Как обновить astra linux orel

Содержание
  1. БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4)
  2. Оглавление
  3. Порядок установки обновления
  4. Подготовка к установке обновления
  5. Установка обновления основного репозитория (main) с использованием образа диска с обновлением
  6. Загрузка и проверка образа диска с обновлением
  7. Установка обновления с использованием сетевых репозиториев
  8. Установка обновления с использованием локальной копии образа диска с обновлением
  9. Установка обновления основного репозитория (main) с использованием зафиксированной ветки интернет-репозитория Astra Linux
  10. Установка обновления базового репозитория (base)
  11. С использованием зафиксированной ветки интернет-репозитория Astra Linux
  12. С использованием tar-архива обновленного базового репозитория (base)
  13. Завершение установки обновления
  14. Действия после установки обновления
  15. Устранение угрозы эксплуатации уязвимости пакета openssh
  16. Добавление корневого сертификата удостоверяющего центра Минцифры России
  17. Добавление корневого сертификата в Firefox
  18. Добавление корневого сертификата в Chromium
  19. Установка программы «Центр уведомлений»

БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4)

Оперативное обновление 1.7.4 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей и совершенствования функциональных возможностей операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-37 (очередное обновление 7.7), далее по тексту — Astra Linux.

Данное обновление содержит:

  • обновления (изменения) репозитория установочного диска (основного репозитория — main);
  • обновленный базовый репозиторий (base);
  • обновленный расширенный репозиторий (extended).

Данное обновление включает в себя:

Данному обновлению соответствует следующий полный номер обновления Astra Linux: 1.7.4.7

Оглавление

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях.

После успешной установки обновления (в том числе, после установки обновления базового репозитория) проверка целостности программных пакетов установочного диска (основного репозитория — main) осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt , расположенного в корневом каталоге образа диска обновления repository-update.iso .

В случае применения (установки) оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux.

После успешной установки обновления (в том числе, после установки обновления базового репозитория) необходимо выполнить действия, описанные в подразделе Устранение угрозы эксплуатации уязвимости пакета openssh.

Читайте также:  Linux find skip directory

Порядок установки обновления

Подготовка к установке обновления

Перед установкой обновлений:

В системах с включенным механизмом мандатного контроля целостности обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Установка обновления основного репозитория (main) с использованием образа диска с обновлением

Загрузка и проверка образа диска с обновлением

  1. Скачать образ диска с обновлением с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/iso/repository-update.iso
    либо выполнив команду:
    проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
    скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/iso/repository-update.iso.sig
    либо выполнив команду:

/opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update.iso repository-update.iso.sig -f repository-update.iso.sig

В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:

Подпись проверена. [ErrorCode: 0x00000000]

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории из установочного диска и образа диска с обновлением (см. Создание локальных и сетевых репозиториев) и если на обновляемой системе настроен доступ к этим сетевым репозиториям в файле /etc/apt/sources.list , то обновление может быть установлено командой:

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update — инструменты для установки обновлений).

Установка обновления с использованием локальной копии образа диска с обновлением

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий образа установочного диска и образа диска с обновлением. Образы дисков могут быть сохранены как локальные файлы, или размещены на подключаемом съемном носителе. Установка обновления в таком случае может быть выполнена командой:

В приведенном примере предполагается, что образы дисков скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt .
Подробности также см. в описании инструментов fly-astra-update и astra-update.

Установка обновления основного репозитория (main) с использованием зафиксированной ветки интернет-репозитория Astra Linux

  1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить строки:
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-main/ 1.7_x86-64 main contrib non-free deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-update/ 1.7_x86-64 main contrib non-free
deb cdrom:[]/ 1.7_x86-64 contrib main non-free

Установка обновления базового репозитория (base)

С использованием зафиксированной ветки интернет-репозитория Astra Linux

  1. Подключить зафиксированную ветку интернет-репозитория Astra Linux, для этого в файле /etc/apt/sources.list добавить строку:
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-base/ 1.7_x86-64 main contrib non-free
deb cdrom:[]/ 1.7_x86-64 contrib main non-free

С использованием tar-архива обновленного базового репозитория (base)

Ссылка на tar-архив обновленного базового репозитория предоставляется в личном кабинете пользователя.

  1. Скачать tar-архив обновленного базового репозитория по ссылке, представленной в личном кабинете.
  2. Перейти в каталог с tar-архивом обновленного базового репозитория.
  3. Выполнить проверку. Возможные варианты проверки:
  4. проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
  1. скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» по ссылке, представленной в личном кабинете;
  2. загруженный файл электронной подписи поместить в каталог с tar-архивом обновленного базового репозитория;
  3. перейти в каталог с tar-архивом обновленного базового репозитория и выполнить проверку, указав в качестве хранилища сертификатов саму подпись (ключ -f ):

/opt/cprocsp/bin/amd64/cryptcp -verify -detached base-1.7.4-24.04.2023_14.23.tgz base-1.7.4-24.04.2023_14.23.tgz.sig -f base-1.7.4-24.04.2023_14.23.tgz.sig

В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:

Подпись проверена. [ErrorCode: 0x00000000]

sudo mkdir /srv/base-repository sudo tar zxvf base-1.7.4-24.04.2023_14.23.tgz -C /srv/base-repository/

Если предполагается устанавливать обновление на компьютеры не используя сетевой репозиторий, то распаковать архив можно сразу на съемный носитель, и далее установку выполнять с этого носителя.

deb file:/srv/base-repository/ 1.7_x86-64 main contrib non-free
deb cdrom:[]/ 1.7_x86-64 contrib main non-free

Завершение установки обновления

После выполнения обновления перезагрузить компьютер.

Действия после установки обновления

Устранение угрозы эксплуатации уязвимости пакета openssh

session required pam_parsec_cap.so session required pam_parsec_aud.so session required pam_parsec_mac.so stub

Описанные ниже действия не обязательны и выполняются по необходимости.

Добавление корневого сертификата удостоверяющего центра Минцифры России

Начиная с оперативного обновления 1.7.2 в Astra Linux добавлен пакет ca-certificates-local , содержащий сертификат удостоверяющего центра Минцифры России.

Добавление корневого сертификата необходимо выполнить после установки пакета ca-certificates-local и для каждого пользователя.

Добавление корневого сертификата в Firefox

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
  2. В адресную строку ввести » about:preferences » и нажать клавишу .
  3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
  4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать. ].
  5. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
  6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
  7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

The Ministry of Digital Development and Communications Russian Trusted Root CA

Добавление корневого сертификата в Chromium

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
  2. В адресную строку ввести » chrome://settings/certificates » и нажать клавишу .
  3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
  4. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
  5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:

org-The Ministry of Digital Development and Communications Russian Trusted Root CA

Установка программы «Центр уведомлений»

Начиная с оперативного обновления 1.7.1 в Astra Linux добавлена программа «Центр уведомлений» (пакет fly-notifications), реализующая вывод сообщений для пользователя на рабочем столе.

Для установки программы «Центр уведомлений» необходимо выполнить команду:

Источник

Оцените статью
Adblock
detector