Подготовка к установке обновления
Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:
df -h /boot
Для установки настоящего обновления требуется не менее 100 МБ. Если размер свободного пространства на дисковом разделе /boot
недостаточен, то следует увеличить размер дискового раздела /boot
(рекомендуется не менее 512МБ).
См. статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.
В случаях, если интернет-репозиторий Astra-Linux CE по каким-либо причинам не представляется возможным использовать, можно создать собственный репозиторий.
Для установки обновления с использованием интернет-репозитория Astra Linux CE необходимо выполнить следующие действия:
-
Подключить интернет-репозиторий Astra-Linux CE (если ранее он не был подключен), для этого:
-
для использования сетевых репозиториев, работающих по протоколу HTTPS, установить пакеты
apt-transport-https
иca-certificates
командой:sudo apt install apt-transport-https ca-certificates
Кроме того, для подключения интернет-репозиториев Astra-Linux CE можно использовать протокол HTTP.
-
в файле /etc/apt/sources.list добавить (раскомментировать) строку:
-
при использовании протокола HTTPS
deb https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ orel main contrib non-free
-
при использовании протокола HTTP
deb http://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ orel main contrib non-free
-
-
-
Выполнить повторную синхронизацию файлов описаний пакетов с их источником:
sudo apt update
-
Установить обновление командой:
sudo apt dist-upgrade
Завершение установки обновления
После выполнения обновления перезагрузить систему.
Действия после установки обновления
Описанные ниже действия не обязательны и выполняются по необходимости.
Добавление корневого сертификата удостоверяющего центра Минцифры России
Добавление корневого сертификата необходимо выполнить после установки пакета ca-certificates-local
и для каждого пользователя.
Добавление корневого сертификата в Firefox
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
- В адресную строку ввести «
about:preferences
» и нажать клавишу <Enter>. - На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
- В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать…].
- В открывшемся окне импорта выбрать файл
/etc/ssl/certs/rootca_MinDDC_rsa2022.pem
и нажать на кнопку [Открыть]. - В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
- В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].
Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:
The Ministry of Digital Development and Communications Russian Trusted Root CA
Добавление корневого сертификата в Chromium
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
- В адресную строку ввести «
chrome://settings/certificates
» и нажать клавишу <Enter>. - На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
- В открывшемся окне импорта выбрать файл
/etc/ssl/certs/rootca_MinDDC_rsa2022.pem
и нажать на кнопку [Открыть]. - В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].
После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:
org-The Ministry of Digital Development and Communications Russian Trusted Root CA
Подключение интернет-репозиториев предыдущих обновлений Astra Linux CE
На текущий момент поддерживаются следующие версии обновлений Astra Linux CE:
- 2.12.13
- 2.12.14
- 2.12.21
- 2.12.22
- 2.12.29
- 2.12.40
- 2.12.42
- 2.12.43
- 2.12.44
Если необходимо использовать предыдущие версии репозиториев, то в файле /etc/apt/sources.list необходимо удалить (закомментировать) строку с описанием текущего актуального репозитория и добавить следующую строку:
-
при использовании протокола HTTPS
deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.<номер_обновления>/repository/ orel main contrib non-free
-
при использовании протокола HTTP
deb http://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.<номер_обновления>/repository/ orel main contrib non-free
Например, для Astra Linux CE 2.12.29 (при использовании протокола HTTPS) строка будет иметь вид:
deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.29/repository/ orel main contrib non-free
После добавления интернет-репозитория необходимо выполнить повторную синхронизацию файлов описаний пакетов с их источником:
sudo apt update
Итак, ОС Astra Linux установлена.
Теперь нужно подключить нужные репозитории и обновить систему.
Будем иметь в виду, что у меня специальная редакция ОС (“Смоленск”), поэтому постараюсь без лишней необходимости не использовать сторонние репозитории, или репозитории, расположенные в интернете.
Кроме того, каждый раз вставлять DVD-диск в сервер для установки какой-нибудь программы мне не хочется
Что делать? Конечно, скопировать содержимое установочного диска на локальный диск сервера и подключить его в качестве репозитория.
Шаг 1. Запускаем терминал.
Шаг 2. Производим предварительную подготовку.
Т.к. у нас суперпользователь root без пароля, зададим ему пароль.
mihanik@astra-srv:~$ sudo su root@astra-srv:/home/mihanik# passwd Новый пароль : Повторите ввод нового пароля : passwd: пароль успешно обновлён root@astra-srv:/home/mihanik#
Шаг 3. Создаём локальный репозиторий из установочного диска.
Для этого вставляем установочный диск в привод и копируем его содержимое в папку на диске. Правда, придётся предварительно установить rsync, т.к. эта программа по умолчанию не установлена в системе.
mount /dev/sr0 /media/cdrom0/ apt-cdrom add apt -y install rsync mkdir /opt/distr mkdir /opt/distr/inst_repo/ rsync -a --progress /media/cdrom0/ /opt/distr/inst_repo/
Шаг 4. Создаём локальный репозиторий из диска для разработчиков
Если у вас нет диска разработчиков на флешке, скачиваем его из интернета
cd /home/mihanik/Загрузки wget --no-check-certificate https://dl.astralinux.ru/astra/stable/smolensk/international-se-version/devel-smolensk-1.6-09.07.2019_14.19.iso mkdir /mnt/iso mount -o loop /home/mihanik/Загрузки/devel-smolensk-1.6-09.07.2019_14.19.iso /mnt/iso/ mkdir /opt/distr/dev_repo rsync -a --progress /mnt/iso/ /opt/distr/dev_repo/ umount /mnt/iso
Шаг 5. Создаём локальный репозиторий из диска обновлений.
Если у вас нет диска с обновлениями на флешке, скачиваем его из интернета. На момент написания статьи последнее обновление имело имя 20210730SE16
cd /home/mihanik/Загрузки wget --no-check-certificate https://download.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210730SE16/20210730SE16.iso mkdir /mnt/iso mount -o loop /home/mihanik/Загрузки/20210730SE16.iso /mnt/iso/ mkdir /opt/distr/upd_20210730SE16 rsync -a --progress /mnt/iso/ /opt/distr/upd_20210730SE16/ umount /mnt/iso
Шаг 6. Подключаем созданные репозитории.
Для этого редактируем файл /etc/apt/sources.list.
mcedit /etc/apt/sources.list
Приводим его к следующему виду
## deb cdrom:[OS Astra Linux 1.6 smolensk - amd64 DVD ]/ smolensk contrib main non-free deb file:///opt/distr/inst_repo smolensk contrib main non-free deb file:///opt/distr/dev_repo smolensk contrib main non-free deb file:///opt/distr/upd_20210730SE16 smolensk contrib main non-free
Обратите внимание, первую строчку, которая уже была в файле, я закомментировал. Действительно, зачем нам каждый раз вставлять DVD с установочным диском? 😉
Шаг 7. Обновляем систему.
Для этого сначала обновляем список подключенных репозиториев.
apt update
Теперь по поводу обновления системы…
У apt есть ключ upgrade, который выполняет только обновление одной версии пакета на другую, более свежую. Он не будет устанавливать или удалять пакеты, даже если это необходимо для обновления других. Это наиболее безопасный и надежный вариант обновления, но он может обновить не все. Например, с ее помощью не обновить ядро до более свежей версии.
Ключ dist-upgrade или full-upgrade (это одно и то же) в дополнение к upgrade обрабатывает все изменения зависимостей для новых пакетов и во время работы может удалять ненужные и ставить необходимые пакеты для обновления.
Использование ключа dist-upgrade несколько опасно, я так несколько раз получал повреждённую систему.
Итак, обновляем систему
apt -y upgrade
Придётся немного подождать.
(Моё субъективное мнение: Astra Linux обновляяется уж очень долго. Red Hat или Centos обновляются в 2-3 раза быстрее.)
После обновления рекомендую перезагрузить сервер
reboot
PS.
Так как я планирую установить ещё и модули дополнений для гостевой ОС от VirtualBox, установлю минимальный набор необходимых для этого пакетов
apt -y install gcc make python apt -y install linux-headers-4.15-generic
Ну, и собственно, ставлю сами дополнения гостевой ОС
bash /media/cdrom0/autorun.sh reboot
Теперь точно всё.
🙂
Содержание
- Обновление корневых сертификатов на Linux
- Установка из репозитория
- Загрузка пакета с сертификатами
- Установка вручную
- Операционные системы Astra Linux
- Операционные системы Astra Linux
- Как добавить сертификат Центра Сертификации (CA) в доверенные в Linux
- Как добавить корневой сертификат в доверенные в Linux на уровне системы
- Добавление сертификатов в базу данных NSS
- Как добавить корневой сертификат в доверенные в Linux в веб браузеры
- Операционные системы Astra Linux
Обновление корневых сертификатов на Linux
От корневых сертификатов в системе может зависеть правильная работа при обращении к ресурсам, которые работают по зашифрованному каналу связи. Если данные сертификаты устареют, мы можем столкнуться с рядом проблем:
Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания.
Установка из репозитория
Самый простой способ, который нужно попробовать, установить сертификаты из официального репозитория системы. В зависимости от ее типа, наши команды будут немного отличаться.
а) для систем на базе DEB (Debian, Ubuntu, Mint):
apt install ca-certificates
б) для систем на базе RPM (Rocky Linux, CentOS):
yum install ca-certificates
Если нам повезет и в репозитории будут обновленные корневые центры, наша работа закончена. Иначе, устанавливаем сертификаты вручную.
Загрузка пакета с сертификатами
Установка из репозитория может не дать нужного эффекта, если в нем находятся не самые свежие сертификаты или наша система сильно устарела или не имеет выхода в Интернет.
В этом случае нам нужно загрузить пакет с корневыми сертификатами вручную. Разберем пример на системе Ubuntu. В официальном репозитории или в поисковой системе находим пакет для загрузки, например, по ссылке ftp.ru.debian.org/debian/pool/main/c/ca-certificates копируем ссылку на файл с последней версией сертификатов, и загружаем его на наш компьютер:
Полученный пакет устанавливаем в системе:
И обновляем корневые сертификаты:
Установка вручную
Выше рассмотрены самые удобные способы обновления корневых сертификатов. Но мы можем столкнуться с ситуацией, когда в предоставляемых официальных пакетах не окажется обновленного сертификата. Например, на момент написания данной инструкции у систем на базе Deb не оказалось нового сертификата для Let’s Encrypt, а старый закончил свое действие 30 сентября 2022 года.
В данном случае, мы можем установить любой нужный нам сертификат руками. Для этого скачала находим его и копируем — приведем пример с Let’s Encrypt. На странице letsencrypt.org/ru/certificates мы можем увидеть ссылки на корневые сертификаты. Допустим, нам нужен Let’s Encrypt Authority X3 (Signed by ISRG Root X1), который доступен по ссылке letsencrypt.org/certs/letsencryptauthorityx3.pem.txt. Копируем последовательность и создаем файл на компьютере:
——BEGIN CERTIFICATE——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——END CERTIFICATE——
Открываем на редактирование файл:
И добавляем в него строку с указанием на созданный файл:
Источник
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Источник
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Источник
Как добавить сертификат Центра Сертификации (CA) в доверенные в Linux
Как добавить корневой сертификат в доверенные в Linux на уровне системы
Сертификат с расширением .crt можно открыть двойным кликом и просмотреть его содержимое:
Если вы работаете в системе от обычного пользователя (не root), то кнопка «Импортировать» будет недоступна.
Чтобы разблокировать кнопку «Импортировать», выполните следующую команду:
Данный способ может не сработать, поэтому рассмотрим, как добавить доверенные корневые центры сертификации в командной строке.
Суть метода очень проста:
Пути и команды в разных дистрибутивах Linux чуть различаются.
Просмотреть Subject всех корневых CA сертификатов можно уже знакомой командой:
Для демонстрации я добавлю сертификат с Common Name, включающим «HackWare», тогда для проверки, имеется ли сертификат с таким именем среди корневых CA, я могу использовать команду:
Для добавления своего корневого CA в доверенные в Debian, Kali Linux, Linux Mint, Ubuntu и их производных:
1. Проверьте, существует ли директория /usr/local/share/ca-certificates:
Если её ещё нет, то создайте:
Сертификат должен быть в формате PEM (обычно так и есть) и иметь расширение .crt — если расширение вашего сертификата .pem, то достаточно просто поменять на .crt.
2. Скопируйте ваш сертификат командой вида:
3. Запустите следующую команду для обновления общесистемного списка:
Проверим наличие нашего CA сертификата среди доверенных:
Сертификат успешно найден:
Для добавления своего корневого CA в доверенные в Arch Linux, BlackArch и их производных:
1. Выполните команду вида:
2. Обновите общесистемный список доверенных CA:
Чтобы удалить этот сертификат:
Добавление сертификатов в базу данных NSS
Некоторые приложения используют базу данных NSS, и у вас может быть необходимость добавить доверенные CA в неё.
Последующие изменения повлияют только на приложения, использующие базу данных NSS и учитывающие файл /etc/pki/nssdb.
1. Сначала создайте структуру каталогов для системных файлов базы данных NSS:
Затем создайте новый набор файлов базы данных. Пароль нужен для того, чтобы базу данных могли редактировать только люди, которые его знают. Если все пользователи в системе (и с доступом к резервным копиям) заслуживают доверия, этот пароль можно оставить пустым.
2. Убедитесь, что файлы базы данных доступны для чтения всем:
Примечание: вышеприведённые инструкции применимы только в том случае, если пока не существует общесистемного набора файлов базы данных NSS. Если он уже существует, то важно знать пароль для этого набора баз данных (конечно, если он защищён паролем).
3. Теперь, когда доступны файлы базы данных NSS, добавьте сертификат в хранилище следующим образом:
Биты доверия, используемые в приведённом выше примере, помечают сертификат как надёжный для подписи сертификатов, используемых для связи SSL/TLS. Имя (указывается после опции -n), используемое в команде, можно выбрать любое, но убедитесь, что его легко отличить от других сертификатов в магазине.
Аналогичные инструкции можно использовать для включения сертификата только в базу данных NSS конкретного пользователя:
Удаление из файлов базы данных NSS
Чтобы удалить сертификат из любой базы данных NSS, используйте команду certutil следующим образом. В этом примере используется общесистемное расположение базы данных NSS, но его можно легко изменить на пользовательское
Как добавить корневой сертификат в доверенные в Linux в веб браузеры
Chrome, Chromium, Firefox и созданные на их основе веб браузеры доверяют корневым сертификатам, установленным на уровне системы. То есть вам достаточно добавить в доверенные CA сертификат как это показано в предыдущем разделе.
Причём эти браузеры хотя и используют NSS, они игнорируют общесистемные сертификаты NSS, которые можно добавить в файл /etc/pki/nssdb!
Тем не менее приложения, которые используют NSS (такие как Firefox, Thunderbird, Chromium, Chrome) хранят свои списки доверенных сертификатов в файлах cert9.db. Чтобы добавить свой сертификат в каждый из этих файлов можно использовать скрипт.
Сохранить следующий код в файл CAtoCert9.sh:
В этом файле измените значение certfile на имя файла вашего сертификата и значение certname на имя вашего сертификата, сохраните и закройте файл.
Затем запустите его следующим образом:
В результате в домашней папке пользователя будут найдены все файлы cert9.db и в каждый из них будет добавлен указанный CA сертификат.
Вы можете добавить CA сертификаты в графическом интерфейсе каждого браузера.
Нажмите кнопку «Импорт»:
Выберите файл с сертификатом.
Укажите, какие полномочия вы даёте этому сертификату:
Нажмите кнопку «Импортировать»:
Выберите файл с сертификатом.
Укажите, какие полномочия вы даёте этому сертификату:
Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».
Источник
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Источник
Содержание
- Windows admin blog
- Полезные команды cmd, powershell, администрирование, фичи и решения проблем на win/winserver
- Установка корневого сертификата в Astra Linux
- Методика безопасности № 2022-0318СE212MD
- Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
- Подготовка к установке обновления
- Установка обновления
- Завершение установки обновления
- Добавление корневого сертификата удостоверяющего центра Минцифры России
- Добавление корневого сертификата в Firefox
- Добавление корневого сертификата в Chromium
- Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2
- Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)
- Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy
- Методика устранения угрозы атаки типа HTTP Request Smuggling
- Устранение риска эксплуатации уязвимости пакета liblog4j2-java
- Устранение риска эксплуатации уязвимости путем замены пакета
- Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup
- Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
- Подготовка к установке обновления
- Установка обновления
- Завершение установки обновления
- Добавление корневого сертификата удостоверяющего центра Минцифры России
- Добавление корневого сертификата в Firefox
- Добавление корневого сертификата в Chromium
- Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2
- Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)
- Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy
- Методика устранения угрозы атаки типа HTTP Request Smuggling
- Устранение риска эксплуатации уязвимости пакета liblog4j2-java
- Устранение риска эксплуатации уязвимости путем замены пакета
- Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup
Windows admin blog
Полезные команды cmd, powershell, администрирование, фичи и решения проблем на win/winserver
Установка корневого сертификата в Astra Linux
В данной статье рассмотрим, как установить корневой сертификат в системное хранилище доверенных корневых сертификатов. Здесь надо учесть, что браузеры после этого не станут автоматически доверять сайту, сертификат которого выпущен таким центром сертификации, потому что веб-браузеры в Linux используют свои собственные хранилища корневых сертификатов, поэтому будет затронута также тема добавления корневого сертификата в веб-браузеры. Инструкция подойдет не только для Astra Linux, но и для других Debian подобных дистрибутивов.
Установка корневого сертификата в системное хранилище
1. Сертификат должен иметь формат crt. Если формат сертификата отличается, необходимо выполнить его конвертацию. Так, например, для cer-сертификатов:
Если исходный сертификат имеет кодировку DER
Если исходный сертификат имеет кодировку PEM
В параметре out можно сразу указать полный путь сохранения сертификата, в противном случае, он сохранится в текущий каталог.
2. Скопировать полученный сертификат в папку /usr/share/ca-certificates:
вместо /path/certificate.crt подставить свой путь до сертификата и имя сертификата
Есть, однако, мнение, что сертификаты лучше копировать сюда: /usr/local/share/ca-certificates
3. Установить сертификат можно такой командой:
Выбрать «Да», нажать «ОК» (Enter), а в следующем окне отметить звездочками сертификаты, которые необходимо установить. При этом, если все успешно, вы должны увидеть информацию о добавлении вашего сертификата. В моем случае выполнялась установка сразу двух сертификатов (2 added)
Есть еще и вот такая команда:
По идее, делает все что нужно в автоматическом режиме.
По итогу, ваш сертификат должен будет находиться здесь: /etc/ssl/certs
Проверка установки
Способ 1
Короткая команда, которая выведет список доверенных сертификатов. В списке вы должны найти свой сертификат — значит он установился.
Способ 2
Для проверки есть такая конструкция:
Вместо СЕРТИФИКАТ вводим критерий поиска (точное имя сертификата), можно часть имени заменить символом * (например, Digi*) — но в случае со «звездочкой» поиск будет чувствителен к регистру (игнорирует ключ -i), если в имени серитфиката есть пробелы, то критерий поиска обязательно нужно взять в кавычки, даже при использовании маски поиска *.
Способ 3
Проверка посредством выполнения подключения к сайту. То есть, здесь мы выполняем не поиск по хранилищу сертификатов, а осуществляем подключение к сайту
Вместо example.site.com вводите ваш сайт, на котором нужно проверить работу сертификата.
Если в результате вывода где-то есть verify error, значит есть проблемы с доверием. Нужно детально изучить вывод — на какой сертификат ругается.
Способ 4
Может потребоваться установка пакета curl. В ответе должен быть получен код страницы — значит все ОК, доверие к сертификату есть, в противном случае, получим ошибку.
Импорт сертификата в профиль пользователя для Chromium-подобных браузеров
Можно автоматизировать данный процесс. Для выполнения команды должна быть установлена утилита certutil.
certificate_name — имя сертификата
certificate_file — имя файла сертификата, в примере подразумевается, что сертификат расположен в том же каталоге, что и скрипт
После выполнения данной команды, браузеры на Chromium движке под текущим пользователем будут доверять сертификату (Chrome, Chromium, Opera и т.п.).
Отдельно отмечу, что браузер Firefox использует собственную базу сертификатов, которая располагается в другом месте.
Те же самые действия можно проделать и через GUI браузера.
Настройки — Конфиденциальность и безопасность — Безопасность — Настроить сертификаты
Далее импортировать нужный сертификат в разделе «Центры сертификации»
Источник
Методика безопасности № 2022-0318СE212MD
Методика безопасности операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту — Astra Linux, предназначено для нейтрализации уязвимостей в информационных системах.
Настоящая методика безопасности содержит отдельные программные пакеты, в которые внесены изменения с целью устранения ряда уязвимостей ядра linux и пакета liblog4j2-java , а также методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2.
Кроме того, в пакет ca-certificates.deb репозитория Astra Linux добавлен сертификат удостоверяющего центра Минцифры России.
Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.
Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43
Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующей версии Astra Linux.
Подготовка к установке обновления
Установка обновления
Скачать tar-архив с помощью WEB-браузера по следующей ссылке: https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz, либо выполнив команду:
Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»:https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz_2022-03-24_14-25-18.tsp.sig.
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
Распаковать архив, например, в каталог /mnt/ , выполнив команду:
Полученный в результате распаковки tar-архива каталог 2022-0318CE212MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/2022-0318CE212MD/ , необходимо:
с помощью текстового редактора в файле /etc/apt/sources.list добавить строку вида:
либо выполнить команду:
затем выполнить повторную синхронизацию файлов описаний пакетов с их источником:
Обновить пакеты, выполнив следующую команду:
Завершение установки обновления
После выполнения обновления необходимо перезагрузить систему.
Добавление корневого сертификата удостоверяющего центра Минцифры России
Добавление корневого сертификата необходимо выполнить для каждого пользователя после установки обновления пакетов.
Добавление корневого сертификата в Firefox
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
- В адресную строку ввести » about:preferences » и нажать клавишу .
- На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
- В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать. ].
- В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
- В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
- В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].
Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:
Добавление корневого сертификата в Chromium
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
- В адресную строку ввести » chrome://settings/certificates » и нажать клавишу .
- На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
- В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
- В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].
После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:
Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2
Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)
Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых модулей, необходимо выполнить команду:
Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy
Для устранения этой уязвимости необходимо отключить поддержку прямого proxy в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ).
Параметр ProxyRequests должен иметь значение » off «. При этом, если это необходимо, реверс-прокси может остаться включенным.
В случае, если есть возможность отключить все режимы работы proxy, то необходимо выполнить команду:
После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:
Методика устранения угрозы атаки типа HTTP Request Smuggling
Для устранения этой уязвимости необходимо в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ) отключить поддержку протокола http/2 — из строки параметров Protocols (перечня используемых протоколов) следует исключить значение » h2 » (протокол HTTP/2).
После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:
Веб-сервер Apache необходимо настроить на работу по HTTPS.
Устранение риска эксплуатации уязвимости пакета liblog4j2-java
Уязвимости подвержен только класс JndiLookup из файла JAR /usr/share/java/log4j-core.jar , входящего в пакет liblog4j2-java, а приложения, использующие только файл JAR log4j-api без файла JAR log4j-core , не подвержены этой уязвимости. Уязвимость присутствует в пакетах log4j в версиях 2.14.1 и ниже.
Проверить, установлен ли пакет liblog4j2-java в системе и версию установленного пакета можно командой:
Если пакет не установлен, то компьютер не подвержен уязвимости.
Устранение риска эксплуатации уязвимости путем замены пакета
- Скачать обновлённый пакет liblog4j2-java_2.7-2+deb9u1_all.deb с помощью WEB-браузера по следующей ссылке;
- Перейти в каталог с полученным пакетом;
Установить обновлённый пакет командой:
Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup
Для оперативного устранения уязвимости без переустановки пакетов, с учетом того, что этой уязвимости подвержен только один класс из файла /usr/share/java/log4j-core.jar, следует удалить этот класс (JndiLookup) из пути к классам, для чего:
Установить пакет zip, если он не был ранее установлен, следующей командой:
Источник
Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующей версии Astra Linux.
Подготовка к установке обновления
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).
Установка обновления
Скачать tar-архив с помощью WEB-браузера по следующей ссылке: https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz, либо выполнив команду:
Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»:https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz_2022-03-24_14-25-18.tsp.sig.
Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.
Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
Распаковать архив, например, в каталог /mnt/ , выполнив команду:
sudo tar xzvf 2022-0318CE212MD.tar.gz -C /mnt/
Полученный в результате распаковки tar-архива каталог 2022-0318CE212MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/2022-0318CE212MD/ , необходимо:
с помощью текстового редактора в файле /etc/apt/sources.list добавить строку вида:
либо выполнить команду:
echo «deb file:/mnt/2022-0318CE212MD/ orel main contrib non-free» | sudo tee -a /etc/apt/sources.list
затем выполнить повторную синхронизацию файлов описаний пакетов с их источником:
sudo apt update
Обновить пакеты, выполнив следующую команду:
sudo apt dist-upgrade
Завершение установки обновления
После выполнения обновления необходимо перезагрузить систему.
Добавление корневого сертификата удостоверяющего центра Минцифры России
Добавление корневого сертификата необходимо выполнить для каждого пользователя после установки обновления пакетов.
Добавление корневого сертификата в Firefox
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
- В адресную строку ввести » about:preferences » и нажать клавишу .
- На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
- В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать. ].
- В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
- В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
- В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].
Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:
Добавление корневого сертификата в Chromium
- Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
- В адресную строку ввести » chrome://settings/certificates » и нажать клавишу .
- На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
- В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
- В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].
После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:
Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2
Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)
Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых модулей, необходимо выполнить команду:
sudo apachectl -M
Если в перечне используемых модулей присутствует модуль с наименованием lua , то следует выполнить команду:
sudo a2dismod lua
После этого необходимо перезапустить веб-сервер Apache, выполнив команду:
sudo systemctl restart apache2
Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy
Для устранения этой уязвимости необходимо отключить поддержку прямого proxy в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ).
Параметр ProxyRequests должен иметь значение » off «. При этом, если это необходимо, реверс-прокси может остаться включенным.
В случае, если есть возможность отключить все режимы работы proxy, то необходимо выполнить команду:
sudo a2dismod proxy
После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:
sudo systemctl restart apache2
Методика устранения угрозы атаки типа HTTP Request Smuggling
Для устранения этой уязвимости необходимо в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ) отключить поддержку протокола http/2 — из строки параметров Protocols (перечня используемых протоколов) следует исключить значение » h2 » (протокол HTTP/2).
После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:
sudo systemctl restart apache2
Веб-сервер Apache необходимо настроить на работу по HTTPS.
Устранение риска эксплуатации уязвимости пакета liblog4j2-java
Уязвимости подвержен только класс JndiLookup из файла JAR /usr/share/java/log4j-core.jar , входящего в пакет liblog4j2-java, а приложения, использующие только файл JAR log4j-api без файла JAR log4j-core , не подвержены этой уязвимости. Уязвимость присутствует в пакетах log4j в версиях 2.14.1 и ниже.
Проверить, установлен ли пакет liblog4j2-java в системе и версию установленного пакета можно командой:
apt policy liblog4j2-java
Если пакет не установлен, то компьютер не подвержен уязвимости.
Устранение риска эксплуатации уязвимости путем замены пакета
- Скачать обновлённый пакет liblog4j2-java_2.7-2+deb9u1_all.deb с помощью WEB-браузера по следующей ссылке;
- Перейти в каталог с полученным пакетом;
Установить обновлённый пакет командой:
sudo apt install ./liblog4j2-java_2.7-2+deb9u1_all.deb
Предупреждение «Download is performed unsandboxed«/»Загрузка без ограничения песочницы» при установке обновления можно игнорировать, подробнее здесь: Предупреждение «Download is performed unsandboxed»/»Загрузка без ограничения песочницы» при установке пакетов из файлов с помощью apt
Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup
Для оперативного устранения уязвимости без переустановки пакетов, с учетом того, что этой уязвимости подвержен только один класс из файла /usr/share/java/log4j-core.jar, следует удалить этот класс (JndiLookup) из пути к классам, для чего:
Установить пакет zip, если он не был ранее установлен, следующей командой:
sudo zip -d /usr/share/java/log4j-core.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
пример вывода после успешного выполнения команды:
Источник
0
1
1. Согласно информации из приложенной статьи ссылки репозиториев не должны быть доступны для Astra Linux Special Edition.
2. Доступность по протоколам HTTPS и HTTP обеспечивает доступность всех файлов репозитория по прямым ссылкам, что позволяет использовать для установки и обновления пакетов из этих репозиториев стандартные программы.
3. Помимо доступности протоколов HTTPS и HTTP для того, чтобы было возможно открыть ссылку в браузере и просмотреть содержимое репозитория так, как это делается в файловом менеджере, в репозитории должна быть включена автоматическая индексация содержимого (autoindex). Автоматическая индексация поддерживается в репозиториях Astra Linux Common Edition и не поддерживается в репозиториях Astra Linux Special Edition.
И я ничего не могу понять из этой белиберды.
Абзац 1 — с чего бы ссылки репозитариев «не должны быть доступны для Astra Linux Special Edition»? Ссылки вообще-то доступны кому угодно у кого есть интернет. Что значит недоступны для Astra Linux SE? Что они хотели сказать этим предложением?
Абзац 2 и 3 техподдержка тупо скопировала в разделе Протоколы передачи интернет-репозиториев Astra Linux с той же страницы официальной Wiki.
Вопрос: у нас возникло предположение, что это значит, что веб-сервер настроен так, что он не отдает HTML-представление списка файлов при запросе директорий, относящихся к 1.7. Но должен отдавать файлы если они запрашиваются напрямую.
Чтобы проверить это предположение, я проверил ссылки на файлы:
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/Release
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/Release.gpg
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/binary-amd64/Packages.gz
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/binary-amd64/Release
https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/Release
https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/Release.gpg
https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/binary-amd64/Packages.gz
https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/binary-amd64/Release
Но все они возвращают 404. Может я неправильно предположил какие файлы могут быть. А может быть, путь, начинающийся с https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/… действительно не существует. Как это можно однозначно проверить?
Перемещено hobbit из general
В данной статье рассмотрим, как установить корневой сертификат в системное хранилище доверенных корневых сертификатов. Здесь надо учесть, что браузеры после этого не станут автоматически доверять сайту, сертификат которого выпущен таким центром сертификации, потому что веб-браузеры в Linux используют свои собственные хранилища корневых сертификатов, поэтому будет затронута также тема добавления корневого сертификата в веб-браузеры. Инструкция подойдет не только для Astra Linux, но и для других Debian подобных дистрибутивов.
Установка корневого сертификата в системное хранилище
1. Сертификат должен иметь формат crt. Если формат сертификата отличается, необходимо выполнить его конвертацию. Так, например, для cer-сертификатов:
Если исходный сертификат имеет кодировку DER
openssl x509 -inform DER -in /path/certificate.cer -out certificate.crt
Если исходный сертификат имеет кодировку PEM
openssl x509 -inform PEM -in /path/certificate.cer -out certificate.crt
В параметре out можно сразу указать полный путь сохранения сертификата, в противном случае, он сохранится в текущий каталог.
2. Скопировать полученный сертификат в папку /usr/share/ca-certificates:
sudo cp /path/certificate.crt /usr/share/ca-certificates
вместо /path/certificate.crt подставить свой путь до сертификата и имя сертификата
Есть, однако, мнение, что сертификаты лучше копировать сюда: /usr/local/share/ca-certificates
3. Установить сертификат можно такой командой:
sudo dpkg-reconfigure ca-certificates
Выбрать «Да», нажать «ОК» (Enter), а в следующем окне отметить звездочками сертификаты, которые необходимо установить. При этом, если все успешно, вы должны увидеть информацию о добавлении вашего сертификата. В моем случае выполнялась установка сразу двух сертификатов (2 added)
Есть еще и вот такая команда:
sudo update-ca-certificates
По идее, делает все что нужно в автоматическом режиме.
По итогу, ваш сертификат должен будет находиться здесь: /etc/ssl/certs
Проверка установки
Способ 1
trust list
Короткая команда, которая выведет список доверенных сертификатов. В списке вы должны найти свой сертификат — значит он установился.
Способ 2
Для проверки есть такая конструкция:
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep -i СЕРТИФИКАТ
Вместо СЕРТИФИКАТ вводим критерий поиска (точное имя сертификата), можно часть имени заменить символом * (например, Digi*) — но в случае со «звездочкой» поиск будет чувствителен к регистру (игнорирует ключ -i), если в имени серитфиката есть пробелы, то критерий поиска обязательно нужно взять в кавычки, даже при использовании маски поиска *.
Способ 3
openssl s_client -connect example.site.ru:443 -quiet
Проверка посредством выполнения подключения к сайту. То есть, здесь мы выполняем не поиск по хранилищу сертификатов, а осуществляем подключение к сайту
Вместо example.site.com вводите ваш сайт, на котором нужно проверить работу сертификата.
Если в результате вывода где-то есть verify error, значит есть проблемы с доверием. Нужно детально изучить вывод — на какой сертификат ругается.
Способ 4
curl https://example.site.com --cacert /etc/ssl/certs/ca-certificates.crt
Может потребоваться установка пакета curl. В ответе должен быть получен код страницы — значит все ОК, доверие к сертификату есть, в противном случае, получим ошибку.
Импорт сертификата в профиль пользователя для Chromium-подобных браузеров
Можно автоматизировать данный процесс. Для выполнения команды должна быть установлена утилита certutil.
certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n "certificate_name" -i certificate_file.crt
certificate_name — имя сертификата
certificate_file — имя файла сертификата, в примере подразумевается, что сертификат расположен в том же каталоге, что и скрипт
После выполнения данной команды, браузеры на Chromium движке под текущим пользователем будут доверять сертификату (Chrome, Chromium, Opera и т.п.).
Отдельно отмечу, что браузер Firefox использует собственную базу сертификатов, которая располагается в другом месте.
Те же самые действия можно проделать и через GUI браузера.
Настройки — Конфиденциальность и безопасность — Безопасность — Настроить сертификаты
Далее импортировать нужный сертификат в разделе «Центры сертификации»
Вы здесь
|
Сертификат Open Suse истекЗдравствуйте, Запрос/ответ выглядит так: Вопрос, как установить драйвера Lcard для ОС Astra Linux?
|
|
Re: Сертификат Open Suse истекЗдравствуйте.
|
|
Re: Сертификат Open Suse истекДата действительно была не корректная, по причине «заморозилась» в гостевой ОС (тестирую в VMware), сейчас ее исправил, однако ошибка осталась
|
|
Re: Сертификат Open Suse истекТак же пишет, что «Сертификат ещё не активирован» или как то сообщение изменилось?
|
|
Re: Сертификат Open Suse истекАлексей L Card пишет:
Сообщение об активации исчезло.
|
Быстрый ответ
Контакты
Быстрые ссылки
Связь с техподдержкой
Содержание
- Цепочка сертификатов не может быть построена до доверенного корневого сертификата
- Операционные системы Astra Linux
- Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A
- Почему возникает ошибка 0x800B010A
- Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A – как исправить
Цепочка сертификатов не может быть построена до доверенного корневого сертификата
При возникновении ошибки «Цепочка сертификатов не может быть построена до доверенного корневого сертификата.» необходимо выполнить проверку сертификата электронной подписи.
Алгоритм проверки электронной подписи:
В программном продукте 1С необходимо
1. перейти в раздел «Администрирование»
2. «Обмен электронными документами»
3. «Настройка электронной подписи и шифрования»
4. На вкладке «Сертификаты» открыть используемый сертификат
5. Нажать на кнопку «Проверить»
6. Ввести пароль закрытой части ключа и нажать «Проверить»
! Обращаем Ваше внимание, что программа сама увеличит количество * в поле «Пароль:» до 16 при проверке. Данное поведение является штатным и выступает дополнительной защитой конфиденциальных данных в виде количества символов в пароле. Проверка будет осуществлена на основании введенных Вами данных .
Если в ходе проверки напротив пункта «Корректность данных сертификата» возникнет сигнализирующий об ошибке красный символ, на него необходимо нажать для открытия технической информации об ошибке.
Если в технической информации об ошибке указано «Цепочка сертификатов не может быть построена до доверенного корневого
сертификата.» это обозначает, что цепочка сертификации выстроена не полностью. Данная ошибка чаще всего встречается при первичной установке сертификата. Для просмотра пути сертификации необходимо сохранить сертификат, указав директорию компьютера, где его можно будет найти. Сделать это можно из программы 1С открыв сертификат в настройках электронной подписи и шифрования и нажать кнопку «Сохранить в файл» и указать директорию операционной системы для сохранения файла.
После сохранения сертификата необходимо открыть его в сохраненной директории.
Открыть сертификат можно дважды нажав на него левой кнопкой мыши или правая кнопка мыши — Открыть.
На вкладке «Общие» в логотипе сертификата будет присутствовать сигнализирующий о проблеме желтый знак, а в сведениях о сертификате будет присутствовать надпись «Недостаточно информации для проверки этого сертификата».
Следующим этапом необходимо перейти во вкладку «Путь сертификации». Можно заметить, что путь сертификации состоит из одного личного сертификата, а в состоянии сертификата присутствует надпись «Невозможно обнаружить поставщика этого сертификата».
В компьютерной безопасности цифровые сертификаты проверяются с помощью цепочки доверия. Сертификаты удостоверяются ключами тех сертификатов, которые находятся выше в иерархии сертификатов. Наивысший сертификат в цепочке называется корневым.
Пример корректного пути сертификации
Решение: Восстановить путь сертификацию
В сертификате необходимо перейти во вкладку «Состав» и в верхнем окне необходимо найти и нажать на поле «Доступ к информации о центрах сертификации». В нижнем окне сертификата появится информация о доступах к сведениям центра сертификации, в котором необходимо найти ссылку, которая заканчивается на .cer или .crt. Данную ссылку необходимо скопировать от http:// до конца строки не включая URL=. Копирование производится при помощи комбинации клавиш Ctrl+C.
Открыть браузер и вставить скопированное ранее значение в адресную строку, нажать «Перейти» (Enter). Откроется окно просмотра загрузок, в котором браузер предложит сохранить или открыть файл. Необходимо нажать «Сохранить как» и указать директорию, куда произойдёт сохранение.
Произойдет скачивание сертификата удостоверяющего центра, который выдал личный сертификат. После скачивания необходимо перейти в указанную директорию и открыть скаченный сертификат. В нашем примере это сертификат astral-883-2018.
После открытия сертификата удостоверяющего центра необходимо нажать «Установить сертификат»
В открывшемся мастере импорта сертификатов выбрать Расположение хранилища: «Текущий пользователь» и нажать «Далее».
В следующем окне выбрать «Поместить все сертификаты в следующее хранилище» нажать «Обзор» и выбрать «Доверенные корневые центры сертификации», нажать «Далее» и завершить установку.
После появится окно предупреждения системы безопасности. Для установки сертификата необходимо нажать «Да»
Затем появится окно, сообщающее о том, что импорт сертификата успешно выполнен.
После установки сертификата удостоверяющего центра путь сертификации будет состоять уже из двух сертификатов: личного сертификата сотрудника организации, который ссылается на доверенный сертификат удостоверяющего центра, который выдал данному сотруднику сертификат.
Сертификат удостоверяющего центра не может сослаться на вышестоящий сертификат Головного удостоверяющего центра в виду его отсутствия на рабочем месте.
Для установки сертификата Головного удостоверяющего центра необходимо открыть сертификат удостоверяющего центра и перейти во вкладку «Состав». В верхнем окне выбрать поле «Идентификатор ключа центра сертификатов», а затем в нижнем окне скопировать серийный номер сертификата (Ctrl+C).
Для скачивания нужного сертификата Головного удостоверяющего центра необходимо перейти на Портал уполномоченного федерального органа в области использования электронной подписи и перейти на вкладку «ГОЛОВНОЙ УЦ» https://e-trust.gosuslugi.ru/mainca
Далее, используя сочетание клавиш Ctrl+F необходимо вызвать окно поиска и вставить в него скопированный серийный номер из сертификата удостоверяющего центра. Из представленного на сайте перечня сертификатов отобразиться тот, чей серийный номер совпадает. Именно данный сертификат Головного удостоверяющего центра нужно скачать. Для скачивания необходимо нажать на гиперссылку в строке «Отпечаток».
После нажатия на отпечаток произойдет скачивание сертификата Головного удостоверяющего центра. Необходимо нажать «Сохранить как» и выбрать необходимую директорию для сохранения сертификата Головного удостоверяющего центра.
Необходимо перейти в директорию, куда был скачан сертификат и открыть его.
В открывшемся сертификате необходимо нажать «Установить сертификат»
В мастере импорта сертификатов необходимо выбрать «Текущий пользователь» и нажать «Далее»
В следующем окне необходимо выбрать «Поместить все сертификаты в следующее хранилище», нажать «Обзор». В окне выбора хща сертификата необходимо поставить галочку «Показать физические хранилища», затем развернуть «Доверенные корневые центры сертификации» нажатием на «+» и выбрать «Локальный компьютер» и нажать «ОК». Завершить установку сертификата.
После установки сертификата Головного удостоверяющего центра путь сертификации личного сертификата восстановлен.
После восстановления пути сертификации ошибка не воспроизводится.
Источник
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
- реализации и совершенствования функциональных возможностей;
- поддержки современного оборудования;
- обеспечения соответствия актуальным требованиям безопасности информации;
- повышения удобства использования, управления компонентами и другие.
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
- инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
- отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
- обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Источник
Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A
Автор: Юрий Белоусов · 23.09.2020
Пользователи, использующие программы, работающие с СУФД, в момент подписания документа, могут столкнуться с появлением сообщения: «Ошибка создания подписи: Не удается построить цепочку сертификатов (0x800B010A)».
Например, она может возникнуть при подаче заявки на zakupki.gov.ru или другом портале, работающим с ЭЦП.
В этой статье детально рассмотрим в чем причина данной проблемы и какие методы использовать для ее решения.
Почему возникает ошибка 0x800B010A
Причина возникновения ошибки создания подписи 0x800B010A понятна из пояснительного текста: «Не удается построить цепочку сертификатов». То есть, один или несколько необходимых сертификатов могут отсутствовать, быть некорректно установленными или попросту истек их срок действия.
Для нормальной работы обязательно должны быть установлены следующие сертификаты:
Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A – как исправить
Чтобы исправить ошибку создания подписи: «Не удается построить цепочку сертификатов» (0x800B010A) необходимо правильно диагностировать проблемный сертификат. Сделать это можно с помощью специализированного ПО, либо – с помощью Internet Explorer.
- Следует запустить браузер Internet Explorer. В операционных системах Windows он является предустановленным;
- Открыть меню браузера, нажав на значок шестеренки в верхнем правом углу окна;
- Выбрать пункт «Свойства браузера»;
Альтернативный вариант – зайти в свойства браузера, воспользовавшись встроенным поиском Windows; - Перейти во вкладку «Содержание»;
- Нажать кнопку «Сертификаты»;
- Выбрать сертификат, которым необходимо подписать документ и нажать кнопку «Просмотр»;
- Перейти во вкладку «Путь сертификации»;
- Сертификат отмеченный красным крестиком или восклицательным знаком – и есть причина возникновения ошибки создания подписи: «Не удается построить цепочку сертификатов» (0x800B010A).
На скриншоте выше показано, как должна выглядеть цепочка. Если один из сертификатов отсутствует или установлен с ошибкой, то подпись документа будет невозможной.
В случае, если отсутствует сертификат головного удостоверяющего центра, то необходимо скачать и установить. Найти его можно на сайте поставщика сертификата. Узнать кто поставщик можно из свойств, посмотрев вкладку «Общие». Также нужно добавить промежуточные сертификаты.
Для установки личного сертификата необходима программа КриптоПро CSP.
Подробную инструкцию по установке корневого и личного сертификатов можно посмотреть в видео:
Важно! При установке сертификата Головного удостоверяющего центра необходимо поместить его в раздел «Доверенные корневые центры сертификации», личный – в раздел «Личные», остальные – в «Промежуточные центры сертификации».
Если все необходимые сертификаты присутствуют в цепочке, то следует проверить срок их действия и сведения о сертификате. Для этого нужно:
- Открыть список сертификатов;
- Выбрать нужный;
- Нажать кнопку «Просмотр»;
- Посмотреть сведения о сертификате в разделе «Общие», включая срок до которого он действителен.
- Если истек срок действия, то нужно обновить сертификат;
- Если нет доверия к сертификату, то необходимо установить его в корректную директорию;
- Если не удается проследить путь до доверенного центра, значит нарушена общая цепь. Скорее всего, отсутствуют промежуточные сертификаты.
Если проблему не удалось исправить и по прежнему появляется внутренняя ошибка с кодом 0x800B010A, то стоит переустановить КриптоПро CSP, а также обратиться в службу поддержки поставщика сертификата.
Есть удобный способ восстановить правильную цепочку сертификатов, который показан в следующем видео:
Не нашли ответ? Тогда воспользуйтесь формой поиска:
Источник
Линукс (СентОс 6)
- Установите пакет ca-сертификатов: yum install ca-Certificates.
- Включите функцию динамической конфигурации CA: update-ca-trust force-enable.
- Добавьте его как новый файл в / etc / pki / ca-trust / source / anchors /: cp foo.crt / etc / pki / ca-trust / source / anchors /
- Используйте команду: update-ca-trust extract.
Как вы доверяете сертификату?
Перейдите на сайт с сертификатом, которому вы хотите доверять, и просмотрите обычные предупреждения о ненадежных сертификатах. В адресной строке щелкните правой кнопкой мыши красный предупреждающий треугольник и сообщение «Небезопасно» и в появившемся меню выберите выберите «Сертификат»», Чтобы показать сертификат.
Как включить сертификат доверия?
Разверните Политики> Параметры Windows> Параметры безопасности> Политики открытого ключа. Верно-кликните Trusted Root Certification Полномочия и выберите Импорт. Нажмите «Далее» и «Обзор», чтобы выбрать сертификат ЦС, который вы скопировали на устройство. Щелкните Готово, а затем ОК.
Как узнать, доверяет ли сертификат Linux?
Вы можете сделать это с помощью следующей команды: sudo update-ca-сертификаты . Вы заметите, что команда сообщает об установленных сертификатах, если это необходимо (в современных установках может уже быть корневой сертификат).
Куда мне помещать сертификаты в Linux?
Расположение по умолчанию для установки сертификатов: / и т.д. / SSL / сертификаты . Это позволяет нескольким службам использовать один и тот же сертификат без чрезмерно сложных прав доступа к файлам. Для приложений, которые можно настроить на использование сертификата CA, вам также следует скопировать файл / etc / ssl / certs / cacert.
Как обновить сертификат в Linux?
Линукс (Убунту, Дебиан)
Используйте команду: судо cp foo. CRT / USR / местные / доля / CA-сертификаты / Фу. crt. Обновите хранилище CA: sudo update-ca-Certificates.
Почему моему сертификату не доверяют?
Наиболее частая причина ошибки «сертификат не доверяет» заключается в том, что установка сертификата не была должным образом завершена на сервере (или серверах), на котором размещен сайт. … Чтобы решить эту проблему, установите файл промежуточного сертификата (или сертификата цепочки) на сервер, на котором размещен ваш веб-сайт.
Где я могу найти ненадежные сертификаты?
Вы можете найти некоторые сертификаты в их репозиторий GitHub. В Chrome вы также можете экспортировать сертификат, используемый для вкладки. Щелкните «Небезопасно», затем щелкните «Недействительный» в разделе «Сертификат». См. Вкладку сведений, затем нажмите «экспорт», чтобы сохранить сертификат.
Безопасно ли очищать учетные данные?
При очистке учетных данных удаляются все сертификаты, установленные на вашем устройстве. Другие приложения с установленными сертификатами могут потерять некоторые функции. Чтобы очистить учетные данные, сделайте следующее: С вашего Устройство Android, перейдите в Настройки.
Как исправить, что сертификат безопасности сайта не является доверенным?
Как исправить ошибку сертификата SSL
- Диагностируйте проблему с помощью онлайн-инструмента.
- Установите промежуточный сертификат на свой веб-сервер.
- Создайте новый запрос на подпись сертификата.
- Перейдите на выделенный IP-адрес.
- Получите подстановочный SSL-сертификат.
- Измените все URL-адреса на HTTPS.
- Обновите свой сертификат SSL.
Как мне доверять сертификату в Android?
В Android (версия 11) выполните следующие действия:
- Открыть настройки.
- Нажмите «Безопасность».
- Нажмите «Шифрование и учетные данные».
- Нажмите «Надежные учетные данные». Это отобразит список всех доверенных сертификатов на устройстве.
Где хранятся сертификаты?
Каждый сертификат на вашем бизнес-компьютере хранится в централизованное место, называемое диспетчером сертификатов. Внутри диспетчера сертификатов вы можете просматривать информацию о каждом сертификате, включая его назначение, и даже удалять сертификаты.
Модераторы: Olej, bellic, adminn, vikos
-
Olej
- Писатель
- Сообщения: 17617
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Astra Linux
Код: Выделить всё
root@astra:~# mount | grep media
/dev/sr0 on /media/cdrom0 type iso9660 (ro,nosuid,nodev,noexec,relatime,nojoliet,check=s,map=n,blocksize=2048,user)
Код: Выделить всё
root@astra:/media/cdrom0# pwd
/media/cdrom0
root@astra:/media/cdrom0# ls -l
итого 71931
-r--r--r-- 1 root root 763 Янв 21 19:01 AUTORUN.INF
-r-xr-xr-x 1 root root 6384 Май 13 16:51 autorun.sh
dr-xr-xr-x 2 root root 792 Май 13 16:58 cert
dr-xr-xr-x 2 root root 1824 Май 13 16:58 NT3x
dr-xr-xr-x 2 root root 2652 Май 13 16:58 OS2
-r-xr-xr-x 1 root root 4821 Май 13 16:51 runasroot.sh
-r--r--r-- 1 root root 547 Май 13 16:58 TRANS.TBL
-r--r--r-- 1 root root 3729045 Май 13 16:50 VBoxDarwinAdditions.pkg
-r--r--r-- 1 root root 3949 Май 13 16:50 VBoxDarwinAdditionsUninstall.tool
-r-xr-xr-x 1 root root 9696690 Май 13 16:52 VBoxLinuxAdditions.run
-r--r--r-- 1 root root 20642816 Май 13 16:52 VBoxSolarisAdditions.pkg
-r-xr-xr-x 1 root root 26277000 Май 13 16:57 VBoxWindowsAdditions-amd64.exe
-r-xr-xr-x 1 root root 270104 Май 13 16:51 VBoxWindowsAdditions.exe
-r-xr-xr-x 1 root root 13015696 Май 13 16:54 VBoxWindowsAdditions-x86.exe
И именно только так:
Код: Выделить всё
root@astra:/media/cdrom0# sh VBoxLinuxAdditions.run
Verifying archive integrity... All good.
Uncompressing VirtualBox 6.0.8 Guest Additions for Linux........
VirtualBox Guest Additions installer
Copying additional installer modules ...
Installing additional modules ...
VirtualBox Guest Additions: Starting.
VirtualBox Guest Additions: Building the VirtualBox Guest Additions kernel
modules. This may take a while.
VirtualBox Guest Additions: To build modules for other installed kernels, run
VirtualBox Guest Additions: /sbin/rcvboxadd quicksetup <version>
VirtualBox Guest Additions: or
VirtualBox Guest Additions: /sbin/rcvboxadd quicksetup all
VirtualBox Guest Additions: Building the modules for kernel 4.15.3-1-hardened.
update-initramfs: Generating /boot/initrd.img-4.15.3-1-hardened
VirtualBox Guest Additions: Running kernel modules will not be replaced until
the system is restarted
И вот после этого размер экрана виртуальной Astra Linux меняется динамически, в произвольных размерах…
P.S. Я написал «только так», потому что другие способы запуска скрипта, что работает во всех других Linux, здесь не срабатывает из-за регламента прав доступа (с этим нужно ещё разбираться):
Код: Выделить всё
root@astra:/media/cdrom0# ./VBoxLinuxAdditions.run
bash: ./VBoxLinuxAdditions.run: Отказано в доступе
-
Olej
- Писатель
- Сообщения: 17617
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Astra Linux
Непрочитанное сообщение
Olej » 09 июн 2019, 14:55
Olej писал(а):И вот после этого размер экрана виртуальной Astra Linux меняется динамически, в произвольных размерах…
Вот он, такой … в вытянутых пропорциях :
- Вложения
-
-
Olej
- Писатель
- Сообщения: 17617
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Astra Linux
Непрочитанное сообщение
Olej » 09 июн 2019, 14:57
Ну что ж тут сказать?
Я (пока?) очень впечатлён тем как прилично разработчики сделали эту версию Astrs Linux!
Olej писал(а):Интерес именно к Astra Linux (в том чем оно отличается от всех других Linux) вызывают 2 позиции:
— мандатный способ регламентации прав доступа … как оно у них сделано?
— тот уровень «статуса» Astra Linux, который неожиданно приобретён системой по РФ — в сравнении со всеми (а их много) прочими Linux-базируемыми дистрибутивами российского производства … ну, пусть не производства, а сборки.
Вот достаточно интересный PDF документ СПРАВКАОБ ОСОБЕННОСТЯХ И ОСНОВНЫХ ФУНКЦИОНАЛЬНЫХ ВОЗМОЖНОСТЯХ ОПЕРАЦИОННОЙ СИСТЕМЫ — здесь все сертификаты ведомств, с картинками…
-
Olej
- Писатель
- Сообщения: 17617
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Astra Linux
Непрочитанное сообщение
Olej » 09 июн 2019, 15:05
Ну, и к вопросу требуемых размеров диска для инсталляции … в такой комплектации:
Код: Выделить всё
olej@astra:~$ df
Файловая система 1K-блоков Использовано Доступно Использовано% Cмонтировано в
udev 1996128 0 1996128 0% /dev
tmpfs 404152 8120 396032 3% /run
/dev/sda1 11287752 5549728 5144924 52% /
tmpfs 2020760 83584 1937176 5% /dev/shm
tmpfs 5120 4 5116 1% /run/lock
tmpfs 2020760 0 2020760 0% /sys/fs/cgroup
tmpfs 404152 0 404152 0% /run/user/999
tmpfs 404152 12 404140 1% /run/user/1000
/dev/sr0 84534 84534 0 100% /media/cdrom0
Т.е. порядка 5.5Gb.
Ну и:
Код: Выделить всё
olej@astra:~$ lsb_release -a
No LSB modules are available.
Distributor ID: AstraLinuxCE
Description: Astra Linux CE 2.12.13 (Orel)
Release: 2.12.13
Codename: orel
-
Olej
- Писатель
- Сообщения: 17617
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Astra Linux
Непрочитанное сообщение
Olej » 09 июн 2019, 15:30
Olej писал(а):Интерес именно к Astra Linux (в том чем оно отличается от всех других Linux) вызывают 2 позиции:
— мандатный способ регламентации прав доступа … как оно у них сделано?
Возвращаемся сюда … к самому интересному месту… мандатное управление доступом…
Astra Linux Special Edition 1.6
Новый релиз подготовлен на базе Astra Linux Common Edition 2.12, используется ядро Линукс версии 4.15.
…
Мандатный контроль целостности. Расширены возможности мандатного контроля целостности (МКЦ). Вместо двух уровней целостности (версия 1.5) теперь доступно 8 уровней. Некоторые уровни распределены между системными средствами. Контроль целостности влияет на возможность изменения объектов операционной системы пользователем.
Astra Linux 2.12 Orel — избавляемся от стереотипов о российском ПО
Автор: Уваров А.С. 26.05.2019
…
Может показаться, что разработчики изобретают очередной велосипед, но это не так, обычные, «гражданские» системы, в том числе и Active Directory, применяют дискреционное (избирательное) управление доступом. Это предполагает, что у каждого объекта системы есть свой владелец, который и устанавливает права доступа к нему, также может быть суперпользователь (Администратор, root и т.д.) который может изменить владельца и права доступа к любому объекту.В структурах с конфиденциальной и секретной информацией применяется иной подход — мандатное (принудительное) управление доступом, основанное на имеющихся у субъекта уровнях доступа.
Простой пример: допустим Василий на некоторое время был переведен в отдел A, получил на файловом сервере свою папку и работал в ней с документами, потом вернулся в отдел B. При избирательном доступе Василий потеряет доступ к папкам отдела А, но сохранит доступ к собственной папке и файлам, так как является их владельцем. При мандатном доступе, покинув отдел А от потеряет право доступа к документам с отметкой «для служебного использования», в том числе и к тем, что он создал.
Astra Linux.Мандатное разграничение доступа
Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная[1] мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель)[2], которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде ) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы[3].
В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[4].
Указанная математическая модель реализована в программном коде специалистами ОАО «НПО „РусБИТех“» и Академии ФСБ Росиии и верифицирована Институтом Системного программирования Российской Академии Наук. В результате дедуктивной верификации[5] модель была полностью формализована и верифицирована.[6]
В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.
P.S. (дописано позже) Но как мне подсказали на форуме Astra Linux:
Только в SE
Т.е. мандатное управление доступом есть только в Astra Linux Special Edition (платных, дорогих и регламентируемых релизах, для спецприменений: Смоленск, Ленинград и т.д.), а в Astra Linux Common Edition (Орёл) этого нет, и посмотреть не представляется возможным.
Вопрос снят…
-
Olej
- Писатель
- Сообщения: 17617
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Astra Linux
Непрочитанное сообщение
Olej » 09 июн 2019, 16:19
По поводу репозиториев обновления Astra … есть такое критически важное объявление в VK Astra Linux:
23 мая в 21:44
Уважаемые пользователи.
Сообщаем вам, что в репозитории Astra Linux Common Edition (релиз Орел) появилась новая ветка репозитория testing.
Таким образом сейчас представлено 4 ветки:
• frozen: старые релизы без обновлений;
• stable: текущий стабильный релиз, для которого выходят обновления;
• testing: тестовые обновления для стабильного релиза;
• current: нестабильная ветка (в ближайшее время серьёзно обновится);
‼Соответственно, просим всех, кто сидит на ветке current, перейти на ветку stable, прописав в /etc/apt/source.list ветку stable ‼
deb https://download.astralinux.ru/astra/stable/orel/repo.. orel main contrib non-free
или
deb https://mirrors.edge.kernel.org/astra/stable/orel/rep.. orel non-free contrib main
что бы избежать обновления до нестабильной системы.
Тестовые обновления из ветки testing до перевода их в стабильную ветку просим применять с аккуратностью, учитывая их статус.
Но в дистрибутивном образе (ISO) по прежнему торчит:
Код: Выделить всё
olej@astra:/etc/apt$ cat /etc/apt/sources.list
deb https://download.astralinux.ru/astra/current/orel/repository/ orel main contrib non-free
#deb http://mirror.yandex.ru/astra/current/orel/repository/ orel main contrib non-free
И здесь нужно сменить (с правами root) «current» на «stable»!
После чего:
Код: Выделить всё
olej@astra:/etc/apt$ sudo apt update
[sudo] пароль для olej:
Пол:1 https://download.astralinux.ru/astra/stable/orel/repository orel InRelease [11,5 kB]
Пол:2 https://download.astralinux.ru/astra/stable/orel/repository orel/main i386 Packages [191 kB]
Пол:3 https://download.astralinux.ru/astra/stable/orel/repository orel/main amd64 Packages [3.840 kB]
Пол:4 https://download.astralinux.ru/astra/stable/orel/repository orel/contrib amd64 Packages [7.635 B]
Пол:5 https://download.astralinux.ru/astra/stable/orel/repository orel/contrib i386 Packages [1.732 B]
Пол:6 https://download.astralinux.ru/astra/stable/orel/repository orel/non-free i386 Packages [1.800 B]
Пол:7 https://download.astralinux.ru/astra/stable/orel/repository orel/non-free amd64 Packages [41,9 kB]
Получено 4.096 kБ за 3с (1.205 kБ/c)
Чтение списков пакетов… Готово
Построение дерева зависимостей
Чтение информации о состоянии… Готово
Все пакеты имеют последние версии.
-
Olej
- Писатель
- Сообщения: 17617
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Astra Linux
Непрочитанное сообщение
Olej » 09 июн 2019, 17:17
Olej писал(а):3. вы на их форуме Astra Linux присутствуете?: https://forum.astralinux.ru/ — там очень приличный форум, объясняет многие конкретные вопросы относительно Astra Linux.
Подключаюсь к их форуму, не 1-й день уже, из Linux + Opera 60.0.3255.151 — всё ОК, замечательно…
Попробовал подключиться к тому же адресу из Firefox свеже установленного Astra Linux CE, без каких-либо изменений после установки (час назад только установил Astra) — и получаю странную ошибку (копирую):
Ваше соединение не защищено
Владелец forum.astralinux.ru неправильно настроил свой веб-сайт. Чтобы защитить вашу информацию от кражи, Firefox не соединился с этим веб-сайтом.forum.astralinux.ru использует недействительный сертификат безопасности. К сертификату нет доверия, так как сертификат его издателя неизвестен. Сервер мог не отправить соответствующие промежуточные сертификаты. Может понадобиться импортировать дополнительный корневой сертификат. Код ошибки: SEC_ERROR_UNKNOWN_ISSUER
-
Olej
- Писатель
- Сообщения: 17617
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Astra Linux
Непрочитанное сообщение
Olej » 09 июн 2019, 19:04
Попытался установить в Astra Linux CE — Opera:
Код: Выделить всё
olej@astra:~/Загрузки$ sudo dpkg -i opera-stable_60.0.3255.151_amd64.deb
[sudo] пароль для olej:
Выбор ранее не выбранного пакета opera-stable.
(Чтение базы данных … на данный момент установлено 171163 файла и каталога.)
Подготовка к распаковке opera-stable_60.0.3255.151_amd64.deb …
Распаковывается opera-stable (60.0.3255.151) …
dpkg: зависимости пакетов не позволяют настроить пакет opera-stable:
opera-stable зависит от libcurl3 (>= 7.16.2) | libcurl4 (>= 7.58.0), однако:
Пакет libcurl3 не установлен.
Пакет libcurl4 не установлен.
dpkg: ошибка при обработке пакета opera-stable (--install):
проблемы зависимостей — оставляем не настроенным
Обрабатываются триггеры для menu (2.1.47-astra1) …
Обрабатываются триггеры для mime-support (3.60) …
Обрабатываются триггеры для shared-mime-info (1.8-1) …
Обрабатываются триггеры для hicolor-icon-theme (0.15-1) …
При обработке следующих пакетов произошли ошибки:
opera-stable
olej@astra:~/Загрузки$
olej@astra:~/Загрузки$ apt search libcurl*
Сортировка… Готово
Полнотекстовый поиск… Готово
-
Olej
- Писатель
- Сообщения: 17617
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Astra Linux
Непрочитанное сообщение
Olej » 09 июн 2019, 20:24
2zer0 писал(а):
PPPPS добавил минтовский репозиторий + ключ и всё стало ещё лучше ))
файл /etc/apt/sources.list + строка
deb http://packages.linuxmint.com/ sonya main upstream import backport romeo
sudo apt-key adv —keyserver keyserver.ubuntu.com —recv-keys A6616109451BBBF2
Пытаюсь добавить репозиторий Mint 18.2:
Код: Выделить всё
root@astra:/media/cdrom0# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys A6616109451BBBF2
Executing: /tmp/apt-key-gpghome.QJ4vNCgUGM/gpg.1.sh --keyserver keyserver.ubuntu.com --recv-keys A6616109451BBBF2
gpg: key A6616109451BBBF2: public key "Linux Mint Repository Signing Key <root@linuxmint.com>" imported
gpg: Total number processed: 1
gpg: imported: 1
Код: Выделить всё
root@astra:/etc/apt/sources.list.d# pwd
/etc/apt/sources.list.d
root@astra:/etc/apt/sources.list.d# touch mint.list
root@astra:/etc/apt/sources.list.d# cat mint.list
deb http://packages.linuxmint.com/sonya main upstream import backport romeo
Ничего хорошего из этого не получилось:
Код: Выделить всё
root@astra:/etc/apt/sources.list.d# apt update
Сущ:1 https://download.astralinux.ru/astra/stable/orel/repository orel InRelease
Игн:2 http://packages.linuxmint.com/sonya main InRelease
Ошк:3 http://packages.linuxmint.com/sonya main Release
404 Not Found [IP: 68.235.39.11 80]
Чтение списков пакетов… Готово
E: Репозиторий «http://packages.linuxmint.com/sonya main Release» не содержит файла Release.
N: Обновление из этого репозитория нельзя выполнить безопасным способом, и поэтому по умолчанию он отключён.
N: Смотрите справочную страницу apt-secure(8) о создании репозитория и настройке пользователя.
-
Olej
- Писатель
- Сообщения: 17617
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Astra Linux
Непрочитанное сообщение
Olej » 09 июн 2019, 20:33
Olej писал(а):
Код: Выделить всё
root@astra:/etc/apt/sources.list.d# cat mint.list deb http://packages.linuxmint.com/sonya main upstream import backport romeo
Всё-таки там должен быть пробел:
Код: Выделить всё
root@astra:/etc/apt/sources.list.d# cat mint.list
deb http://packages.linuxmint.com/ sonya main upstream import backport romeo
Код: Выделить всё
root@astra:/etc/apt/sources.list.d# apt update
Сущ:1 https://download.astralinux.ru/astra/stable/orel/repository orel InRelease
Игн:2 http://packages.linuxmint.com sonya InRelease
Пол:3 http://packages.linuxmint.com sonya Release [24,1 kB]
Пол:4 http://packages.linuxmint.com sonya Release.gpg [819 B]
Пол:5 http://packages.linuxmint.com sonya/main amd64 Packages [18,2 kB]
Пол:6 http://packages.linuxmint.com sonya/main i386 Packages [17,5 kB]
Пол:7 http://packages.linuxmint.com sonya/upstream i386 Packages [45,0 kB]
Пол:8 http://packages.linuxmint.com sonya/upstream amd64 Packages [45,7 kB]
Пол:9 http://packages.linuxmint.com sonya/import amd64 Packages [8.261 B]
Пол:10 http://packages.linuxmint.com sonya/import i386 Packages [8.273 B]
Пол:11 http://packages.linuxmint.com sonya/backport amd64 Packages [72,9 kB]
Пол:12 http://packages.linuxmint.com sonya/backport i386 Packages [73,5 kB]
Получено 314 kБ за 7с (40,4 kБ/c)
Чтение списков пакетов… Готово
Построение дерева зависимостей
Чтение информации о состоянии… Готово
Может быть обновлено 5 пакетов. Запустите «apt list --upgradable» для их показа.