Astra linux обновление source list

Общая информация

Оперативное обновление 1.6.11 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6), далее по тексту — Astra Linux.

Данное обновление включает в себя:

• БЮЛЛЕТЕНЬ № 20220407SE16MD
• БЮЛЛЕТЕНЬ № 20220318SE16MD
• БЮЛЛЕТЕНЬ № 20220201SE16MD
• БЮЛЛЕТЕНЬ № 20211126SE16 (оперативное обновление 10)
• БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9)
• БЮЛЛЕТЕНЬ № 20210730SE16 (оперативное обновление 8)
• БЮЛЛЕТЕНЬ № 20210723SE16MD
• БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7)
• БЮЛЛЕТЕНЬ № 20210317SE16MD
• БЮЛЛЕТЕНЬ № 20210128SE16MD
• БЮЛЛЕТЕНЬ № 20201207SE16MD
• БЮЛЛЕТЕНЬ № 20200921SE16MD
• БЮЛЛЕТЕНЬ № 20200807SE16MD
• БЮЛЛЕТЕНЬ № 20200722SE16 (оперативное обновление 6)
• БЮЛЛЕТЕНЬ № 20200526SE16MD
• БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5)
• БЮЛЛЕТЕНЬ № 20191029SE16 (оперативное обновление 4)
• БЮЛЛЕТЕНЬ № 20190912SE16 (оперативное обновление 3)
• БЮЛЛЕТЕНЬ № 20190712SE16MD
• БЮЛЛЕТЕНЬ № 20190621SE16MD
• БЮЛЛЕТЕНЬ № 20190529SE16MD
• БЮЛЛЕТЕНЬ № 20190222SE16 (оперативное обновление 2)
• БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1)

Данное обновление содержит:

• обновления (изменения) пакетов установочного диска;
• обновления (изменения) пакетов диска со средствами разработки.

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения пользователя на портал технической поддержки.

В случае использования ядра Linux версии 5.15, в целях устранения угрозы эксплуатации уязвимости модуля ksmbd.ko , необходимо запретить загрузку данного модуля в ядро Linux – см. Запрет загрузки модуля ksmbd.ko в ядро Linux.

После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt , расположенного в корневом каталоге образа диска обновления пакетов установочного диска repository-update -bin .iso .

В случае применения оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux.

Оглавление

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо дополнительно выполнить обновление пакетов диска со средствами разработки (имя файла с образом диска repository-update-dev.iso) .

Порядок установки обновления

Подготовка к установке обновления

Перед установкой обновлений:

Обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

Для установки настоящего обновления требуется не менее 100 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ).

Загрузка и проверка образа диска с обновлением пакетов установочного диска

1. Скачать образ диска с обновлением пакетов установочного диска с помощью веб-браузера по следующей ссылке:
   https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-bin.iso
   либо выполнив команду:

проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:

скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-bin.iso.sig
либо выполнив команду:

/opt/cprocsp/bin/amd64/cryptcp -verify -detached r epository-update-bin.iso repository-update-bin.iso .sig -f repository-update-bin.iso .sig

В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:

Подпись проверена. [ErrorCode: 0x00000000]

Загрузка и проверка образа диска с обновлением пакетов диска со средствами разработки

Описываемые в этом разделе действия выполняются только в том случае, если в системе используется программное обеспечение, разработанное с использованием средств разработки.

1. Скачать образ диска с обновлением пакетов диска со средствами разработки с помощью веб-браузера по следующей ссылке:
   https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-dev.iso
   либо выполнив команду:

проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:

скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» с помощью веб-браузера по следующей ссылке:
https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.11/iso/repository-update-dev.iso.sig
либо выполнив команду:

/opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update-dev.iso repository-update-dev.iso .sig -f repository-update-bin.dev .sig

В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:

Подпись проверена. [ErrorCode: 0x00000000]

Установка инструментов для обновления

Установка fly-astra-update/astra-update из репозитория

Если созданы сетевые репозитории из установочного диска и образа диска с обновлением пакетов установочного диска (см. Создание локальных и сетевых репозиториев) и если на обновляемой системе настроен доступ к этим сетевым репозиториям в файле /etc/apt/sources.list , то установку инструментов для обновления можно выполнить следующими командами:

установка графического инструмента fly-astra-update (при этом будет автоматически установлен инструмент командной строки astra-update):

Установка fly-astra-update/astra-update из образа обновления

1. Примонтировать загруженный образ обновления пакетов установочного диска, например, в каталог /media/cdrom:

sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb

Установка обновления

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов:

1. Обязательные репозитории:
   • установочный диск;
   • диск с обновлением пакетов установочного диска.
2. Дополнительные репозитории:
   • диск со средствами разработки;
   • диск с обновлением пакетов диска со средствами разработки.

И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list , то обновление может быть установлено командой:

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update — инструменты для установки обновлений).

Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

1. Обязательные репозитории:
   • установочный диск;
   • диск с обновлением пакетов установочного диска.
2. Дополнительные репозитории:
   • диск со средствами разработки;
   • диск с обновлением пакетов диска со средствами разработки.

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt .
Подробности также см. в описании инструментов fly-astra-update и astra-update.

Завершение установки обновления

После выполнения обновления перезагрузить систему.

Запрет загрузки модуля ksmbd.ko в ядро Linux

В случае использования ядра Linux версии 5.15, в целях устранения угрозы эксплуатации уязвимости модуля ksmbd.ko , необходимо запретить загрузку данного модуля в ядро Linux. Для этого необходимо выполнить действия описанные ниже.

1. Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл
   /etc/modprobe.d/blacklist.local.conf (если такого файла нет — создать его).
2. Добавить в файл строку, содержащую ключевое слово install , название блокируемого модуля и shell-комманду:

Источник

Аннотация

Интернет-репозитории Astra Linux (далее — репозитории) предназначены для упрощения процедуры обновления ОС и, при наличии доступа в Интернет, позволяют выполнять установку и обновление пакетов с помощью стандартных установщиков пакетов: графический менеджер пакетов (см. Графический менеджер пакетов synaptic) и инструмент командной строки apt.

Синонимы доменного имени репозиториев Astra Linux

Структура репозиториев Astra Linux имеет два равнозначных доменных имени:

Зеркала репозиториев Astra Linux Common Edition

Репозитории Astra Linux Common Edition синхронизируется со следующими зеркалами:

Протоколы передачи интернет-репозиториев Astra Linux Common Edition

Репозитории Astra Linux доступны по протоколам:

Протокол FTP (префикс адреса репозитория ftp://) не используется.

Дополнительно репозитории Astra Linux Common Edition доступны по протоколу RSYNC.

Доступность по протоколам HTTPS и HTTP обеспечивает доступность всех файлов репозитория по прямым ссылкам, что позволяет использовать для установки и обновления пакетов из этих репозиториев стандартные программы.

Помимо доступности протоколов HTTPS и HTTP для того, чтобы было возможно открыть ссылку в браузере и просмотреть содержимое репозитория так, как это делается в файловом менеджере, в репозитории должна быть включена автоматическая индексация содержимого (autoindex). Автоматическая индексация поддерживается в репозиториях Astra Linux Common Edition и не поддерживается в репозиториях Astra Linux Special Edition.

Компоненты репозитория Astra Linux Common Edition

• main — стандартный компонент репозитория Debian;
• contrib — стандартный компонент репозитория Debian;
• non-free — стандартный компонент репозитория Debian;
• debhelper — комплект средств разработки debhelper версии 12;
• smb-heimdal — компонент содержит Astra Linux Common Edition 2.12.40: Samba с поддержкой Heimdal Kerberos

Регистрация репозиториев Astra Linux Common Edition в качестве источников пакетов

Для регистрации репозиториев в качестве источников пакетов указанные ниже строки должны быть добавлены в файл /etc/apt/sources.list или в файлы с произвольными именами и расширением .list в каталоге /etc/apt/sources.list.d

Astra Linux Common Edition 2.12.45

deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.45/repository stable main contrib non-free

Astra Linux Common Edition 2.12.44

deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.44/repository stable main contrib non-free

Источник