Обновления операционной системы astra linux

Оперативное обновление Astra Linux Common Edition 2.12.46

Оперативное обновление 2.12.46 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей и совершенствования функциональных возможностей операционной системы общего назначения «Astra Linux Common Edition», далее по тексту — Astra Linux CE.

Оглавление

Данное обновление включает в себя:

Подготовка к установке обновления

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

Для установки настоящего обновления требуется не менее 100 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ). Если увеличить размер дискового раздела /boot не представляется возможным, то необходимо удалить неиспользуемые пакеты linux-ядра (см. раздел Удаление неиспользуемых пакетов linux-ядра).

Установка обновления с использованием зафиксированной ветки интернет-репозитория Astra Linux CE

В случаях, если интернет-репозиторий Astra-Linux CE по каким-либо причинам не представляется возможным использовать, можно создать собственный репозиторий.

Для установки обновления с использованием зафиксированной ветки интернет-репозитория Astra Linux CE необходимо выполнить следующие действия:

    Подключить зафиксированную ветку интернет-репозитория Astra-Linux CE, для этого:

      для использования сетевых репозиториев, работающих по протоколу HTTPS, установить пакеты apt-transport-https и ca-certificates командой:
    deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.46/repository/ orel main contrib non-free
    deb http://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.46/repository/ orel main contrib non-free

    Завершение установки обновления

    После выполнения обновления перезагрузить систему.

    Действия после установки обновления

    Описанные ниже действия не обязательны и выполняются по необходимости.

    Добавление корневого сертификата удостоверяющего центра Минцифры России

    Добавление корневого сертификата необходимо выполнить после установки пакета ca-certificates-local и для каждого пользователя.

    Добавление корневого сертификата в Firefox

    1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
    2. В адресную строку ввести » about:preferences » и нажать клавишу .
    3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
    4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать. ].
    5. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
    6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
    7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

    Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

    The Ministry of Digital Development and Communications Russian Trusted Root CA

    Добавление корневого сертификата в Chromium

    1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
    2. В адресную строку ввести » chrome://settings/certificates » и нажать клавишу .
    3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
    4. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
    5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

    После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:

    org-The Ministry of Digital Development and Communications Russian Trusted Root CA

    Удаление неиспользуемых пакетов linux-ядра

    После установки обновления и успешной перезагрузки для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому linux-ядру. Проверить, какое linux-ядро загружено в данный момент можно командой:

    Пример вывода после выполнения команды:

    Чтобы просмотреть перечень пакетов, относящихся к ядрам Linux и зарегистрированных в ОС, необходимо в терминале выполнить команду:

    ii linux-image-4.15-generic ii linux-image-4.15-hardened ii linux-image-4.15.3-1-generic ii linux-image-4.15.3-1-hardened ii linux-image-4.15.3-141-generic ii linux-image-4.15.3-141-hardened ii linux-image-4.15.3-177-generic ii linux-image-4.15.3-177-hardened ii linux-image-5.4-generic ii linux-image-5.4-hardened ii linux-image-5.4.0-71-generic ii linux-image-5.4.0-71-hardened ii linux-image-5.4.0-110-generic ii linux-image-5.4.0-110-hardened ii linux-image-5.15-generic ii linux-image-5.15.0-33-generic ii linux-image-5.15.0-70-generic ii linux-image-hardened

    В первом столбце отображается состояние пакета, может принимать следующие значения:

    Ниже представлен пример сценария для удаления пакетов, относящихся к неиспользуемым ядрам (необходимо запускать от имени администратора):

    #!/bin/bash set -e # Перечень пакетов, дальнейшее использование которых не планируется. pkgs="linux-image-4.15.3-1-generic \ linux-image-4.15.3-1-hardened \ linux-image-4.15.3-141-generic \ linux-image-4.15.3-141-hardened \ linux-image-4.15.3-177-generic \ linux-image-4.15.3-177-hardened \ linux-image-5.4.0-71-generic \ linux-image-5.4.0-71-hardened \ linux-image-5.4.0-110-generic \ linux-image-5.4.0-110-hardened \ linux-image-5.15.0-33-generic" # Проверка строки и запуск удаления пакетов. # Для удаления пакета и всех связанных с ним # конфигурационных файлов необходимо использовать команду apt purge. [ -n "$pkgs" ] && apt remove $pkgs #обновление конфигурационного файла Grub. update-grub2

    Кроме того, можно выборочно удалить пакеты с помощью предпочитаемого менеджера пакетов.

    Подключение интернет-репозиториев предыдущих обновлений Astra Linux CE

    На текущий момент поддерживаются следующие версии обновлений Astra Linux CE:

    • 2.12.45
    • 2.12.44
    • 2.12.43
    • 2.12.42
    • 2.12.40
    • 2.12.29
    • 2.12.22
    • 2.12.21
    • 2.12.14
    • 2.12.13

    Если необходимо использовать предыдущие версии репозиториев, то в файле /etc/apt/sources.list необходимо удалить (закомментировать) строку с описанием текущего актуального репозитория и добавить следующую строку:

      при использовании протокола HTTPS

    deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12./repository/ orel main contrib non-free
    deb http://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12./repository/ orel main contrib non-free

    Например, для Astra Linux CE 2.12.29 (при использовании протокола HTTPS) строка будет иметь вид:

    deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.29/repository/ orel main contrib non-free

    После добавления интернет-репозитория необходимо выполнить повторную синхронизацию файлов описаний пакетов с их источником:

    Источник

    Установка

    Инструкция по установке применима к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) или более поздним.

    Установка пакета для работы в командной строке:

    Действия

    Список основных действий astra-update приведён ниже. При запуске инструмента может быть выбрано только одно действие.

    Проверить, можно ли устанавливать обновление. Изменения в систему не вносятся. Это действие «по умолчанию».

    Установить обновление автоматически. Представляет собой последовательное выполнение действий:

    -d — Сохранить состояние функции безопасности, и отключить функции безопасности, мешающие обновлению. Состояние функций безопасности при этом будет сохранено в файле /etc/parsec/update-saveconf;

    -i — Установить обновление интерактивно (могут быть заданы вопросы);

    -e — Восстановить отключенные функции безопасности, мешавшие обновлению.

    Установить обновление полностью автоматически, не задавая вопросов, выполняя автоматическое выключение и включение функций безопасности. Представляет собой последовательное выполнение действий:

    -d — Сохранить состояние функции безопасности, и отключить функции безопасности, мешающие обновлению. Состояние функций безопасности при этом будет сохранено в файле /etc/parsec/update-saveconf;

    -I — Установить обновление не интерактивно, не задавая вопросов;

    -e — Восстановить отключенные функции безопасности, мешавшие обновлению.

    Данный режим предназначен для массовой автоматической установки обновлений на удалённых компьютерах, в том числе для использования в сценариях puppet/ansible.

    Приводы оптических дисков (DVD, CD-ROM), добавленные с помощью команды ‘sudo apt-cdrom add’, не будут использованы в процессе не интерактивной установки, т.к. их использование может потребовать действий пользователя.

    Опции

    Сохранить источники для последующего использования (iso-файлы будут скопированы на диск и указаны в /etc/fstab, сетевые репозитории будут добавлены в файл /etc/apt/sources.list)

    Установить последнее доступное ядро (опция совместима только с опциями -a, -A, -i, -I)

    Проверить контрольные суммы ГОСТ для iso-образов.

    Если при установке оперативного обновления с применением опции -g на платформе, отличной от платформы x86-64, возникает ошибка контрольной суммы, то для устранения указанной ошибки исключить использование опции -g, а проверку контрольной суммы образов выполнять перед установкой командой:

    Не выполнять проверку установочного диска (опция доступна в версиях astra-update начиная с версии 2.5.291+ci16).

    Если при установке оперативного обновления на платформе, отличной от платформы x86-64, возникает ошибка «Не подключен репозиторий установочного диска», то для устранения указанной ошибки использовать при установке дополнительный ключ -T, отменяющий проверку установочного диска.

    Источники

    В качестве источника может быть выбран файл с образом ISO или сетевой репозиторий. Может быть указано несколько источников. Возможные источники:

    • ISO-репозиторий инсталляционного диска;
    • ISO-репозиторий с обновлением;
    • ISO-репозиторий со средствами разработки;
    • ISO-репозиторий с обновлением средств разработки.

    Инсталляционный iso/репозиторий всегда должен присутствовать в /etc/apt/sources.list или быть среди источников, указанных в командной строке.
    Если производится установка обновления средств разработки, то ISO-репозиторий средств разработки должен присутствовать в /etc/apt/sources.list или быть среди источников, указанных в командной строке.

    Если какой-то источник пакетов указан несколько раз (например, как зарегистрированный компакт-диск в файле /etc/apt/sources.list и как файл с образом в аргументах вызова), то поиск пакетов для установки будет выполняться во всех указанных локациях, т.е, например, при наличии инсталляционного диска в виде файла-образа может быть запрошена установка инсталляционного CD-диска. Чтобы избежать ненужного поиска в дублирующих локациях и связанных с этим ненужных действий следует исключить дублирующие источники либо из файлов /etc/apt/, либо из аргументов вызова.

    Компакт-диски, добавленные с помощью команды ‘apt-cdrom add’ не будут использованы в процессе не интерактивной установки, т.к. их установка может потребовать действий от пользователя.

    Примеры

    Установка из образов дисков

    Для платформ, отличных от платформы x86-64, исключить использование опции -g, а проверку контрольной суммы образов выполнять перед установкой командой:

    Проверить контрольные суммы образов, и выполнить имитацию обновления в не интерактивном режиме (без вопросов) и без внесения изменений в систему:

    Установка из репозиториев

    Выполнить имитацию обновления из репозиториев, указанных в /etc/apt/sources.list, в не интерактивном режиме (без вопросов) и без внесения изменений в систему:

    Другие варианты использования

    Использовать образ установочного диска из smolensk-1.6.iso, при установке пакетов могут задаваться вопросы:

    Автоматически установить обновление из ISO-образа и сетевого репозитория, скопировать образ iso, оставить оба источника подключенными для последующего использования:

    Отключить функции безопасности, мешающие обновлению:

    Графический инструмент

    Графический инструмент fly-astra-update после установки доступен через меню: «Пуск» — «Панель управления» — «Система» — «Установка обновлений».
    После запуска инструмента требуется:

    1. Либо отметить пункт «Установка из репозиториев /etc/apt/sources.list»;
    2. Либо вручную указать, из каких репозиториев следует обновляться;

    после чего выполнить обновление, нажав кнопку «Обновить»:

    Источник

    Читайте также:  Linux show cpu load
Оцените статью
Adblock
detector