Astra linux как обновить ядро

Общая информация

Оперативное обновление представляет собой кумулятивное обновление безопасности, предназначенное для нейтрализации угроз эксплуатации выявленных уязвимостей операционной системы специального назначения « Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.6), далее по тексту — Astra Linux .

обновление репозитория установочного (основного) диска:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20211126SE16/20211126SE16.iso ;
обновление диска со средствами разработки:
https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/devel/20211126SE16/repository-update-dev.iso.

Данное обновление включает в себя:

Важная информация по применению обновления

Тестирование обновления перед установкой

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Если при установке недоступны пакеты, расположенные на установочном (основном) диске

Если установочный диск и образ обновления подключены с помощью apt-cdrom (нерекомендуемый способ установки обновлений), то выполнение обновления может завершаться ошибкой из-за не найденных пакетов. При возникновении подобных ошибок:

Удалить из файла /etc/apt/sources.list все зарегистрированные диски, кроме установочного диска;

sudo apt update

Установить не найденные пакеты с установочного диска. Пример команды установки с полным перечнем пакетов, из-за отсутствия которых возможно появление ошибки:

sudo apt install libvulkan1 libev4 qdbus-qt5 libunwind8 reprepro libcurl3 qt5-image-formats-plugins \
libxml++2.6-2v5 libxml-xpath-perl libxmlrpc-core-c3 libxmlrpc-epi0 libxml2 libxml-parser-perl

Для предупреждения возникновения подобных ошибок следует использовать обновление из сетевых репозиториев Astra Linux (см. Создание локальных и сетевых репозиториев) или ISO-образов Astra Linux с помощью инструментов fly-astra-update и astra-update (порядок установки этих инструментов для выполнения настоящего обновления описан в разделе Установка инструментов для обновления).

Порядок установки обновления

Подготовка к установке обновления

Перед установкой обновлений:

Ознакомиться с настоящей инструкцией;
Ознакомиться с инструкцией: fly-astra-update и astra-update — инструменты для установки обновлений.

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности;

На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. Это может быть сделано с помощью инструментов fly-astra-update/astra-update или командой:

sudo astra-nochmodx-lock disable

Для установки настоящего оперативного обновления и последующих оперативных обновлений рекомендуется использовать следующие инструменты:

инструмент командной строки — пакет astra-update;
графический инструмент — пакет fly-astra-update.

При подготовке установки обновления не допускается использовать команду apt-cdrom add для регистрации дисков.

Загрузка и проверка образов обновления

Загруженный ISO-образ поместить в каталог /mnt на обновляемой системе и проверить соответствие контрольной суммы указанной ниже.
Для получения контрольной суммы выполнить команду:

gostsum -d /mnt/20211126SE16.iso

Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

Контрольная сумма образа диска с обновлением средств разработки:

Установка инструментов для обновления

Установка fly-astra-update/astra-update из репозитория

Если доступен репозиторий пакетов, содержащий пакеты обновления, установку можно выполнить следующими командами:

установка графического инструмента fly-astra-update (при этом будет автоматически установлен инструмент командной строки astra-update):

sudo apt update
sudo apt install fly-astra-update

или установка инструмента командной строки astra-update:

sudo apt update
sudo apt install astra-update

Установка fly-astra-update/astra-update из образа обновления

Примонтировать загруженный образ обновления, например, в каталог /media/cdrom:

sudo mount /mnt/20211126SE16.iso /media/cdrom

Установить пакеты:
только инструмент командной строки astra-update:

sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb

или инструмент командной строки astra-update и графический инструмент fly-astra-update:

sudo apt install /media/cdrom/pool/non-free/a/astra-update/astra-update_*.deb
sudo apt install /media/cdrom/pool/non-free/libf/libflyadmin/libflyadminpackage_*.deb
sudo apt install /media/cdrom/pool/non-free/f/fly-astra-update/fly-astra-update_*.deb

sudo umount /media/cdrom

Проверка наличия места в дисковом разделе /boot

Информация данного раздела актуальна только в случае, если ранее не было установлено оперативное обновление 9 (БЮЛЛЕТЕНЬ № 20211008SE16)

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

df -H /boot

В зависимости от установленных ранее оперативных обновлений для установки обновлённых ядер linux может потребоваться до 280 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то рекомендуется:

Либо увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ).

Либо, если увеличить размер дискового раздела /boot не представляется возможным, удалить неиспользуемое ядро (ядра). Подробнее — см. раздел Удаление неиспользуемых пакетов после обновления ядра.

Установка обновления

Установка обновления без использования инструментов fly-astra-update и astra-update.

Установку настоящего оперативного обновления и последующих оперативных обновлений рекомендуется выполнять с использованием пакетов astra-update или fly-astra-update.

При установке оперативных обновлений без использования инструментов fly-astra-update/astra-update недопустимо использовать опцию обновления upgrade (команду sudo apt upgrade ), следует использовать только опцию dist-upgrade (команду sudo apt dist-upgrade ).

Обновление операционной системы необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.
Для полного завершения обновления потребуется установочный диск Astra Linux.

1. Если при установке обновления не используется репозиторий Astra Linux, то необходимо убедиться в том, что зарегистрирован и доступен установочный диск, для чего просто установить его в привод компакт-дисков (монтировать не надо) и выполнить команду:

sudo apt-cdrom add

2. Если для установки обновления файл ISO-образа переписан на компакт-диск, описанную выше процедуру регистрации повторить для всех компакт-дисков.

3. Если для обновления используются файлы с ISO-образами дисков, то для каждого образа нужно выполнить аналогичную процедуру регистрации, предварительно смонтировав, а потом отмонтировав образ:

sudo mount /mnt/20211126SE16.iso /media/cdrom
sudo apt-cdrom -m add
sudo umount /media/cdrom

на вопрос об имени диска ввести «20211126SE16».

Можно не использовать ключ -m , тогда команда apt-cdrom начиная работу сама отмонтирует ранее установленный диск, выдаст запрос на установку нового диска, а после завершения — отмонтирует установленный диск.
При этом образы дисков по запросу команды apt-cdrom можно монтировать из параллельной терминальной сессии.

Описанные процедуры регистрации компакт-дисков и образов должны быть выполнены для всех компакт-дисков и образов, использующихся для обновления.

В процессе установки обновления может потребоваться замена диска/образа диска, с которого происходит установка.
Программа установки предупредит об этом, попросит вставить диск и нажать клавишу <Enter>.

При установке с использованием установочного диска Astra Linux и образа диска с обновлениями переключать носители не потребуется.

При установке с использованием иных вариантов носителей может потребоваться заменять носители в соответствии с указаниями программы.
При этом компакт-диски просто заменяются в приводе компакт-дисков, а для подключения файлов с образами дисков их нужно будет монтировать в каталог /media/cdrom так же, как и при регистрации:

sudo mount /mnt/20211126SE16.iso /media/cdrom

4. Команды обновления следует выполнять из сессии суперпользователя ( sudo -s ) с высоким уровнем целостности, а не через отдельные команды sudo :

sudo -s
. команды .
exit

5. После завершения регистрации всех компакт-дисков и образов выполнить команды установки обновлений в режиме имитации (без внесения реальных изменений в систему, ключ -s команды apt ), и убедиться, что в результате работы не возникает неустранимых ошибок:

sudo -s
apt update
apt -s dist-upgrade
exit

По мере появления приглашения на замену носителей — выполнять замену в соответствии с изложенной выше инструкцией.

6. Выполнить обновление командами:

sudo -s
apt update
apt dist-upgrade
apt -f install
exit

Завершение установки обновления

После выполнения обновления необходимо перезагрузить систему.

После успешного обновления проверку целостности программных пакетов утилитой fly-admin-int-check необходимо проводить только с помощью файла gostsums.txt, расположенного в корневом каталоге диска с обновлениями.

Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы).

Действия после установки обновления

Установка ядра linux-5.10

Начиная с оперативного обновления 9 (БЮЛЛЕТЕНЬ № 20211008SE16) добавлена поддержка ядра linux-5.10.

Для того чтобы установить ядро linux-5.10 следует выполнить команду (должен быть доступен репозиторий, содержащий пакеты настоящего обновления):

sudo apt install linux-5.10

После завершения установки ядра будет автоматически обновлен загрузчик Grub.

Удаление неиспользуемых пакетов после обновления ядра

После установки нового ядра и успешной перезагрузки с обновленным ядром для сокращения занятого дискового пространства и для устранения ложных срабатываний сканеров уязвимостей рекомендуется удалить пакеты, относящиеся к старому ядру. Проверить, какое ядро загружено в данный момент можно командой:

uname -r

Пример вывода после выполнения команды:

Чтобы просмотреть перечень пакетов, относящихся к ядрам Linux и зарегистрированных в ОС, необходимо в терминале выполнить команду:

dpkg -l | awk ‘/linux-image/ ‘

Пример вывода после выполнения команды:

В первом столбце отображается состояние пакета, может принимать следующие значения:

« rc » — пакет был установлен, но уже удален;
« ii » — пакет на текущий момент установлен.

Ниже представлен пример сценария для удаления пакетов, относящихся к неиспользуемым ядрам (необходимо запускать от имени администратора с высоким уровнем целостности):

Кроме того, можно выборочно удалить пакеты с помощью предпочитаемого менеджера пакетов.

Astra Linux. Подключение репозиториев и обновление системы.

Теперь нужно подключить нужные репозитории и обновить систему.

Будем иметь в виду, что у меня специальная редакция ОС (“Смоленск”), поэтому постараюсь без лишней необходимости не использовать сторонние репозитории, или репозитории, расположенные в интернете.

Кроме того, каждый раз вставлять DVD-диск в сервер для установки какой-нибудь программы мне не хочется

Что делать? Конечно, скопировать содержимое установочного диска на локальный диск сервера и подключить его в качестве репозитория.

Шаг 1. Запускаем терминал.

Шаг 2. Производим предварительную подготовку.

Т.к. у нас суперпользователь root без пароля, зададим ему пароль.

Шаг 3. Создаём локальный репозиторий из установочного диска.

Для этого вставляем установочный диск в привод и копируем его содержимое в папку на диске. Правда, придётся предварительно установить rsync, т.к. эта программа по умолчанию не установлена в системе.

Шаг 4. Создаём локальный репозиторий из диска для разработчиков

Если у вас нет диска разработчиков на флешке, скачиваем его из интернета

Шаг 5. Создаём локальный репозиторий из диска обновлений.

Если у вас нет диска с обновлениями на флешке, скачиваем его из интернета. На момент написания статьи последнее обновление имело имя 20210730SE16

Шаг 6. Подключаем созданные репозитории.

Для этого редактируем файл /etc/apt/sources.list.

Приводим его к следующему виду

Обратите внимание, первую строчку, которая уже была в файле, я закомментировал. Действительно, зачем нам каждый раз вставлять DVD с установочным диском? ��

Шаг 7. Обновляем систему.

Для этого сначала обновляем список подключенных репозиториев.

Теперь по поводу обновления системы…

У apt есть ключ upgrade, который выполняет только обновление одной версии пакета на другую, более свежую. Он не будет устанавливать или удалять пакеты, даже если это необходимо для обновления других. Это наиболее безопасный и надежный вариант обновления, но он может обновить не все. Например, с ее помощью не обновить ядро до более свежей версии.

Ключ dist-upgrade или full-upgrade (это одно и то же) в дополнение к upgrade обрабатывает все изменения зависимостей для новых пакетов и во время работы может удалять ненужные и ставить необходимые пакеты для обновления.

Использование ключа dist-upgrade несколько опасно, я так несколько раз получал повреждённую систему.

Итак, обновляем систему

Придётся немного подождать.

(Моё субъективное мнение: Astra Linux обновляяется уж очень долго. Red Hat или Centos обновляются в 2-3 раза быстрее.)

После обновления рекомендую перезагрузить сервер

PS.

Так как я планирую установить ещё и модули дополнений для гостевой ОС от VirtualBox, установлю минимальный набор необходимых для этого пакетов

Ну, и собственно, ставлю сами дополнения гостевой ОС

Теперь точно всё.

Аренда серверов.

Надёжные сервера с Pro-бегом
У ВАС В ОФИСЕ!

1С:Предприятие “в облаке”.

Безопасный доступ к своей 1С из офиса, командировки и т.п.!

IP-телефония в офис.

IP-телефония давно перестала быть роскошью в офисах.
Хотите себе в офис цифровую АТС — обращайтесь. !

Обновление сервера

Сервер как и операционная система Gentoo Linux на которой он базируется постоянно совершенствуется, добавляются новые функции, исправляются ошибки.

Для удобства пользователей сервер не имеет фиксированных версий и поддерживает принцип скользящего обновления Rolling Release

Обновление сервера ПАК Астра состоит из двух независимых частей:

Обновление операционной системы

Полное обновление операционной системы — сложный процесс, требующий базовых навыков администрирования Unix-систем.

При использовании в качестве платформы рекомендованного дистрибутива Gentoo Linux полная документация по обновлению находится в соответствующем разделе описания операционной системы Обновление Gentoo.

Для быстрого обновления в большинстве случаев достаточно провести типовое обновление командами:

С версией базы данных старше 97 (27.09.18) необходимо обновить коннектор СУБД на MariaDB.

Перезапустить сервисы d3srv, e3srv и выполнить удаление старого коннектора.

Помимо обновления сервисов рекомендуется следить за обновлениями ядра операционной системы и также периодически обновлять его.

Обновление ядра (kernel) операционной системы

Общая информация по обновлению рекомендованной операционной системы Gentoo Linux содержится на соответствующей странице документации операционной системы Обновление ядра

Типовое обновление ядра образов сервера ПАК Астра обычно может быть проведено следующими командами:

Обновление сервисов ПАК Астра

Перед обновлением сервисов ПАК Астра необходимо исключить их автоматический перезапуск и вручную остановить работающие сервисы.

Остановка сервисов

Так как сервер использует систему автоматического восстановления работоспособности сервисов и периодически перезапускает остановленные (или упавшие) сервисы, то для гарантированной остановки сервисов необходимо сначала перевести их в режим отключенных по умолчанию следующими командами терминала администратора:

После этого можно остановить запущенные ранее сервисы, выполнив команды:

Следующим обязательным шагом необходимо обновить схему базы данных. Схема базы данных должна соответствовать установленной версии сервисов. В противном случае могут возникнуть ошибки доступа к базе данных.

Обновление структуры базы данных

Обновление структуры базы данных до текущей версии (в том числе если она не существует) производится из консоли администратора сервера.
Перед установкой (обновлением) БД в любом месте файловой системы, например в домашнем каталоге текущего пользователя:

необходимо создать рабочую папку:

и перейти в нее:

Далее следует убедиться что она пуста (например от предыдущих обновлений) или просто очистить ее:

игнорируя предупреждения об отсутствующих файлах, если они вдруг возникнут:

Следующим шагом необходимо загрузить одним архивом все файлы обновлений БД с сервера разработчика:

и распаковать их:

далее следует запустить скрипт обновления, указав в качестве параметра имя пользователя администратора БД, например:

на запрос пароля, ввести пароль администратора БД:

В случае если БД не существует, то будет выдан запрос пароля пользователя, для входа в «АРМ Администратор Сервера» для создания всех остальных организаций и их администраторов, пароль необходимо ввести дважды (при вводе вводимые символы не отображаются):

По завершении процесса создания (обновления) БД убедиться в отсутствии ошибок выполнения запросов, например:

После обновления базы данных, в случае отсутствия ошибок, необходимо произвести обновление исполняемых файлов сервисов ПАК Астра.

Обновление сервисов ПАК Астра

Перед обновлением сервисов необходимо убедиться что сервисы остановлены.
Для установки сервисов ПАК Астра необходимо перейти в папку исполняемых файлов сервисов ПАК Астра:

Затем загрузить архив, содержащий прекомпилированные исполняемые образы сервисов с сервера обновлений, предварительно удалив предыдущую версию (если существует):

и распаковать их из архива в текущую директорию:

установить принадлежность пользователю, от имени которого запускаются данные сервисы:

В некоторых случаях обновленные сервисы необходимо дополнительно сконфигурировать путем редактирования соответствующих файлов конфигурации.

После успешного обновления сервисов ПАК Астра необходимо их вновь запустить.

Запуск сервисов

После успешной установки (обновления) требуется запустить сервисы, выполнив команды:

После запуска необходимо убедиться, что все сервисы функционируют нормально, не произошло сбоев из-за несовместимости версий БД и т.п. Для этого необходимо ввести команду:

и проанализировать ее результат, все интересующие нас сервисы должны быть в состоянии «started»:

После того как все сервисы функционируют необходимо добавить их в список автоматического запуска (перезапуска), выполнив следующие команды:

Ошибки запуска сервисов

В случае когда после обновления некоторые сервисы не запускаются, а ответ на rc-status выдается сообщение о падении сервиса, например:

необходимо провести диагностику ошибок запуска путем вывода журнала соответствующего сервиса.

Для приведенного выше примера необходимо вывести последние строки журнала, содержащие информацию об ошибке: