Ca certificates deb astra linux

Содержание
  1. Методика безопасности № 2022-0318СE212MD
  2. Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
  3. Подготовка к установке обновления
  4. Установка обновления
  5. Завершение установки обновления
  6. Добавление корневого сертификата удостоверяющего центра Минцифры России
  7. Добавление корневого сертификата в Firefox
  8. Добавление корневого сертификата в Chromium
  9. Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2
  10. Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)
  11. Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy
  12. Методика устранения угрозы атаки типа HTTP Request Smuggling
  13. Устранение риска эксплуатации уязвимости пакета liblog4j2-java
  14. Устранение риска эксплуатации уязвимости путем замены пакета
  15. Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup
  16. Обновление корневых сертификатов на Linux
  17. Установка из репозитория
  18. Загрузка пакета с сертификатами
  19. Установка вручную
  20. а) Для Deb (Debian / Ubuntu / Astra Linux)
  21. б) Для RPM (Rocky Linux / РЕД ОС)
  22. Ручная установка Let’s Encrypt

Методика безопасности № 2022-0318СE212MD

Методика безопасности операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту — Astra Linux, предназначено для нейтрализации уязвимостей в информационных системах.

Настоящая методика безопасности содержит отдельные программные пакеты, в которые внесены изменения с целью устранения ряда уязвимостей ядра linux и пакета liblog4j2-java , а также методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2.

Кроме того, в пакет ca-certificates.deb репозитория Astra Linux добавлен сертификат удостоверяющего центра Минцифры России.

Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.

Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43

Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux

Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующей версии Astra Linux.

Подготовка к установке обновления

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Установка обновления

Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»:https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.43/iso/2022-0318CE212MD.tar.gz_2022-03-24_14-25-18.tsp.sig. Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

b87de67a85bc7350e58801751aaa006eb0191caf824e0aa7c6d0225da3fa8679
deb file:/mnt/2022-0318CE212MD/ orel main contrib non-free

echo «deb file:/mnt/2022-0318CE212MD/ orel main contrib non-free» | sudo tee -a /etc/apt/sources.list

Завершение установки обновления

После выполнения обновления необходимо перезагрузить систему.

Читайте также:  Linux configure serial port

Добавление корневого сертификата удостоверяющего центра Минцифры России

Добавление корневого сертификата необходимо выполнить для каждого пользователя после установки обновления пакетов.

Добавление корневого сертификата в Firefox

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
  2. В адресную строку ввести » about:preferences » и нажать клавишу .
  3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
  4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать. ].
  5. В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
  6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
  7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

The Ministry of Digital Development and Communications Russian Trusted Root CA

Добавление корневого сертификата в Chromium

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
  2. В адресную строку ввести » chrome://settings/certificates » и нажать клавишу .
  3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
  4. В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
  5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:

org-The Ministry of Digital Development and Communications Russian Trusted Root CA

Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2

Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)

Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых модулей, необходимо выполнить команду:

Если в перечне используемых модулей присутствует модуль с наименованием lua , то следует выполнить команду:

Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy

Для устранения этой уязвимости необходимо отключить поддержку прямого proxy в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ).

Параметр ProxyRequests должен иметь значение » off «. При этом, если это необходимо, реверс-прокси может остаться включенным.

В случае, если есть возможность отключить все режимы работы proxy, то необходимо выполнить команду:

После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:

Методика устранения угрозы атаки типа HTTP Request Smuggling

Для устранения этой уязвимости необходимо в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ) отключить поддержку протокола http/2 — из строки параметров Protocols (перечня используемых протоколов) следует исключить значение » h2 » (протокол HTTP/2).

После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:

Веб-сервер Apache необходимо настроить на работу по HTTPS.

Устранение риска эксплуатации уязвимости пакета liblog4j2-java

Уязвимости подвержен только класс JndiLookup из файла JAR /usr/share/java/log4j-core.jar , входящего в пакет liblog4j2-java, а приложения, использующие только файл JAR log4j-api без файла JAR log4j-core , не подвержены этой уязвимости. Уязвимость присутствует в пакетах log4j в версиях 2.14.1 и ниже.

Проверить, установлен ли пакет liblog4j2-java в системе и версию установленного пакета можно командой:

Если пакет не установлен, то компьютер не подвержен уязвимости.

Устранение риска эксплуатации уязвимости путем замены пакета

  1. Скачать обновлённый пакет liblog4j2-java_2.7-2+deb9u1_all.deb с помощью WEB-браузера по следующей ссылке;
  2. Перейти в каталог с полученным пакетом;
  3. Установить обновлённый пакет командой:

Предупреждение «Download is performed unsandboxed«/»Загрузка без ограничения песочницы» при установке обновления можно игнорировать, подробнее здесь: Предупреждение «Download is performed unsandboxed»/»Загрузка без ограничения песочницы» при установке пакетов из файлов с помощью apt

Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup

Для оперативного устранения уязвимости без переустановки пакетов, с учетом того, что этой уязвимости подвержен только один класс из файла /usr/share/java/log4j-core.jar, следует удалить этот класс (JndiLookup) из пути к классам, для чего:

    Установить пакет zip, если он не был ранее установлен, следующей командой:

deleting: org/apache/logging/log4j/core/lookup/JndiLookup.class

Источник

Обновление корневых сертификатов на Linux

Обновлено

Обновлено: 20.06.2023 Опубликовано: 03.10.2021

  • Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
  • Некорректная работа отдельных приложений.
  • Ошибки при подключении по ssh.

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания.

Установка из репозитория

Самый простой способ, который нужно попробовать, установить сертификаты из официального репозитория системы. В зависимости от ее типа, наши команды будут немного отличаться.

а) для систем на базе DEB (Debian, Ubuntu, Mint):

apt install ca-certificates

б) для систем на базе RPM (Rocky Linux, CentOS):

yum install ca-certificates

Если нам повезет и в репозитории будут обновленные корневые центры, наша работа закончена. Иначе, устанавливаем сертификаты вручную.

Загрузка пакета с сертификатами

Установка из репозитория может не дать нужного эффекта, если в нем находятся не самые свежие сертификаты или наша система сильно устарела или не имеет выхода в Интернет.

В этом случае нам нужно загрузить пакет с корневыми сертификатами вручную. Разберем пример на системе Ubuntu. В официальном репозитории или в поисковой системе находим пакет для загрузки, например, по ссылке ftp.ru.debian.org/debian/pool/main/c/ca-certificates копируем ссылку на файл с последней версией сертификатов, и загружаем его на наш компьютер:

Полученный пакет устанавливаем в системе:

dpkg -i ca-certificates_*_all.deb

И обновляем корневые сертификаты:

Установка вручную

Выше рассмотрены самые удобные способы обновления корневых сертификатов. Но если у нас есть сертификат без пакета, то нам его нужно будет установить вручную.

Принцип данной установки сводится к двум шагам:

  1. Положит файл с сертификатом в определенный каталог.
  2. Запустить команду для импорта сертификата.

В зависимости от типа Linux, действия будут отличаться.

а) Для Deb (Debian / Ubuntu / Astra Linux)

Копируем файл в каталог /usr/local/share/ca-certificates:

cp /foo/bar/cert.crt /usr/local/share/ca-certificates/

б) Для RPM (Rocky Linux / РЕД ОС)

Копируем файл в каталог /etc/pki/ca-trust/source/anchors:

cp /foo/bar/cert.crt /etc/pki/ca-trust/source/anchors/

Ручная установка Let’s Encrypt

Мы можем столкнуться с ситуацией, когда в предоставляемых официальных пакетах не окажется обновленного сертификата. Например, на момент написания данной инструкции у систем на базе Deb не оказалось нового сертификата для Let’s Encrypt, а старый закончил свое действие 30 сентября 2021 года.

В данном случае, мы можем установить любой нужный нам сертификат руками. Для этого скачала находим его и копируем — приведем пример с Let’s Encrypt. На странице letsencrypt.org/ru/certificates мы можем увидеть ссылки на корневые сертификаты. Допустим, нам нужен Let’s Encrypt Authority X3 (Signed by ISRG Root X1), который доступен по ссылке letsencrypt.org/certs/letsencryptauthorityx3.pem.txt. Копируем последовательность и создаем файл на компьютере:

——BEGIN CERTIFICATE——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——END CERTIFICATE——

Открываем на редактирование файл:

И добавляем в него строку с указанием на созданный файл:

Источник

Оцените статью
Adblock
detector