Astra linux установка обновлений безопасности

Оперативное обновление Astra Linux Common Edition 2.12.46

Оперативное обновление 2.12.46 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей и совершенствования функциональных возможностей операционной системы общего назначения «Astra Linux Common Edition», далее по тексту — Astra Linux CE.

Оглавление

Данное обновление включает в себя:

Подготовка к установке обновления

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

Для установки настоящего обновления требуется не менее 100 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ). Если увеличить размер дискового раздела /boot не представляется возможным, то необходимо удалить неиспользуемые пакеты linux-ядра (см. раздел Удаление неиспользуемых пакетов linux-ядра).

Установка обновления с использованием зафиксированной ветки интернет-репозитория Astra Linux CE

В случаях, если интернет-репозиторий Astra-Linux CE по каким-либо причинам не представляется возможным использовать, можно создать собственный репозиторий.

Для установки обновления с использованием зафиксированной ветки интернет-репозитория Astra Linux CE необходимо выполнить следующие действия:

Подключить зафиксированную ветку интернет-репозитория Astra-Linux CE, для этого:
для использования сетевых репозиториев, работающих по протоколу HTTPS, установить пакеты apt-transport-https и ca-certificates командой:

deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.46/repository/ orel main contrib non-free

deb http://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.46/repository/ orel main contrib non-free

Завершение установки обновления

После выполнения обновления перезагрузить систему.

Действия после установки обновления

Описанные ниже действия не обязательны и выполняются по необходимости.

Добавление корневого сертификата удостоверяющего центра Минцифры России

Добавление корневого сертификата необходимо выполнить после установки пакета ca-certificates-local и для каждого пользователя.

Добавление корневого сертификата в Firefox

1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
2. В адресную строку ввести » about:preferences » и нажать клавишу .
3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать. ].
5. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

The Ministry of Digital Development and Communications Russian Trusted Root CA

Добавление корневого сертификата в Chromium

1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
2. В адресную строку ввести » chrome://settings/certificates » и нажать клавишу .
3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
4. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:


org-The Ministry of Digital Development and Communications Russian Trusted Root CA

Удаление неиспользуемых пакетов linux-ядра

После установки обновления и успешной перезагрузки для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому linux-ядру. Проверить, какое linux-ядро загружено в данный момент можно командой:

Пример вывода после выполнения команды:

Чтобы просмотреть перечень пакетов, относящихся к ядрам Linux и зарегистрированных в ОС, необходимо в терминале выполнить команду:

ii linux-image-4.15-generic ii linux-image-4.15-hardened ii linux-image-4.15.3-1-generic ii linux-image-4.15.3-1-hardened ii linux-image-4.15.3-141-generic ii linux-image-4.15.3-141-hardened ii linux-image-4.15.3-177-generic ii linux-image-4.15.3-177-hardened ii linux-image-5.4-generic ii linux-image-5.4-hardened ii linux-image-5.4.0-71-generic ii linux-image-5.4.0-71-hardened ii linux-image-5.4.0-110-generic ii linux-image-5.4.0-110-hardened ii linux-image-5.15-generic ii linux-image-5.15.0-33-generic ii linux-image-5.15.0-70-generic ii linux-image-hardened

В первом столбце отображается состояние пакета, может принимать следующие значения:

Ниже представлен пример сценария для удаления пакетов, относящихся к неиспользуемым ядрам (необходимо запускать от имени администратора):

#!/bin/bash set -e # Перечень пакетов, дальнейшее использование которых не планируется. pkgs="linux-image-4.15.3-1-generic \ linux-image-4.15.3-1-hardened \ linux-image-4.15.3-141-generic \ linux-image-4.15.3-141-hardened \ linux-image-4.15.3-177-generic \ linux-image-4.15.3-177-hardened \ linux-image-5.4.0-71-generic \ linux-image-5.4.0-71-hardened \ linux-image-5.4.0-110-generic \ linux-image-5.4.0-110-hardened \ linux-image-5.15.0-33-generic" # Проверка строки и запуск удаления пакетов. # Для удаления пакета и всех связанных с ним # конфигурационных файлов необходимо использовать команду apt purge. [ -n "$pkgs" ] && apt remove $pkgs #обновление конфигурационного файла Grub. update-grub2

Кроме того, можно выборочно удалить пакеты с помощью предпочитаемого менеджера пакетов.

Подключение интернет-репозиториев предыдущих обновлений Astra Linux CE

На текущий момент поддерживаются следующие версии обновлений Astra Linux CE:

• 2.12.45
• 2.12.44
• 2.12.43
• 2.12.42
• 2.12.40
• 2.12.29
• 2.12.22
• 2.12.21
• 2.12.14
• 2.12.13

Если необходимо использовать предыдущие версии репозиториев, то в файле /etc/apt/sources.list необходимо удалить (закомментировать) строку с описанием текущего актуального репозитория и добавить следующую строку:

при использовании протокола HTTPS

deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12./repository/ orel main contrib non-free

deb http://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12./repository/ orel main contrib non-free

Например, для Astra Linux CE 2.12.29 (при использовании протокола HTTPS) строка будет иметь вид:

deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.29/repository/ orel main contrib non-free

После добавления интернет-репозитория необходимо выполнить повторную синхронизацию файлов описаний пакетов с их источником:

Источник

Установка

Инструкция по установке применима к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) или более поздним.

Установка пакета для работы в командной строке:

Действия

Список основных действий astra-update приведён ниже. При запуске инструмента может быть выбрано только одно действие.

Проверить, можно ли устанавливать обновление. Изменения в систему не вносятся. Это действие «по умолчанию».

Установить обновление автоматически. Представляет собой последовательное выполнение действий:

-d — Сохранить состояние функции безопасности, и отключить функции безопасности, мешающие обновлению. Состояние функций безопасности при этом будет сохранено в файле /etc/parsec/update-saveconf;

-i — Установить обновление интерактивно (могут быть заданы вопросы);

-e — Восстановить отключенные функции безопасности, мешавшие обновлению.

Установить обновление полностью автоматически, не задавая вопросов, выполняя автоматическое выключение и включение функций безопасности. Представляет собой последовательное выполнение действий:

-d — Сохранить состояние функции безопасности, и отключить функции безопасности, мешающие обновлению. Состояние функций безопасности при этом будет сохранено в файле /etc/parsec/update-saveconf;

-I — Установить обновление не интерактивно, не задавая вопросов;

-e — Восстановить отключенные функции безопасности, мешавшие обновлению.

Данный режим предназначен для массовой автоматической установки обновлений на удалённых компьютерах, в том числе для использования в сценариях puppet/ansible.

Приводы оптических дисков (DVD, CD-ROM), добавленные с помощью команды ‘sudo apt-cdrom add’, не будут использованы в процессе не интерактивной установки, т.к. их использование может потребовать действий пользователя.

Опции

Сохранить источники для последующего использования (iso-файлы будут скопированы на диск и указаны в /etc/fstab, сетевые репозитории будут добавлены в файл /etc/apt/sources.list)

Установить последнее доступное ядро (опция совместима только с опциями -a, -A, -i, -I)

Проверить контрольные суммы ГОСТ для iso-образов.

Если при установке оперативного обновления с применением опции -g на платформе, отличной от платформы x86-64, возникает ошибка контрольной суммы, то для устранения указанной ошибки исключить использование опции -g, а проверку контрольной суммы образов выполнять перед установкой командой:

Не выполнять проверку установочного диска (опция доступна в версиях astra-update начиная с версии 2.5.291+ci16).

Если при установке оперативного обновления на платформе, отличной от платформы x86-64, возникает ошибка «Не подключен репозиторий установочного диска», то для устранения указанной ошибки использовать при установке дополнительный ключ -T, отменяющий проверку установочного диска.

Источники

В качестве источника может быть выбран файл с образом ISO или сетевой репозиторий. Может быть указано несколько источников. Возможные источники:

• ISO-репозиторий инсталляционного диска;
• ISO-репозиторий с обновлением;
• ISO-репозиторий со средствами разработки;
• ISO-репозиторий с обновлением средств разработки.

Инсталляционный iso/репозиторий всегда должен присутствовать в /etc/apt/sources.list или быть среди источников, указанных в командной строке.
Если производится установка обновления средств разработки, то ISO-репозиторий средств разработки должен присутствовать в /etc/apt/sources.list или быть среди источников, указанных в командной строке.

Если какой-то источник пакетов указан несколько раз (например, как зарегистрированный компакт-диск в файле /etc/apt/sources.list и как файл с образом в аргументах вызова), то поиск пакетов для установки будет выполняться во всех указанных локациях, т.е, например, при наличии инсталляционного диска в виде файла-образа может быть запрошена установка инсталляционного CD-диска. Чтобы избежать ненужного поиска в дублирующих локациях и связанных с этим ненужных действий следует исключить дублирующие источники либо из файлов /etc/apt/, либо из аргументов вызова.

Компакт-диски, добавленные с помощью команды ‘apt-cdrom add’ не будут использованы в процессе не интерактивной установки, т.к. их установка может потребовать действий от пользователя.

Примеры

Установка из образов дисков

Для платформ, отличных от платформы x86-64, исключить использование опции -g, а проверку контрольной суммы образов выполнять перед установкой командой:

Проверить контрольные суммы образов, и выполнить имитацию обновления в не интерактивном режиме (без вопросов) и без внесения изменений в систему:

Установка из репозиториев

Выполнить имитацию обновления из репозиториев, указанных в /etc/apt/sources.list, в не интерактивном режиме (без вопросов) и без внесения изменений в систему:

Другие варианты использования

Использовать образ установочного диска из smolensk-1.6.iso, при установке пакетов могут задаваться вопросы:

Автоматически установить обновление из ISO-образа и сетевого репозитория, скопировать образ iso, оставить оба источника подключенными для последующего использования:

Отключить функции безопасности, мешающие обновлению:

Графический инструмент

Графический инструмент fly-astra-update после установки доступен через меню: «Пуск» — «Панель управления» — «Система» — «Установка обновлений».
После запуска инструмента требуется:

1. Либо отметить пункт «Установка из репозиториев /etc/apt/sources.list»;
2. Либо вручную указать, из каких репозиториев следует обновляться;

после чего выполнить обновление, нажав кнопку «Обновить»:



Источник

Читайте также:  Install ssh on kali linux