16MD
- БЮЛЛЕТЕНЬ № 20190529SE16MD
- БЮЛЛЕТЕНЬ № 20190222SE16 - Update 2
- БЮЛЛЕТЕНЬ № 20181229SE16 - Update 1
Известные проблемы и их решения
Требующие действий перед установкой обновления
Недоступны пакеты, расположенные на основном установочном диске
Если установочный диск и образ обновления подключены с помощью apt-cdrom (нерекомендуемый способ установки обновлений) то выполнение обновления может завершаться ошибкой из-за ненайденных пакетов. При возникновении подобных ошибок:
- Удалить из файла /etc/apt/sources.list все зарегистрированные диски, кроме установочного диска;
Выполнить команду
sudo apt update- Установить ненайденные пакеты с установочного диска;
- Повторить процедуру регистрации образов дисков обновления и установки обновления;
Возможный вариант комплекта необходимых пакетов и команда для их установки:
Недостаточно места в дисковом разделе /boot
Размеры дисковых разделов можно проверить командой:
Если обновление устанавливается на только что установленную ОС с разметкой LVM, выполненной по умолчанию (а именно - размер дискового раздела /boot менее 512МБ, по умолчанию 234МБ), то:
либо увеличить размер дискового раздела /boot до 512МБ:
либо, если увеличить размер дискового раздела /boot до 512МБ не представляется возможным:
удалить ядро hardened командой:
sudo apt remove linux-image-4.15.3-1-hardenedПодключить обновления и выполнить их установку обновление.
Перезагрузить ОС, загрузившись с использованием ядра 4.15.3-2-generic
При необходимости использовать ядро hardened, повторно установить ядро hardened командой:
sudo apt install linux-image-4.15.3-2-hardened linux-astra-modules-4.15.3-2-hardenedи повторно перезагрузить ОС с использованием ядра hardened
См. также статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.
Требующие действий после установки обновления
Исправление прав доступа к файлу /dev/kvm
Если на обновляемой машине установлена система виртуализации KVM (пакет qemu-system-common) после обновления неправильно задаются права доступа к файлу /dev/kvm. При этом запуск виртуальных машин завершается ошибкой вида:
error: invalid argument: could not find capabilities for arch=x86_64 domaintype=kvm
Для устранения ошибки необходимо исправить права доступа к файлу /dev/kvm, для чего выполнить команды:
sudo chmod 0660 /dev/kvm
Обновление гостевых дополнений VirtualBox
Если обновляемая ОС установлена на виртуальной машине Oracle VirtualBox и в обновляемой ОС установлены гостевые дополнения VirtualBox то после установки нового ядра и до перезагрузки ОС следует переустановить гостевые дополнения Virtual Box (см. Установка VirtualBox).
После установки нового ядра и успешной перезагрузки с обновленным ядром рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:
#!/bin/bash set -e pkgs=`dpkg -l \ linux-image-4.15.3-1-generic \ linux-image-4.15.3-1-hardened \ linux-image-4.15.3-2-generic \ linux-image-4.15.3-2-hardened \ linux-image-4.15.3-3-generic \ linux-image-4.15.3-3-hardened \ linux-image-5.4.0-54-generic \ linux-image-5.4.0-54-hardened \ 2> /dev/null | grep "^ii" | cut -d " " -f3 | \ grep -v ^linux-image-$(uname -r | cut -d '-' -f1-2)` [ -n "$pkgs" ] && apt remove $pkgs rm -f /boot/old-*
или выборочно удалить пакеты вручную с помощью команды apt remove.
Загрузка и проверка образов обновления
Образ диска с обновлением доступен для скачивания по ссылке: https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210611SE16/20210611SE16.iso.
Загруженный iso-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы.
Для получения контрольной суммы выполнить команду:
Контрольная сумма:
Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty
Порядок установки обновления
Перед установкой данного обновления ознакомиться с разделом "Известные проблемы и их решения" настоящего бюллетеня, и обеспечить выполнение рекомендаций этого раздела.
Для установки этого обновления и следующих обновлений рекомендуется установить и использовать инструменты fly-astra-update и astra-update - инструменты для установки обновлений.
Внимание
Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10015-01 (очередное обновление 1.6)
Начиная с оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) в состав пакетов Astra Linux включены пакеты для автоматизации установки обновлений:
- инструмент командной строки - пакет astra-update;
- графический инструмент - пакет fly-astra-update.
Для установки оперативного обновления БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) и последующих оперативных обновлений рекомендуется использовать эти инструменты. Если инструмент (инструменты) не были установлены ранее, то установить их.
Подготовка к установке
Установка fly-astra-update/astra-update из репозитория
Если доступен репозиторий пакетов, содержащий пакеты обновления установку можно выполнить командами:
sudo apt install fly-astra-update
или инструмент astra-update:
sudo apt update
sudo apt install astra-update
Установка fly-astra-update/astra-update из образа обновления
Примонтировать загруженный образ обновления:
sudo mount /mnt/20210611SE16.iso /media/cdromУстановить пакеты: пакет astra-update:
sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.debили пакет fly-astra-update:sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb
Установка обновления
Дальнейшую установку оперативных обновлений выполнять с помощью установленных инструментов.
Например, если имеются скопированные образы установочного диска и диска обновления установка обновления может быть выполнена командой:
Установка обновления без использования инструментов fly-astra-update и astra-update.
Завершение установки обновления
Независимо от выбранного способа установки обновления если на момент установки установлено ядро версии 5.4 из репозитория BSP обновления БЮЛЛЕТЕНЬ № 20200722SE16 - Update 6, то перед перезагрузкой необходимо выполнить установку пакета linux-5.4 из текущего обновления. Для этого выполнить команду:
После выполнения обновления необходимо перезагрузить систему.
Внимание
После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.
Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы).