Установка бюллетеней безопасности astra linux

Общая информация

Оперативное обновление 1.6.12 представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6), далее по тексту — Astra Linux.

Данное обновление включает в себя:

  • БЮЛЛЕТЕНЬ № 20220829SE16 (оперативное обновление 11)
  • БЮЛЛЕТЕНЬ № 20220407SE16MD
  • БЮЛЛЕТЕНЬ № 20220318SE16MD
  • БЮЛЛЕТЕНЬ № 20220201SE16MD
  • БЮЛЛЕТЕНЬ № 20211126SE16 (оперативное обновление 10)
  • БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9)
  • БЮЛЛЕТЕНЬ № 20210730SE16 (оперативное обновление 8)
  • БЮЛЛЕТЕНЬ № 20210723SE16MD
  • БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7)
  • БЮЛЛЕТЕНЬ № 20210317SE16MD
  • БЮЛЛЕТЕНЬ № 20210128SE16MD
  • БЮЛЛЕТЕНЬ № 20201207SE16MD
  • БЮЛЛЕТЕНЬ № 20200921SE16MD
  • БЮЛЛЕТЕНЬ № 20200807SE16MD
  • БЮЛЛЕТЕНЬ № 20200722SE16 (оперативное обновление 6)
  • БЮЛЛЕТЕНЬ № 20200526SE16MD
  • БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5)
  • БЮЛЛЕТЕНЬ № 20191029SE16 (оперативное обновление 4)
  • БЮЛЛЕТЕНЬ № 20190912SE16 (оперативное обновление 3)
  • БЮЛЛЕТЕНЬ № 20190712SE16MD
  • БЮЛЛЕТЕНЬ № 20190621SE16MD
  • БЮЛЛЕТЕНЬ № 20190529SE16MD
  • БЮЛЛЕТЕНЬ № 20190222SE16 (оперативное обновление 2)
  • БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1)

В случае применения оперативного обновления необходимо указать номер применяемого бюллетеня в разделе формуляра экземпляра Astra Linux (например, в разделе «Сведения о бюллетенях») или же в паспорте средства вычислительной техники, функционирующего под управлением Astra Linux.

Данное обновление содержит:

  • обновления (изменения) пакетов установочного диска (основного репозитория) ;
  • обновления (изменения) пакетов диска со средствами разработки.
Читайте также:  Kali linux full guide

Перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения пользователя в техническую поддержку.

В случае использования ядра Linux версии 5.15, в целях устранения угрозы эксплуатации уязвимости модуля ksmbd.ko , необходимо запретить загрузку данного модуля в ядро Linux – см. Запрет загрузки модуля ksmbd.ko в ядро Linux.

После успешной установки обновления проверка целостности программных пакетов установочного диска осуществляется утилитой fly-admin-int-check с применением файла gostsums.txt , расположенного в корневом каталоге образа диска обновления пакетов установочного диска repository-update-bin.iso .

Оглавление

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Если в системе используется программное обеспечение, разработанное с использованием средств разработки, необходимо дополнительно выполнить обновление пакетов диска со средствами разработки (имя файла с образом диска: repository-update-dev.iso ) .

Порядок установки обновления

Подготовка к установке обновления

Перед установкой обновлений:

Обновление необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

Для установки настоящего обновления требуется около 12 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512 МБ).

Загрузка и проверка образа диска с обновлением пакетов установочного диска

  1. Скачать образ диска с обновлением пакетов установочного диска с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.12/iso/repository-update-bin.iso
    либо выполнив команду:
    проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
    скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.12/iso/repository-update-bin.iso.sig
    либо выполнив команду:
Читайте также:  Gcc unknown linux gnu

/opt/cprocsp/bin/amd64/cryptcp -verify -detached r epository-update-bin.iso repository-update-bin.iso .sig -f repository-update-bin.iso .sig

В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:

Подпись проверена. [ErrorCode: 0x00000000]

Загрузка и проверка образа диска с обновлением пакетов диска со средствами разработки

Описываемые в этом разделе действия выполняются только в том случае, если в системе используется программное обеспечение, разработанное с использованием средств разработки.

  1. Скачать образ диска с обновлением пакетов диска со средствами разработки с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.12/iso/repository-update-dev.iso
    либо выполнив команду:
    проверка соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 и представленной ниже. Для получения контрольной суммы выполнить команду:
    скачать усиленную квалифицированную электронную подпись ООО «РусБИТех-Астра» с помощью веб-браузера по следующей ссылке:
    https://dl.astralinux.ru/astra/frozen/1.6_x86-64/1.6.12/iso/repository-update-dev.iso.sig
    либо выполнив команду:

/opt/cprocsp/bin/amd64/cryptcp -verify -detached repository-update-dev.iso repository-update-dev.iso .sig -f repository-update-bin.dev .sig

В процессе проверки будет дважды запрошено подтверждение, для продолжения проверки ввести «y» и нажать клавишу . Сообщение вида:

Подпись проверена. [ErrorCode: 0x00000000]

Установка инструментов для обновления

Установка fly-astra-update/astra-update из репозитория

Если созданы сетевые репозитории из установочного диска и образа диска с обновлением пакетов установочного диска (см. Создание локальных и сетевых репозиториев) и если на обновляемой системе настроен доступ к этим сетевым репозиториям в файле /etc/apt/sources.list , то установку инструментов для обновления можно выполнить следующими командами:

    установка графического инструмента fly-astra-update (при этом будет автоматически установлен инструмент командной строки astra-update):

Установка fly-astra-update/astra-update из образа обновления

  1. Примонтировать загруженный образ обновления пакетов установочного диска, например, в каталог /media/cdrom:

sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb

Установка обновления

Установка обновления с использованием сетевых репозиториев

Если созданы сетевые репозитории (см. Создание локальных и сетевых репозиториев) для всех используемых ISO-образов:

  1. Обязательные репозитории:
    • установочный диск;
    • диск с обновлением пакетов установочного диска.
  2. Дополнительные репозитории:
    • диск со средствами разработки;
    • диск с обновлением пакетов диска со средствами разработки.
Читайте также:  Linux нет звука браузере

И если на обновляемой машине настроен доступ к сетевым репозиториям в файле /etc/apt/sources.list , то обновление может быть установлено командой:

Если доступ к репозиториям в файле /etc/apt/sources.list не настроен, то обновление может быть установлено с помощью astra-update/fly-astra-update с явным указанием сетевых репозиториев (см. описание fly-astra-update и astra-update — инструменты для установки обновлений).

Установка обновления с использованием локальных копий ISO-образов

Если сетевые репозитории не используются, то обновление может быть выполнено из локальных копий ISO-образов. Комплект образов для обновления аналогичен комплекту репозиториев:

  1. Обязательные репозитории:
    • установочный диск;
    • диск с обновлением пакетов установочного диска.
  2. Дополнительные репозитории:
    • диск со средствами разработки;
    • диск с обновлением пакетов диска со средствами разработки.

ISO-образы могут быть сохранены как локальные файлы, или предоставлены на подключаемом съемном носителе. Установка обновления в таком случае выполняется с помощью astra-update/fly-astra-update, например:

В приведенном примере предполагается, что образы скопированы в каталог /mnt или находятся на съемном носителе, смонтированном в каталог /mnt .
Подробности также см. в описании инструментов fly-astra-update и astra-update.

Завершение установки обновления

После выполнения обновления перезагрузить систему.

Запрет загрузки модуля ksmbd.ko в ядро Linux

В случае использования ядра Linux версии 5.15, в целях устранения угрозы эксплуатации уязвимости модуля ksmbd.ko , необходимо запретить загрузку данного модуля в ядро Linux. Для этого необходимо выполнить действия описанные ниже.

  1. Используя полномочиями администратора системы с высоким уровнем целостности с помощью текстового редактора открыть файл
    /etc/modprobe.d/blacklist.local.conf (если такого файла нет — создать его).
  2. Добавить в файл строку, содержащую ключевое слово install , название блокируемого модуля и shell-комманду:

Источник

Оцените статью
Adblock
detector