Ошибка нет доверия сертификату для dl astralinux ru

Подготовка к установке обновления

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

df -h /boot

Для установки настоящего обновления требуется не менее 100 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ).

См. статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.

В случаях, если интернет-репозиторий Astra-Linux CE по каким-либо причинам не представляется возможным использовать, можно создать собственный репозиторий.

Для установки обновления с использованием интернет-репозитория Astra Linux CE необходимо выполнить следующие действия:

  1. Подключить интернет-репозиторий Astra-Linux CE (если ранее он не был подключен), для этого:

    1. для использования сетевых репозиториев, работающих по протоколу HTTPS, установить пакеты apt-transport-https и ca-certificates командой: 

      sudo apt install apt-transport-https ca-certificates

      Кроме того, для подключения интернет-репозиториев Astra-Linux CE можно использовать протокол HTTP.

    2. в файле /etc/apt/sources.list добавить (раскомментировать) строку:

      • при использовании протокола HTTPS

        deb https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ orel main contrib non-free
      • при использовании протокола HTTP 

        deb http://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ orel main contrib non-free
  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    sudo apt update

  3. Установить обновление командой:

    sudo apt dist-upgrade

Завершение установки обновления

После выполнения обновления перезагрузить систему.

Действия после установки обновления

Описанные ниже действия не обязательны и выполняются по необходимости.

Добавление корневого сертификата удостоверяющего центра Минцифры России

Добавление корневого сертификата необходимо выполнить после установки пакета ca-certificates-local и для каждого пользователя.

Добавление корневого сертификата в Firefox

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
  2. В адресную строку ввести «about:preferences» и нажать клавишу <Enter>.
  3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
  4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать…].
  5. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
  6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
  7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

The Ministry of Digital Development and Communications
	Russian Trusted Root CA

Добавление корневого сертификата в Chromium

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
  2. В адресную строку ввести «chrome://settings/certificates» и нажать клавишу <Enter>.
  3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
  4. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
  5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:

org-The Ministry of Digital Development and Communications
	Russian Trusted Root CA

Подключение интернет-репозиториев предыдущих обновлений Astra Linux CE

На текущий момент поддерживаются следующие версии обновлений Astra Linux CE:

  • 2.12.13
  • 2.12.14
  • 2.12.21
  • 2.12.22
  • 2.12.29
  • 2.12.40
  • 2.12.42
  • 2.12.43
  • 2.12.44

Если необходимо использовать предыдущие версии репозиториев, то в файле /etc/apt/sources.list необходимо удалить (закомментировать) строку с описанием текущего актуального репозитория и добавить следующую строку:

  • при использовании протокола HTTPS

    deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.<номер_обновления>/repository/ orel main contrib non-free
  • при использовании протокола HTTP 

    deb http://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.<номер_обновления>/repository/ orel main contrib non-free

Например, для Astra Linux CE 2.12.29 (при использовании протокола HTTPS) строка будет иметь вид:

deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.29/repository/ orel main contrib non-free

После добавления интернет-репозитория необходимо выполнить повторную синхронизацию файлов описаний пакетов с их источником:

sudo apt update

Итак, ОС Astra Linux установлена.

Теперь нужно подключить нужные репозитории и обновить систему.

Будем  иметь в виду, что у меня специальная редакция ОС (“Смоленск”), поэтому постараюсь без лишней  необходимости не использовать сторонние репозитории, или репозитории, расположенные в интернете.

Кроме того, каждый раз вставлять DVD-диск в сервер для установки какой-нибудь программы мне не хочется

Что делать? Конечно, скопировать содержимое установочного диска на локальный диск сервера и подключить его в качестве репозитория.

Шаг 1. Запускаем терминал.

Шаг 2. Производим предварительную подготовку.

Т.к. у нас суперпользователь root без пароля, зададим ему пароль.

mihanik@astra-srv:~$ sudo su 
root@astra-srv:/home/mihanik# passwd 
Новый пароль :  
Повторите ввод нового пароля :  
passwd: пароль успешно обновлён 
root@astra-srv:/home/mihanik# 

Шаг 3. Создаём локальный репозиторий из установочного диска.

Для этого вставляем установочный диск в привод и копируем его содержимое в папку на диске. Правда, придётся предварительно установить rsync, т.к. эта программа по умолчанию не установлена в системе.

mount /dev/sr0 /media/cdrom0/
apt-cdrom add
apt -y install rsync
mkdir /opt/distr
mkdir /opt/distr/inst_repo/
rsync -a --progress /media/cdrom0/ /opt/distr/inst_repo/

Шаг 4. Создаём локальный репозиторий из диска для разработчиков

Если у вас нет диска разработчиков на флешке, скачиваем его из интернета

cd /home/mihanik/Загрузки
wget --no-check-certificate https://dl.astralinux.ru/astra/stable/smolensk/international-se-version/devel-smolensk-1.6-09.07.2019_14.19.iso
mkdir /mnt/iso
mount -o loop /home/mihanik/Загрузки/devel-smolensk-1.6-09.07.2019_14.19.iso /mnt/iso/
mkdir /opt/distr/dev_repo
rsync -a --progress /mnt/iso/ /opt/distr/dev_repo/
umount /mnt/iso

Шаг 5. Создаём локальный репозиторий из диска обновлений.

Если у вас нет диска с обновлениями на флешке, скачиваем его из интернета. На момент написания статьи последнее обновление имело имя 20210730SE16

cd /home/mihanik/Загрузки
wget --no-check-certificate https://download.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210730SE16/20210730SE16.iso
mkdir /mnt/iso
mount -o loop /home/mihanik/Загрузки/20210730SE16.iso /mnt/iso/
mkdir /opt/distr/upd_20210730SE16
rsync -a --progress /mnt/iso/ /opt/distr/upd_20210730SE16/
umount /mnt/iso

Шаг 6. Подключаем созданные репозитории.

Для этого редактируем файл /etc/apt/sources.list.

mcedit /etc/apt/sources.list

Приводим его к следующему виду

## deb cdrom:[OS Astra Linux 1.6 smolensk - amd64 DVD ]/ smolensk contrib main non-free
deb file:///opt/distr/inst_repo smolensk contrib main non-free
deb file:///opt/distr/dev_repo smolensk contrib main non-free
deb file:///opt/distr/upd_20210730SE16 smolensk contrib main non-free

Обратите внимание, первую строчку, которая уже была в файле, я закомментировал. Действительно, зачем нам каждый раз вставлять DVD с установочным диском? 😉

Шаг 7. Обновляем систему.

Для этого сначала обновляем список подключенных репозиториев.

apt update

Теперь по поводу обновления системы…

У apt есть ключ upgrade, который выполняет только обновление одной версии пакета на другую, более свежую. Он не будет устанавливать или удалять пакеты, даже если это необходимо для обновления других. Это наиболее безопасный и надежный вариант обновления, но он может обновить не все. Например, с ее помощью не обновить ядро до более свежей версии.

Ключ dist-upgrade или full-upgrade (это одно и то же) в дополнение к upgrade обрабатывает все изменения зависимостей для новых пакетов и во время работы может удалять ненужные и ставить необходимые пакеты для обновления.

Использование ключа dist-upgrade несколько  опасно, я так несколько раз получал повреждённую систему.

Итак, обновляем систему

apt -y upgrade

Придётся немного подождать.

(Моё субъективное мнение: Astra Linux обновляяется уж очень долго. Red Hat или Centos обновляются в 2-3 раза быстрее.)

После обновления рекомендую перезагрузить сервер

reboot

PS.

Так как я планирую установить ещё и модули дополнений для гостевой ОС от VirtualBox, установлю минимальный набор необходимых для этого пакетов

apt -y install gcc make python
apt -y install linux-headers-4.15-generic 

Ну, и собственно, ставлю сами дополнения гостевой ОС

bash /media/cdrom0/autorun.sh
reboot

Теперь точно всё.

🙂


Содержание

  1. Обновление корневых сертификатов на Linux
  2. Установка из репозитория
  3. Загрузка пакета с сертификатами
  4. Установка вручную
  5. Операционные системы Astra Linux
  6. Операционные системы Astra Linux
  7. Как добавить сертификат Центра Сертификации (CA) в доверенные в Linux
  8. Как добавить корневой сертификат в доверенные в Linux на уровне системы
  9. Добавление сертификатов в базу данных NSS
  10. Как добавить корневой сертификат в доверенные в Linux в веб браузеры
  11. Операционные системы Astra Linux

Обновление корневых сертификатов на Linux

От корневых сертификатов в системе может зависеть правильная работа при обращении к ресурсам, которые работают по зашифрованному каналу связи. Если данные сертификаты устареют, мы можем столкнуться с рядом проблем:

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания.

Установка из репозитория

Самый простой способ, который нужно попробовать, установить сертификаты из официального репозитория системы. В зависимости от ее типа, наши команды будут немного отличаться.

а) для систем на базе DEB (Debian, Ubuntu, Mint):

apt install ca-certificates

б) для систем на базе RPM (Rocky Linux, CentOS):

yum install ca-certificates

Если нам повезет и в репозитории будут обновленные корневые центры, наша работа закончена. Иначе, устанавливаем сертификаты вручную.

Загрузка пакета с сертификатами

Установка из репозитория может не дать нужного эффекта, если в нем находятся не самые свежие сертификаты или наша система сильно устарела или не имеет выхода в Интернет.

В этом случае нам нужно загрузить пакет с корневыми сертификатами вручную. Разберем пример на системе Ubuntu. В официальном репозитории или в поисковой системе находим пакет для загрузки, например, по ссылке ftp.ru.debian.org/debian/pool/main/c/ca-certificates копируем ссылку на файл с последней версией сертификатов, и загружаем его на наш компьютер:

Полученный пакет устанавливаем в системе:

И обновляем корневые сертификаты:

Установка вручную

Выше рассмотрены самые удобные способы обновления корневых сертификатов. Но мы можем столкнуться с ситуацией, когда в предоставляемых официальных пакетах не окажется обновленного сертификата. Например, на момент написания данной инструкции у систем на базе Deb не оказалось нового сертификата для Let’s Encrypt, а старый закончил свое действие 30 сентября 2022 года.

В данном случае, мы можем установить любой нужный нам сертификат руками. Для этого скачала находим его и копируем — приведем пример с Let’s Encrypt. На странице letsencrypt.org/ru/certificates мы можем увидеть ссылки на корневые сертификаты. Допустим, нам нужен Let’s Encrypt Authority X3 (Signed by ISRG Root X1), который доступен по ссылке letsencrypt.org/certs/letsencryptauthorityx3.pem.txt. Копируем последовательность и создаем файл на компьютере:

——BEGIN CERTIFICATE——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——END CERTIFICATE——

Открываем на редактирование файл:

И добавляем в него строку с указанием на созданный файл:

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Как добавить сертификат Центра Сертификации (CA) в доверенные в Linux

Как добавить корневой сертификат в доверенные в Linux на уровне системы

Сертификат с расширением .crt можно открыть двойным кликом и просмотреть его содержимое:

gcr viewer

Если вы работаете в системе от обычного пользователя (не root), то кнопка «Импортировать» будет недоступна.

Чтобы разблокировать кнопку «Импортировать», выполните следующую команду:

sudo gcr viewer

Данный способ может не сработать, поэтому рассмотрим, как добавить доверенные корневые центры сертификации в командной строке.

Суть метода очень проста:

Пути и команды в разных дистрибутивах Linux чуть различаются.

Просмотреть Subject всех корневых CA сертификатов можно уже знакомой командой:

Для демонстрации я добавлю сертификат с Common Name, включающим «HackWare», тогда для проверки, имеется ли сертификат с таким именем среди корневых CA, я могу использовать команду:

Для добавления своего корневого CA в доверенные в Debian, Kali Linux, Linux Mint, Ubuntu и их производных:

1. Проверьте, существует ли директория /usr/local/share/ca-certificates:

Если её ещё нет, то создайте:

Сертификат должен быть в формате PEM (обычно так и есть) и иметь расширение .crt — если расширение вашего сертификата .pem, то достаточно просто поменять на .crt.

2. Скопируйте ваш сертификат командой вида:

3. Запустите следующую команду для обновления общесистемного списка:

update ca certificates

Проверим наличие нашего CA сертификата среди доверенных:

Сертификат успешно найден:

hackware ca subject

Для добавления своего корневого CA в доверенные в Arch Linux, BlackArch и их производных:

1. Выполните команду вида:

2. Обновите общесистемный список доверенных CA:

Чтобы удалить этот сертификат:

Добавление сертификатов в базу данных NSS

Некоторые приложения используют базу данных NSS, и у вас может быть необходимость добавить доверенные CA в неё.

Последующие изменения повлияют только на приложения, использующие базу данных NSS и учитывающие файл /etc/pki/nssdb.

1. Сначала создайте структуру каталогов для системных файлов базы данных NSS:

Затем создайте новый набор файлов базы данных. Пароль нужен для того, чтобы базу данных могли редактировать только люди, которые его знают. Если все пользователи в системе (и с доступом к резервным копиям) заслуживают доверия, этот пароль можно оставить пустым.

2. Убедитесь, что файлы базы данных доступны для чтения всем:

Примечание: вышеприведённые инструкции применимы только в том случае, если пока не существует общесистемного набора файлов базы данных NSS. Если он уже существует, то важно знать пароль для этого набора баз данных (конечно, если он защищён паролем).

3. Теперь, когда доступны файлы базы данных NSS, добавьте сертификат в хранилище следующим образом:

Биты доверия, используемые в приведённом выше примере, помечают сертификат как надёжный для подписи сертификатов, используемых для связи SSL/TLS. Имя (указывается после опции -n), используемое в команде, можно выбрать любое, но убедитесь, что его легко отличить от других сертификатов в магазине.

Аналогичные инструкции можно использовать для включения сертификата только в базу данных NSS конкретного пользователя:

Удаление из файлов базы данных NSS

Чтобы удалить сертификат из любой базы данных NSS, используйте команду certutil следующим образом. В этом примере используется общесистемное расположение базы данных NSS, но его можно легко изменить на пользовательское

Как добавить корневой сертификат в доверенные в Linux в веб браузеры

Chrome, Chromium, Firefox и созданные на их основе веб браузеры доверяют корневым сертификатам, установленным на уровне системы. То есть вам достаточно добавить в доверенные CA сертификат как это показано в предыдущем разделе.

Причём эти браузеры хотя и используют NSS, они игнорируют общесистемные сертификаты NSS, которые можно добавить в файл /etc/pki/nssdb!

Тем не менее приложения, которые используют NSS (такие как Firefox, Thunderbird, Chromium, Chrome) хранят свои списки доверенных сертификатов в файлах cert9.db. Чтобы добавить свой сертификат в каждый из этих файлов можно использовать скрипт.

Сохранить следующий код в файл CAtoCert9.sh:

В этом файле измените значение certfile на имя файла вашего сертификата и значение certname на имя вашего сертификата, сохраните и закройте файл.

Затем запустите его следующим образом:

В результате в домашней папке пользователя будут найдены все файлы cert9.db и в каждый из них будет добавлен указанный CA сертификат.

Вы можете добавить CA сертификаты в графическом интерфейсе каждого браузера.

ca chrome

ca chromium

Нажмите кнопку «Импорт»:

chromium ca import

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

chrome import ca

ca

ca root

Нажмите кнопку «Импортировать»:

firefox import ca

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

firefox import root ca

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Содержание

  1. Windows admin blog
  2. Полезные команды cmd, powershell, администрирование, фичи и решения проблем на win/winserver
  3. Установка корневого сертификата в Astra Linux
  4. Методика безопасности № 2022-0318СE212MD
  5. Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
  6. Подготовка к установке обновления
  7. Установка обновления
  8. Завершение установки обновления
  9. Добавление корневого сертификата удостоверяющего центра Минцифры России
  10. Добавление корневого сертификата в Firefox
  11. Добавление корневого сертификата в Chromium
  12. Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2
  13. Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)
  14. Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy
  15. Методика устранения угрозы атаки типа HTTP Request Smuggling
  16. Устранение риска эксплуатации уязвимости пакета liblog4j2-java
  17. Устранение риска эксплуатации уязвимости путем замены пакета
  18. Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup
  19. Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
  20. Подготовка к установке обновления
  21. Установка обновления
  22. Завершение установки обновления
  23. Добавление корневого сертификата удостоверяющего центра Минцифры России
  24. Добавление корневого сертификата в Firefox
  25. Добавление корневого сертификата в Chromium
  26. Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2
  27. Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)
  28. Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy
  29. Методика устранения угрозы атаки типа HTTP Request Smuggling
  30. Устранение риска эксплуатации уязвимости пакета liblog4j2-java
  31. Устранение риска эксплуатации уязвимости путем замены пакета
  32. Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup

Windows admin blog

Полезные команды cmd, powershell, администрирование, фичи и решения проблем на win/winserver

Установка корневого сертификата в Astra Linux

В данной статье рассмотрим, как установить корневой сертификат в системное хранилище доверенных корневых сертификатов. Здесь надо учесть, что браузеры после этого не станут автоматически доверять сайту, сертификат которого выпущен таким центром сертификации, потому что веб-браузеры в Linux используют свои собственные хранилища корневых сертификатов, поэтому будет затронута также тема добавления корневого сертификата в веб-браузеры. Инструкция подойдет не только для Astra Linux, но и для других Debian подобных дистрибутивов.

Установка корневого сертификата в системное хранилище

1. Сертификат должен иметь формат crt. Если формат сертификата отличается, необходимо выполнить его конвертацию. Так, например, для cer-сертификатов:

Если исходный сертификат имеет кодировку DER

Если исходный сертификат имеет кодировку PEM

В параметре out можно сразу указать полный путь сохранения сертификата, в противном случае, он сохранится в текущий каталог.

2. Скопировать полученный сертификат в папку /usr/share/ca-certificates:

вместо /path/certificate.crt подставить свой путь до сертификата и имя сертификата

Есть, однако, мнение, что сертификаты лучше копировать сюда: /usr/local/share/ca-certificates

3. Установить сертификат можно такой командой:

Выбрать «Да», нажать «ОК» (Enter), а в следующем окне отметить звездочками сертификаты, которые необходимо установить. При этом, если все успешно, вы должны увидеть информацию о добавлении вашего сертификата. В моем случае выполнялась установка сразу двух сертификатов (2 added)

Есть еще и вот такая команда:

По идее, делает все что нужно в автоматическом режиме.

По итогу, ваш сертификат должен будет находиться здесь: /etc/ssl/certs

Проверка установки

Способ 1

Короткая команда, которая выведет список доверенных сертификатов. В списке вы должны найти свой сертификат — значит он установился.

Способ 2

Для проверки есть такая конструкция:

Вместо СЕРТИФИКАТ вводим критерий поиска (точное имя сертификата), можно часть имени заменить символом * (например, Digi*) — но в случае со «звездочкой» поиск будет чувствителен к регистру (игнорирует ключ -i), если в имени серитфиката есть пробелы, то критерий поиска обязательно нужно взять в кавычки, даже при использовании маски поиска *.

Способ 3

Проверка посредством выполнения подключения к сайту. То есть, здесь мы выполняем не поиск по хранилищу сертификатов, а осуществляем подключение к сайту

Вместо example.site.com вводите ваш сайт, на котором нужно проверить работу сертификата.

Если в результате вывода где-то есть verify error, значит есть проблемы с доверием. Нужно детально изучить вывод — на какой сертификат ругается.

Способ 4

Может потребоваться установка пакета curl. В ответе должен быть получен код страницы — значит все ОК, доверие к сертификату есть, в противном случае, получим ошибку.

Импорт сертификата в профиль пользователя для Chromium-подобных браузеров

Можно автоматизировать данный процесс. Для выполнения команды должна быть установлена утилита certutil.

certificate_name — имя сертификата
certificate_file — имя файла сертификата, в примере подразумевается, что сертификат расположен в том же каталоге, что и скрипт

После выполнения данной команды, браузеры на Chromium движке под текущим пользователем будут доверять сертификату (Chrome, Chromium, Opera и т.п.).

Отдельно отмечу, что браузер Firefox использует собственную базу сертификатов, которая располагается в другом месте.

Те же самые действия можно проделать и через GUI браузера.

Настройки — Конфиденциальность и безопасность — Безопасность — Настроить сертификаты

Далее импортировать нужный сертификат в разделе «Центры сертификации»

Источник

Методика безопасности № 2022-0318СE212MD

Методика безопасности операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту — Astra Linux, предназначено для нейтрализации уязвимостей в информационных системах.

Настоящая методика безопасности содержит отдельные программные пакеты, в которые внесены изменения с целью устранения ряда уязвимостей ядра linux и пакета liblog4j2-java , а также методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2.

Кроме того, в пакет ca-certificates.deb репозитория Astra Linux добавлен сертификат удостоверяющего центра Минцифры России.

Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.

Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43

Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux

Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующей версии Astra Linux.

Подготовка к установке обновления

Установка обновления

Скачать tar-архив с помощью WEB-браузера по следующей ссылке: https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz, либо выполнив команду:

Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»:https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz_2022-03-24_14-25-18.tsp.sig.

Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

Распаковать архив, например, в каталог /mnt/ , выполнив команду:

Полученный в результате распаковки tar-архива каталог 2022-0318CE212MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/2022-0318CE212MD/ , необходимо:

с помощью текстового редактора в файле /etc/apt/sources.list добавить строку вида:

либо выполнить команду:

затем выполнить повторную синхронизацию файлов описаний пакетов с их источником:

Обновить пакеты, выполнив следующую команду:

Завершение установки обновления

После выполнения обновления необходимо перезагрузить систему.

Добавление корневого сертификата удостоверяющего центра Минцифры России

Добавление корневого сертификата необходимо выполнить для каждого пользователя после установки обновления пакетов.

Добавление корневого сертификата в Firefox

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
  2. В адресную строку ввести » about:preferences » и нажать клавишу .
  3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
  4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать. ].
  5. В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
  6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
  7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

Добавление корневого сертификата в Chromium

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
  2. В адресную строку ввести » chrome://settings/certificates » и нажать клавишу .
  3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
  4. В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
  5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:

Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2

Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)

Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых модулей, необходимо выполнить команду:

Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy

Для устранения этой уязвимости необходимо отключить поддержку прямого proxy в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ).

Параметр ProxyRequests должен иметь значение » off «. При этом, если это необходимо, реверс-прокси может остаться включенным.

В случае, если есть возможность отключить все режимы работы proxy, то необходимо выполнить команду:

После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:

Методика устранения угрозы атаки типа HTTP Request Smuggling

Для устранения этой уязвимости необходимо в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ) отключить поддержку протокола http/2 — из строки параметров Protocols (перечня используемых протоколов) следует исключить значение » h2 » (протокол HTTP/2).

После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:

Веб-сервер Apache необходимо настроить на работу по HTTPS.

Устранение риска эксплуатации уязвимости пакета liblog4j2-java

Уязвимости подвержен только класс JndiLookup из файла JAR /usr/share/java/log4j-core.jar , входящего в пакет liblog4j2-java, а приложения, использующие только файл JAR log4j-api без файла JAR log4j-core , не подвержены этой уязвимости. Уязвимость присутствует в пакетах log4j в версиях 2.14.1 и ниже.

Проверить, установлен ли пакет liblog4j2-java в системе и версию установленного пакета можно командой:

Если пакет не установлен, то компьютер не подвержен уязвимости.

Устранение риска эксплуатации уязвимости путем замены пакета

  1. Скачать обновлённый пакет liblog4j2-java_2.7-2+deb9u1_all.deb с помощью WEB-браузера по следующей ссылке;
  2. Перейти в каталог с полученным пакетом;

Установить обновлённый пакет командой:

Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup

Для оперативного устранения уязвимости без переустановки пакетов, с учетом того, что этой уязвимости подвержен только один класс из файла /usr/share/java/log4j-core.jar, следует удалить этот класс (JndiLookup) из пути к классам, для чего:

Установить пакет zip, если он не был ранее установлен, следующей командой:

Источник

Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux

Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующей версии Astra Linux.

Подготовка к установке обновления

Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).

Установка обновления

Скачать tar-архив с помощью WEB-браузера по следующей ссылке: https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz, либо выполнив команду:

Настоящее обновление безопасности подписано усиленной квалифицированной электронной подписью ООО «РусБИТех-Астра»:https://dl.astralinux.ru/astra/stable/2.12_x86-64/iso/2022-0318CE212MD.tar.gz_2022-03-24_14-25-18.tsp.sig.

Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов.

Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:

Распаковать архив, например, в каталог /mnt/ , выполнив команду:

sudo tar xzvf 2022-0318CE212MD.tar.gz -C /mnt/

Полученный в результате распаковки tar-архива каталог 2022-0318CE212MD подключить в качестве репозитория в соответствии с принятыми правилами использования репозиториев (см. Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов). Например, чтобы подключить в качестве локального репозитория каталог /mnt/2022-0318CE212MD/ , необходимо:

с помощью текстового редактора в файле /etc/apt/sources.list добавить строку вида:

либо выполнить команду:

echo «deb file:/mnt/2022-0318CE212MD/ orel main contrib non-free» | sudo tee -a /etc/apt/sources.list

затем выполнить повторную синхронизацию файлов описаний пакетов с их источником:

sudo apt update

Обновить пакеты, выполнив следующую команду:

sudo apt dist-upgrade

Завершение установки обновления

После выполнения обновления необходимо перезагрузить систему.

Добавление корневого сертификата удостоверяющего центра Минцифры России

Добавление корневого сертификата необходимо выполнить для каждого пользователя после установки обновления пакетов.

Добавление корневого сертификата в Firefox

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
  2. В адресную строку ввести » about:preferences » и нажать клавишу .
  3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
  4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать. ].
  5. В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
  6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
  7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

Добавление корневого сертификата в Chromium

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
  2. В адресную строку ввести » chrome://settings/certificates » и нажать клавишу .
  3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
  4. В открывшемся окне импорта выбрать файл /usr/share/ca-certificates/mozilla/rootca_MinDDC_rsa2022.crt и нажать на кнопку [Открыть].
  5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:

Методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2

Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)

Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых модулей, необходимо выполнить команду:

sudo apachectl -M

Если в перечне используемых модулей присутствует модуль с наименованием lua , то следует выполнить команду:

sudo a2dismod lua

После этого необходимо перезапустить веб-сервер Apache, выполнив команду:

sudo systemctl restart apache2

Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy

Для устранения этой уязвимости необходимо отключить поддержку прямого proxy в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ).

Параметр ProxyRequests должен иметь значение » off «. При этом, если это необходимо, реверс-прокси может остаться включенным.

В случае, если есть возможность отключить все режимы работы proxy, то необходимо выполнить команду:

sudo a2dismod proxy

После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:

sudo systemctl restart apache2

Методика устранения угрозы атаки типа HTTP Request Smuggling

Для устранения этой уязвимости необходимо в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf ) отключить поддержку протокола http/2 — из строки параметров Protocols (перечня используемых протоколов) следует исключить значение » h2 » (протокол HTTP/2).

После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:

sudo systemctl restart apache2

Веб-сервер Apache необходимо настроить на работу по HTTPS.

Устранение риска эксплуатации уязвимости пакета liblog4j2-java

Уязвимости подвержен только класс JndiLookup из файла JAR /usr/share/java/log4j-core.jar , входящего в пакет liblog4j2-java, а приложения, использующие только файл JAR log4j-api без файла JAR log4j-core , не подвержены этой уязвимости. Уязвимость присутствует в пакетах log4j в версиях 2.14.1 и ниже.

Проверить, установлен ли пакет liblog4j2-java в системе и версию установленного пакета можно командой:

apt policy liblog4j2-java

Если пакет не установлен, то компьютер не подвержен уязвимости.

Устранение риска эксплуатации уязвимости путем замены пакета

  1. Скачать обновлённый пакет liblog4j2-java_2.7-2+deb9u1_all.deb с помощью WEB-браузера по следующей ссылке;
  2. Перейти в каталог с полученным пакетом;

Установить обновлённый пакет командой:

sudo apt install ./liblog4j2-java_2.7-2+deb9u1_all.deb

Предупреждение «Download is performed unsandboxed«/»Загрузка без ограничения песочницы» при установке обновления можно игнорировать, подробнее здесь: Предупреждение «Download is performed unsandboxed»/»Загрузка без ограничения песочницы» при установке пакетов из файлов с помощью apt

Устранение риска эксплуатации уязвимости путем удаления уязвимого класса JndiLookup

Для оперативного устранения уязвимости без переустановки пакетов, с учетом того, что этой уязвимости подвержен только один класс из файла /usr/share/java/log4j-core.jar, следует удалить этот класс (JndiLookup) из пути к классам, для чего:

Установить пакет zip, если он не был ранее установлен, следующей командой:

sudo zip -d /usr/share/java/log4j-core.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

пример вывода после успешного выполнения команды:

Источник


0

1

1. Согласно информации из приложенной статьи ссылки репозиториев не должны быть доступны для Astra Linux Special Edition.

2. Доступность по протоколам HTTPS и HTTP обеспечивает доступность всех файлов репозитория по прямым ссылкам, что позволяет использовать для установки и обновления пакетов из этих репозиториев стандартные программы.

3. Помимо доступности протоколов HTTPS и HTTP для того, чтобы было возможно открыть ссылку в браузере и просмотреть содержимое репозитория так, как это делается в файловом менеджере, в репозитории должна быть включена автоматическая индексация содержимого (autoindex). Автоматическая индексация поддерживается в репозиториях Astra Linux Common Edition и не поддерживается в репозиториях Astra Linux Special Edition.

И я ничего не могу понять из этой белиберды.

Абзац 1 — с чего бы ссылки репозитариев «не должны быть доступны для Astra Linux Special Edition»? Ссылки вообще-то доступны кому угодно у кого есть интернет. Что значит недоступны для Astra Linux SE? Что они хотели сказать этим предложением?

Абзац 2 и 3 техподдержка тупо скопировала в разделе Протоколы передачи интернет-репозиториев Astra Linux с той же страницы официальной Wiki.

Вопрос: у нас возникло предположение, что это значит, что веб-сервер настроен так, что он не отдает HTML-представление списка файлов при запросе директорий, относящихся к 1.7. Но должен отдавать файлы если они запрашиваются напрямую.

Чтобы проверить это предположение, я проверил ссылки на файлы:

https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/Release
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/Release.gpg
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/binary-amd64/Packages.gz
https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/binary-amd64/Release

https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/Release
https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/Release.gpg
https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/binary-amd64/Packages.gz
https://dl.astralinux.ru/astra/stable/1.7_x86-64/main/binary-amd64/Release

Но все они возвращают 404. Может я неправильно предположил какие файлы могут быть. А может быть, путь, начинающийся с https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/… действительно не существует. Как это можно однозначно проверить?

Перемещено hobbit из general

В данной статье рассмотрим, как установить корневой сертификат в системное хранилище доверенных корневых сертификатов. Здесь надо учесть, что браузеры после этого не станут автоматически доверять сайту, сертификат которого выпущен таким центром сертификации, потому что веб-браузеры в Linux используют свои собственные хранилища корневых сертификатов, поэтому будет затронута также тема добавления корневого сертификата в веб-браузеры. Инструкция подойдет не только для Astra Linux, но и для других Debian подобных дистрибутивов.

Установка корневого сертификата в системное хранилище

1. Сертификат должен иметь формат crt. Если формат сертификата отличается, необходимо выполнить его конвертацию. Так, например, для cer-сертификатов:

Если исходный сертификат имеет кодировку DER

openssl x509 -inform DER -in /path/certificate.cer -out certificate.crt

Если исходный сертификат имеет кодировку PEM

openssl x509 -inform PEM -in /path/certificate.cer -out certificate.crt

В параметре out можно сразу указать полный путь сохранения сертификата, в противном случае, он сохранится в текущий каталог.

2. Скопировать полученный сертификат в папку /usr/share/ca-certificates:

sudo cp /path/certificate.crt /usr/share/ca-certificates

вместо /path/certificate.crt подставить свой путь до сертификата и имя сертификата

Есть, однако, мнение, что сертификаты лучше копировать сюда: /usr/local/share/ca-certificates

3. Установить сертификат можно такой командой:

sudo dpkg-reconfigure ca-certificates

Выбрать «Да», нажать «ОК» (Enter), а в следующем окне отметить звездочками сертификаты, которые необходимо установить. При этом, если все успешно, вы должны увидеть информацию о добавлении вашего сертификата. В моем случае выполнялась установка сразу двух сертификатов (2 added)

Есть еще и вот такая команда:

sudo update-ca-certificates

По идее, делает все что нужно в автоматическом режиме.

По итогу, ваш сертификат должен будет находиться здесь: /etc/ssl/certs

Проверка установки

Способ 1

trust list

Короткая команда, которая выведет список доверенных сертификатов. В списке вы должны найти свой сертификат — значит он установился.

Способ 2

Для проверки есть такая конструкция:

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep -i СЕРТИФИКАТ

Вместо СЕРТИФИКАТ вводим критерий поиска (точное имя сертификата), можно часть имени заменить символом * (например, Digi*) — но в случае со «звездочкой» поиск будет чувствителен к регистру (игнорирует ключ -i), если в имени серитфиката есть пробелы, то критерий поиска обязательно нужно взять в кавычки, даже при использовании маски поиска *.

Способ 3

openssl s_client -connect example.site.ru:443 -quiet

Проверка посредством выполнения подключения к сайту. То есть, здесь мы выполняем не поиск по хранилищу сертификатов, а осуществляем подключение к сайту

Вместо example.site.com вводите ваш сайт, на котором нужно проверить работу сертификата.

Если в результате вывода где-то есть verify error, значит есть проблемы с доверием. Нужно детально изучить вывод — на какой сертификат ругается.

Способ 4

curl https://example.site.com --cacert /etc/ssl/certs/ca-certificates.crt

Может потребоваться установка пакета curl. В ответе должен быть получен код страницы — значит все ОК, доверие к сертификату есть, в противном случае, получим ошибку.

Импорт сертификата в профиль пользователя для Chromium-подобных браузеров

Можно автоматизировать данный процесс. Для выполнения команды должна быть установлена утилита certutil.

certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n "certificate_name" -i certificate_file.crt

certificate_name — имя сертификата
certificate_file — имя файла сертификата, в примере подразумевается, что сертификат расположен в том же каталоге, что и скрипт

После выполнения данной команды, браузеры на Chromium движке под текущим пользователем будут доверять сертификату (Chrome, Chromium, Opera и т.п.).

Отдельно отмечу, что браузер Firefox использует собственную базу сертификатов, которая располагается в другом месте.

Те же самые действия можно проделать и через GUI браузера.

Настройки — Конфиденциальность и безопасность — Безопасность — Настроить сертификаты

Далее импортировать нужный сертификат в разделе «Центры сертификации»

Вы здесь

Участник
Здесь с 21.02.2022
Сообщений: 6

Сертификат Open Suse истек

Здравствуйте,
ОС Astra Linux. Устанавливаю драйвера для Lcard 24  и  не могу получить доступ к сайту, тк выдается сообщение:
» ОШИБКА: Нет доверия сертификату для «download.opensuse.org».
ОШИБКА: Срок действия сертификата «download.opensuse.org» истёк.
Сертификат ещё не активирован»

Запрос/ответ  выглядит так:
wget https://download.opensuse.org/repositor … elease.key
—2021-10-05 18:16:19—  https://download.opensuse.org/repositor … elease.key
Распознаётся download.opensuse.org (download.opensuse.org)… 195.135.221.134, 2001:67c:2178:8::13
Подключение к download.opensuse.org (download.opensuse.org)|195.135.221.134|:443… соединение установлено.

Вопрос, как установить драйвера Lcard для ОС Astra Linux?

  • Ответить
Сотрудник «Л Кард»
Здесь с 17.04.2014
Сообщений: 1,207

Re: Сертификат Open Suse истек

Здравствуйте.
А строка «2021-10-05 18:16:19» к чему относится? У Вас время на машине установлено корректное (что выдает команда date)? по сообщению «Сертификат ещё не активирован» создается впечатление, что текущее время машины стоит более раннее, чем время начала действия сертификата сайта, поэтому ОС не хочет считать его действительным.

  • Ответить
Участник
Здесь с 21.02.2022
Сообщений: 6

Re: Сертификат Open Suse истек

Дата действительно была не корректная, по причине «заморозилась» в гостевой ОС (тестирую в VMware), сейчас ее исправил, однако  ошибка осталась

  • Ответить
Сотрудник «Л Кард»
Здесь с 17.04.2014
Сообщений: 1,207

Re: Сертификат Open Suse истек

Так же пишет, что «Сертификат ещё не активирован» или как то сообщение изменилось?
На всякий случай проверьте установлен и обновлен ли пакет ca-certificates.
Также в принципе можно у wget отключить проверку сертификата добавив после wget —no-check-certificate, хотя странно, в браузер показывает, что сайт имеет корректный сертификат (Дата выдачи    28 декабря 2021 г., Срок действия 28 марта 2022 г.) и у меня на рабочей машине корректно данный запрос wget выполняется.

  • Ответить
Участник
Здесь с 21.02.2022
Сообщений: 6

Re: Сертификат Open Suse истек

Алексей L Card пишет:

Так же пишет, что «Сертификат ещё не активирован» или как то сообщение изменилось?
На всякий случай проверьте установлен и обновлен ли пакет ca-certificates.
Также в принципе можно у wget отключить проверку сертификата добавив после wget —no-check-certificate, хотя странно, в браузер показывает, что сайт имеет корректный сертификат (Дата выдачи    28 декабря 2021 г., Срок действия 28 марта 2022 г.) и у меня на рабочей машине корректно данный запрос wget выполняется.

Сообщение об активации исчезло.
ca-certificates проверил, обновление не требуется
wget —no-check-certificate. Отключение проверки сертификата помогло, ключ установился и далее встали сами  драйвера Lcard.
Спасибо.

  • Ответить

Быстрый ответ

Контакты

Быстрые ссылки

Связь с техподдержкой

Содержание

  1. Цепочка сертификатов не может быть построена до доверенного корневого сертификата
  2. Операционные системы Astra Linux
  3. Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A
  4. Почему возникает ошибка 0x800B010A
  5. Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A – как исправить

Цепочка сертификатов не может быть построена до доверенного корневого сертификата

При возникновении ошибки «Цепочка сертификатов не может быть построена до доверенного корневого сертификата.» необходимо выполнить проверку сертификата электронной подписи.

Алгоритм проверки электронной подписи:

В программном продукте 1С необходимо

1. перейти в раздел «Администрирование»

2. «Обмен электронными документами»

3. «Настройка электронной подписи и шифрования»

4. На вкладке «Сертификаты» открыть используемый сертификат

5. Нажать на кнопку «Проверить»

6. Ввести пароль закрытой части ключа и нажать «Проверить»

! Обращаем Ваше внимание, что программа сама увеличит количество * в поле «Пароль:» до 16 при проверке. Данное поведение является штатным и выступает дополнительной защитой конфиденциальных данных в виде количества символов в пароле. Проверка будет осуществлена на основании введенных Вами данных .


Если в ходе проверки напротив пункта «Корректность данных сертификата» возникнет сигнализирующий об ошибке красный символ, на него необходимо нажать для открытия технической информации об ошибке.

Если в технической информации об ошибке указано «Цепочка сертификатов не может быть построена до доверенного корневого

сертификата.» это обозначает, что цепочка сертификации выстроена не полностью. Данная ошибка чаще всего встречается при первичной установке сертификата. Для просмотра пути сертификации необходимо сохранить сертификат, указав директорию компьютера, где его можно будет найти. Сделать это можно из программы 1С открыв сертификат в настройках электронной подписи и шифрования и нажать кнопку «Сохранить в файл» и указать директорию операционной системы для сохранения файла.

После сохранения сертификата необходимо открыть его в сохраненной директории.

Открыть сертификат можно дважды нажав на него левой кнопкой мыши или правая кнопка мыши — Открыть.

На вкладке «Общие» в логотипе сертификата будет присутствовать сигнализирующий о проблеме желтый знак, а в сведениях о сертификате будет присутствовать надпись «Недостаточно информации для проверки этого сертификата».

Следующим этапом необходимо перейти во вкладку «Путь сертификации». Можно заметить, что путь сертификации состоит из одного личного сертификата, а в состоянии сертификата присутствует надпись «Невозможно обнаружить поставщика этого сертификата».

В компьютерной безопасности цифровые сертификаты проверяются с помощью цепочки доверия. Сертификаты удостоверяются ключами тех сертификатов, которые находятся выше в иерархии сертификатов. Наивысший сертификат в цепочке называется корневым.

Пример корректного пути сертификации

Решение: Восстановить путь сертификацию

В сертификате необходимо перейти во вкладку «Состав» и в верхнем окне необходимо найти и нажать на поле «Доступ к информации о центрах сертификации». В нижнем окне сертификата появится информация о доступах к сведениям центра сертификации, в котором необходимо найти ссылку, которая заканчивается на .cer или .crt. Данную ссылку необходимо скопировать от http:// до конца строки не включая URL=. Копирование производится при помощи комбинации клавиш Ctrl+C.

Открыть браузер и вставить скопированное ранее значение в адресную строку, нажать «Перейти» (Enter). Откроется окно просмотра загрузок, в котором браузер предложит сохранить или открыть файл. Необходимо нажать «Сохранить как» и указать директорию, куда произойдёт сохранение.

Произойдет скачивание сертификата удостоверяющего центра, который выдал личный сертификат. После скачивания необходимо перейти в указанную директорию и открыть скаченный сертификат. В нашем примере это сертификат astral-883-2018.

После открытия сертификата удостоверяющего центра необходимо нажать «Установить сертификат»

В открывшемся мастере импорта сертификатов выбрать Расположение хранилища: «Текущий пользователь» и нажать «Далее».

В следующем окне выбрать «Поместить все сертификаты в следующее хранилище» нажать «Обзор» и выбрать «Доверенные корневые центры сертификации», нажать «Далее» и завершить установку.

После появится окно предупреждения системы безопасности. Для установки сертификата необходимо нажать «Да»

Затем появится окно, сообщающее о том, что импорт сертификата успешно выполнен.

После установки сертификата удостоверяющего центра путь сертификации будет состоять уже из двух сертификатов: личного сертификата сотрудника организации, который ссылается на доверенный сертификат удостоверяющего центра, который выдал данному сотруднику сертификат.

Сертификат удостоверяющего центра не может сослаться на вышестоящий сертификат Головного удостоверяющего центра в виду его отсутствия на рабочем месте.

Для установки сертификата Головного удостоверяющего центра необходимо открыть сертификат удостоверяющего центра и перейти во вкладку «Состав». В верхнем окне выбрать поле «Идентификатор ключа центра сертификатов», а затем в нижнем окне скопировать серийный номер сертификата (Ctrl+C).

Для скачивания нужного сертификата Головного удостоверяющего центра необходимо перейти на Портал уполномоченного федерального органа в области использования электронной подписи и перейти на вкладку «ГОЛОВНОЙ УЦ» https://e-trust.gosuslugi.ru/mainca

Далее, используя сочетание клавиш Ctrl+F необходимо вызвать окно поиска и вставить в него скопированный серийный номер из сертификата удостоверяющего центра. Из представленного на сайте перечня сертификатов отобразиться тот, чей серийный номер совпадает. Именно данный сертификат Головного удостоверяющего центра нужно скачать. Для скачивания необходимо нажать на гиперссылку в строке «Отпечаток».

После нажатия на отпечаток произойдет скачивание сертификата Головного удостоверяющего центра. Необходимо нажать «Сохранить как» и выбрать необходимую директорию для сохранения сертификата Головного удостоверяющего центра.

Необходимо перейти в директорию, куда был скачан сертификат и открыть его.

В открывшемся сертификате необходимо нажать «Установить сертификат»

В мастере импорта сертификатов необходимо выбрать «Текущий пользователь» и нажать «Далее»

В следующем окне необходимо выбрать «Поместить все сертификаты в следующее хранилище», нажать «Обзор». В окне выбора хща сертификата необходимо поставить галочку «Показать физические хранилища», затем развернуть «Доверенные корневые центры сертификации» нажатием на «+» и выбрать «Локальный компьютер» и нажать «ОК». Завершить установку сертификата.

После установки сертификата Головного удостоверяющего центра путь сертификации личного сертификата восстановлен.

После восстановления пути сертификации ошибка не воспроизводится.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

  • реализации и совершенствования функциональных возможностей;
  • поддержки современного оборудования;
  • обеспечения соответствия актуальным требованиям безопасности информации;
  • повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

  1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
  2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
  3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A

Автор: Юрий Белоусов · 23.09.2020

Пользователи, использующие программы, работающие с СУФД, в момент подписания документа, могут столкнуться с появлением сообщения: «Ошибка создания подписи: Не удается построить цепочку сертификатов (0x800B010A)».

Например, она может возникнуть при подаче заявки на zakupki.gov.ru или другом портале, работающим с ЭЦП.

В этой статье детально рассмотрим в чем причина данной проблемы и какие методы использовать для ее решения.

Почему возникает ошибка 0x800B010A

Причина возникновения ошибки создания подписи 0x800B010A понятна из пояснительного текста: «Не удается построить цепочку сертификатов». То есть, один или несколько необходимых сертификатов могут отсутствовать, быть некорректно установленными или попросту истек их срок действия.

Для нормальной работы обязательно должны быть установлены следующие сертификаты:

Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A – как исправить

Чтобы исправить ошибку создания подписи: «Не удается построить цепочку сертификатов» (0x800B010A) необходимо правильно диагностировать проблемный сертификат. Сделать это можно с помощью специализированного ПО, либо – с помощью Internet Explorer.

  1. Следует запустить браузер Internet Explorer. В операционных системах Windows он является предустановленным;
  2. Открыть меню браузера, нажав на значок шестеренки в верхнем правом углу окна;
  3. Выбрать пункт «Свойства браузера»;

    Альтернативный вариант – зайти в свойства браузера, воспользовавшись встроенным поиском Windows;
  4. Перейти во вкладку «Содержание»;
  5. Нажать кнопку «Сертификаты»;
  6. Выбрать сертификат, которым необходимо подписать документ и нажать кнопку «Просмотр»;
  7. Перейти во вкладку «Путь сертификации»;
  8. Сертификат отмеченный красным крестиком или восклицательным знаком – и есть причина возникновения ошибки создания подписи: «Не удается построить цепочку сертификатов» (0x800B010A).

На скриншоте выше показано, как должна выглядеть цепочка. Если один из сертификатов отсутствует или установлен с ошибкой, то подпись документа будет невозможной.

В случае, если отсутствует сертификат головного удостоверяющего центра, то необходимо скачать и установить. Найти его можно на сайте поставщика сертификата. Узнать кто поставщик можно из свойств, посмотрев вкладку «Общие». Также нужно добавить промежуточные сертификаты.

Для установки личного сертификата необходима программа КриптоПро CSP.

Подробную инструкцию по установке корневого и личного сертификатов можно посмотреть в видео:

Важно! При установке сертификата Головного удостоверяющего центра необходимо поместить его в раздел «Доверенные корневые центры сертификации», личный – в раздел «Личные», остальные – в «Промежуточные центры сертификации».

Если все необходимые сертификаты присутствуют в цепочке, то следует проверить срок их действия и сведения о сертификате. Для этого нужно:

  1. Открыть список сертификатов;
  2. Выбрать нужный;
  3. Нажать кнопку «Просмотр»;
  4. Посмотреть сведения о сертификате в разделе «Общие», включая срок до которого он действителен.
  • Если истек срок действия, то нужно обновить сертификат;
  • Если нет доверия к сертификату, то необходимо установить его в корректную директорию;
  • Если не удается проследить путь до доверенного центра, значит нарушена общая цепь. Скорее всего, отсутствуют промежуточные сертификаты.

Если проблему не удалось исправить и по прежнему появляется внутренняя ошибка с кодом 0x800B010A, то стоит переустановить КриптоПро CSP, а также обратиться в службу поддержки поставщика сертификата.

Есть удобный способ восстановить правильную цепочку сертификатов, который показан в следующем видео:

Не нашли ответ? Тогда воспользуйтесь формой поиска:

Источник

Линукс (СентОс 6)

  1. Установите пакет ca-сертификатов: yum install ca-Certificates.
  2. Включите функцию динамической конфигурации CA: update-ca-trust force-enable.
  3. Добавьте его как новый файл в / etc / pki / ca-trust / source / anchors /: cp foo.crt / etc / pki / ca-trust / source / anchors /
  4. Используйте команду: update-ca-trust extract.

Как вы доверяете сертификату?

Перейдите на сайт с сертификатом, которому вы хотите доверять, и просмотрите обычные предупреждения о ненадежных сертификатах. В адресной строке щелкните правой кнопкой мыши красный предупреждающий треугольник и сообщение «Небезопасно» и в появившемся меню выберите выберите «Сертификат»», Чтобы показать сертификат.

Как включить сертификат доверия?

Разверните Политики> Параметры Windows> Параметры безопасности> Политики открытого ключа. Верно-кликните Trusted Root Certification Полномочия и выберите Импорт. Нажмите «Далее» и «Обзор», чтобы выбрать сертификат ЦС, который вы скопировали на устройство. Щелкните Готово, а затем ОК.

Как узнать, доверяет ли сертификат Linux?

Вы можете сделать это с помощью следующей команды: sudo update-ca-сертификаты . Вы заметите, что команда сообщает об установленных сертификатах, если это необходимо (в современных установках может уже быть корневой сертификат).

Куда мне помещать сертификаты в Linux?

Расположение по умолчанию для установки сертификатов: / и т.д. / SSL / сертификаты . Это позволяет нескольким службам использовать один и тот же сертификат без чрезмерно сложных прав доступа к файлам. Для приложений, которые можно настроить на использование сертификата CA, вам также следует скопировать файл / etc / ssl / certs / cacert.

Как обновить сертификат в Linux?

Линукс (Убунту, Дебиан)

Используйте команду: судо cp foo. CRT / USR / местные / доля / CA-сертификаты / Фу. crt. Обновите хранилище CA: sudo update-ca-Certificates.

Почему моему сертификату не доверяют?

Наиболее частая причина ошибки «сертификат не доверяет» заключается в том, что установка сертификата не была должным образом завершена на сервере (или серверах), на котором размещен сайт. … Чтобы решить эту проблему, установите файл промежуточного сертификата (или сертификата цепочки) на сервер, на котором размещен ваш веб-сайт.

Где я могу найти ненадежные сертификаты?

Вы можете найти некоторые сертификаты в их репозиторий GitHub. В Chrome вы также можете экспортировать сертификат, используемый для вкладки. Щелкните «Небезопасно», затем щелкните «Недействительный» в разделе «Сертификат». См. Вкладку сведений, затем нажмите «экспорт», чтобы сохранить сертификат.

Безопасно ли очищать учетные данные?

При очистке учетных данных удаляются все сертификаты, установленные на вашем устройстве. Другие приложения с установленными сертификатами могут потерять некоторые функции. Чтобы очистить учетные данные, сделайте следующее: С вашего Устройство Android, перейдите в Настройки.

Как исправить, что сертификат безопасности сайта не является доверенным?

Как исправить ошибку сертификата SSL

  1. Диагностируйте проблему с помощью онлайн-инструмента.
  2. Установите промежуточный сертификат на свой веб-сервер.
  3. Создайте новый запрос на подпись сертификата.
  4. Перейдите на выделенный IP-адрес.
  5. Получите подстановочный SSL-сертификат.
  6. Измените все URL-адреса на HTTPS.
  7. Обновите свой сертификат SSL.

Как мне доверять сертификату в Android?

В Android (версия 11) выполните следующие действия:

  1. Открыть настройки.
  2. Нажмите «Безопасность».
  3. Нажмите «Шифрование и учетные данные».
  4. Нажмите «Надежные учетные данные». Это отобразит список всех доверенных сертификатов на устройстве.

Где хранятся сертификаты?

Каждый сертификат на вашем бизнес-компьютере хранится в централизованное место, называемое диспетчером сертификатов. Внутри диспетчера сертификатов вы можете просматривать информацию о каждом сертификате, включая его назначение, и даже удалять сертификаты.

Модераторы: Olej, bellic, adminn, vikos

Аватара пользователя

Olej

Писатель
Сообщения: 17617
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Astra Linux

Код: Выделить всё

root@astra:~# mount | grep media
/dev/sr0 on /media/cdrom0 type iso9660 (ro,nosuid,nodev,noexec,relatime,nojoliet,check=s,map=n,blocksize=2048,user)

Код: Выделить всё

root@astra:/media/cdrom0# pwd
/media/cdrom0

root@astra:/media/cdrom0# ls -l
итого 71931
-r--r--r-- 1 root root      763 Янв 21 19:01 AUTORUN.INF
-r-xr-xr-x 1 root root     6384 Май 13 16:51 autorun.sh
dr-xr-xr-x 2 root root      792 Май 13 16:58 cert
dr-xr-xr-x 2 root root     1824 Май 13 16:58 NT3x
dr-xr-xr-x 2 root root     2652 Май 13 16:58 OS2
-r-xr-xr-x 1 root root     4821 Май 13 16:51 runasroot.sh
-r--r--r-- 1 root root      547 Май 13 16:58 TRANS.TBL
-r--r--r-- 1 root root  3729045 Май 13 16:50 VBoxDarwinAdditions.pkg
-r--r--r-- 1 root root     3949 Май 13 16:50 VBoxDarwinAdditionsUninstall.tool
-r-xr-xr-x 1 root root  9696690 Май 13 16:52 VBoxLinuxAdditions.run
-r--r--r-- 1 root root 20642816 Май 13 16:52 VBoxSolarisAdditions.pkg
-r-xr-xr-x 1 root root 26277000 Май 13 16:57 VBoxWindowsAdditions-amd64.exe
-r-xr-xr-x 1 root root   270104 Май 13 16:51 VBoxWindowsAdditions.exe
-r-xr-xr-x 1 root root 13015696 Май 13 16:54 VBoxWindowsAdditions-x86.exe

И именно только так:

Код: Выделить всё

root@astra:/media/cdrom0# sh VBoxLinuxAdditions.run  
Verifying archive integrity... All good.
Uncompressing VirtualBox 6.0.8 Guest Additions for Linux........
VirtualBox Guest Additions installer
Copying additional installer modules ...
Installing additional modules ...
VirtualBox Guest Additions: Starting.
VirtualBox Guest Additions: Building the VirtualBox Guest Additions kernel 
modules.  This may take a while.
VirtualBox Guest Additions: To build modules for other installed kernels, run
VirtualBox Guest Additions:   /sbin/rcvboxadd quicksetup <version>
VirtualBox Guest Additions: or
VirtualBox Guest Additions:   /sbin/rcvboxadd quicksetup all
VirtualBox Guest Additions: Building the modules for kernel 4.15.3-1-hardened.
update-initramfs: Generating /boot/initrd.img-4.15.3-1-hardened
VirtualBox Guest Additions: Running kernel modules will not be replaced until 
the system is restarted

И вот после этого размер экрана виртуальной Astra Linux меняется динамически, в произвольных размерах…

P.S. Я написал «только так», потому что другие способы запуска скрипта, что работает во всех других Linux, здесь не срабатывает из-за регламента прав доступа (с этим нужно ещё разбираться):

Код: Выделить всё

root@astra:/media/cdrom0# ./VBoxLinuxAdditions.run
bash: ./VBoxLinuxAdditions.run: Отказано в доступе

Аватара пользователя

Olej

Писатель
Сообщения: 17617
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Astra Linux

Непрочитанное сообщение

Olej » 09 июн 2019, 14:55

Olej писал(а):И вот после этого размер экрана виртуальной Astra Linux меняется динамически, в произвольных размерах…

Вот он, такой … в вытянутых пропорциях :lol: :

Вложения
o71.png

Аватара пользователя

Olej

Писатель
Сообщения: 17617
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Astra Linux

Непрочитанное сообщение

Olej » 09 июн 2019, 14:57

Ну что ж тут сказать?
Я (пока?) очень впечатлён тем как прилично разработчики сделали эту версию Astrs Linux!

Olej писал(а):Интерес именно к Astra Linux (в том чем оно отличается от всех других Linux) вызывают 2 позиции:
— мандатный способ регламентации прав доступа … как оно у них сделано?
— тот уровень «статуса» Astra Linux, который неожиданно приобретён системой по РФ — в сравнении со всеми (а их много) прочими Linux-базируемыми дистрибутивами российского производства … ну, пусть не производства, а сборки. ;-)

Вот достаточно интересный PDF документ СПРАВКАОБ ОСОБЕННОСТЯХ И ОСНОВНЫХ ФУНКЦИОНАЛЬНЫХ ВОЗМОЖНОСТЯХ ОПЕРАЦИОННОЙ СИСТЕМЫ — здесь все сертификаты ведомств, с картинками…


Аватара пользователя

Olej

Писатель
Сообщения: 17617
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Astra Linux

Непрочитанное сообщение

Olej » 09 июн 2019, 15:05

Ну, и к вопросу требуемых размеров диска для инсталляции … в такой комплектации:

Код: Выделить всё

olej@astra:~$ df
Файловая система 1K-блоков Использовано Доступно Использовано% Cмонтировано в
udev               1996128            0  1996128            0% /dev
tmpfs               404152         8120   396032            3% /run
/dev/sda1         11287752      5549728  5144924           52% /
tmpfs              2020760        83584  1937176            5% /dev/shm
tmpfs                 5120            4     5116            1% /run/lock
tmpfs              2020760            0  2020760            0% /sys/fs/cgroup
tmpfs               404152            0   404152            0% /run/user/999
tmpfs               404152           12   404140            1% /run/user/1000
/dev/sr0             84534        84534        0          100% /media/cdrom0

Т.е. порядка 5.5Gb.

Ну и:

Код: Выделить всё

olej@astra:~$ lsb_release -a
No LSB modules are available.
Distributor ID: AstraLinuxCE
Description:    Astra Linux CE 2.12.13 (Orel)
Release:        2.12.13
Codename:       orel

Аватара пользователя

Olej

Писатель
Сообщения: 17617
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Astra Linux

Непрочитанное сообщение

Olej » 09 июн 2019, 15:30

Olej писал(а):Интерес именно к Astra Linux (в том чем оно отличается от всех других Linux) вызывают 2 позиции:
— мандатный способ регламентации прав доступа … как оно у них сделано?

Возвращаемся сюда … к самому интересному месту… мандатное управление доступом

Astra Linux Special Edition 1.6

Новый релиз подготовлен на базе Astra Linux Common Edition 2.12, используется ядро Линукс версии 4.15.

Мандатный контроль целостности. Расширены возможности мандатного контроля целостности (МКЦ). Вместо двух уровней целостности (версия 1.5) теперь доступно 8 уровней. Некоторые уровни распределены между системными средствами. Контроль целостности влияет на возможность изменения объектов операционной системы пользователем.

Astra Linux 2.12 Orel — избавляемся от стереотипов о российском ПО

Автор: Уваров А.С. 26.05.2019

Может показаться, что разработчики изобретают очередной велосипед, но это не так, обычные, «гражданские» системы, в том числе и Active Directory, применяют дискреционное (избирательное) управление доступом. Это предполагает, что у каждого объекта системы есть свой владелец, который и устанавливает права доступа к нему, также может быть суперпользователь (Администратор, root и т.д.) который может изменить владельца и права доступа к любому объекту.

В структурах с конфиденциальной и секретной информацией применяется иной подход — мандатное (принудительное) управление доступом, основанное на имеющихся у субъекта уровнях доступа.

Простой пример: допустим Василий на некоторое время был переведен в отдел A, получил на файловом сервере свою папку и работал в ней с документами, потом вернулся в отдел B. При избирательном доступе Василий потеряет доступ к папкам отдела А, но сохранит доступ к собственной папке и файлам, так как является их владельцем. При мандатном доступе, покинув отдел А от потеряет право доступа к документам с отметкой «для служебного использования», в том числе и к тем, что он создал.

Astra Linux.Мандатное разграничение доступа

Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная[1] мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель)[2], которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде ) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы[3].

В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[4].

Указанная математическая модель реализована в программном коде специалистами ОАО «НПО „РусБИТех“» и Академии ФСБ Росиии и верифицирована Институтом Системного программирования Российской Академии Наук. В результате дедуктивной верификации[5] модель была полностью формализована и верифицирована.[6]

В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.

P.S. (дописано позже) Но как мне подсказали на форуме Astra Linux:

Только в SE

Т.е. мандатное управление доступом есть только в Astra Linux Special Edition (платных, дорогих и регламентируемых релизах, для спецприменений: Смоленск, Ленинград и т.д.), а в Astra Linux Common Edition (Орёл) этого нет, и посмотреть не представляется возможным.
Вопрос снят… :-?


Аватара пользователя

Olej

Писатель
Сообщения: 17617
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Astra Linux

Непрочитанное сообщение

Olej » 09 июн 2019, 16:19

По поводу репозиториев обновления Astra … есть такое критически важное объявление в VK Astra Linux:

23 мая в 21:44
Уважаемые пользователи.
Сообщаем вам, что в репозитории Astra Linux Common Edition (релиз Орел) появилась новая ветка репозитория testing.
Таким образом сейчас представлено 4 ветки:
• frozen: старые релизы без обновлений;
• stable: текущий стабильный релиз, для которого выходят обновления;
• testing: тестовые обновления для стабильного релиза;
• current: нестабильная ветка (в ближайшее время серьёзно обновится);
‼Соответственно, просим всех, кто сидит на ветке current, перейти на ветку stable, прописав в /etc/apt/source.list ветку stable ‼
deb https://download.astralinux.ru/astra/stable/orel/repo.. orel main contrib non-free
или
deb https://mirrors.edge.kernel.org/astra/stable/orel/rep.. orel non-free contrib main
что бы избежать обновления до нестабильной системы.
Тестовые обновления из ветки testing до перевода их в стабильную ветку просим применять с аккуратностью, учитывая их статус.

Но в дистрибутивном образе (ISO) по прежнему торчит:

Код: Выделить всё

olej@astra:/etc/apt$ cat /etc/apt/sources.list 
deb https://download.astralinux.ru/astra/current/orel/repository/ orel main contrib non-free
#deb http://mirror.yandex.ru/astra/current/orel/repository/ orel main contrib non-free

И здесь нужно сменить (с правами root) «current» на «stable»!
После чего:

Код: Выделить всё

olej@astra:/etc/apt$ sudo apt update
[sudo] пароль для olej: 
Пол:1 https://download.astralinux.ru/astra/stable/orel/repository orel InRelease [11,5 kB]
Пол:2 https://download.astralinux.ru/astra/stable/orel/repository orel/main i386 Packages [191 kB]
Пол:3 https://download.astralinux.ru/astra/stable/orel/repository orel/main amd64 Packages [3.840 kB]
Пол:4 https://download.astralinux.ru/astra/stable/orel/repository orel/contrib amd64 Packages [7.635 B]
Пол:5 https://download.astralinux.ru/astra/stable/orel/repository orel/contrib i386 Packages [1.732 B]
Пол:6 https://download.astralinux.ru/astra/stable/orel/repository orel/non-free i386 Packages [1.800 B]
Пол:7 https://download.astralinux.ru/astra/stable/orel/repository orel/non-free amd64 Packages [41,9 kB]
Получено 4.096 kБ за 3с (1.205 kБ/c)                       
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Все пакеты имеют последние версии.

Аватара пользователя

Olej

Писатель
Сообщения: 17617
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Astra Linux

Непрочитанное сообщение

Olej » 09 июн 2019, 17:17

Olej писал(а):3. вы на их форуме Astra Linux присутствуете?: https://forum.astralinux.ru/ — там очень приличный форум, объясняет многие конкретные вопросы относительно Astra Linux.

Подключаюсь к их форуму, не 1-й день уже, из Linux + Opera 60.0.3255.151 — всё ОК, замечательно…
Попробовал подключиться к тому же адресу из Firefox свеже установленного Astra Linux CE, без каких-либо изменений после установки (час назад только установил Astra) — и получаю странную ошибку (копирую):

Ваше соединение не защищено
Владелец forum.astralinux.ru неправильно настроил свой веб-сайт. Чтобы защитить вашу информацию от кражи, Firefox не соединился с этим веб-сайтом.

forum.astralinux.ru использует недействительный сертификат безопасности. К сертификату нет доверия, так как сертификат его издателя неизвестен. Сервер мог не отправить соответствующие промежуточные сертификаты. Может понадобиться импортировать дополнительный корневой сертификат. Код ошибки: SEC_ERROR_UNKNOWN_ISSUER

:-o


Аватара пользователя

Olej

Писатель
Сообщения: 17617
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Astra Linux

Непрочитанное сообщение

Olej » 09 июн 2019, 19:04

Попытался установить в Astra Linux CE — Opera:

Код: Выделить всё

olej@astra:~/Загрузки$ sudo dpkg -i opera-stable_60.0.3255.151_amd64.deb 
[sudo] пароль для olej: 
Выбор ранее не выбранного пакета opera-stable.
(Чтение базы данных … на данный момент установлено 171163 файла и каталога.)
Подготовка к распаковке opera-stable_60.0.3255.151_amd64.deb …
Распаковывается opera-stable (60.0.3255.151) …
dpkg: зависимости пакетов не позволяют настроить пакет opera-stable:
 opera-stable зависит от libcurl3 (>= 7.16.2) | libcurl4 (>= 7.58.0), однако:
  Пакет libcurl3 не установлен.
  Пакет libcurl4 не установлен.

dpkg: ошибка при обработке пакета opera-stable (--install):
 проблемы зависимостей — оставляем не настроенным
Обрабатываются триггеры для menu (2.1.47-astra1) …
Обрабатываются триггеры для mime-support (3.60) …
Обрабатываются триггеры для shared-mime-info (1.8-1) …
Обрабатываются триггеры для hicolor-icon-theme (0.15-1) …
При обработке следующих пакетов произошли ошибки:
 opera-stable
olej@astra:~/Загрузки$ 
olej@astra:~/Загрузки$ apt search libcurl*
Сортировка… Готово
Полнотекстовый поиск… Готово

Аватара пользователя

Olej

Писатель
Сообщения: 17617
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Astra Linux

Непрочитанное сообщение

Olej » 09 июн 2019, 20:24

2zer0 писал(а):
PPPPS добавил минтовский репозиторий + ключ и всё стало ещё лучше ))
файл /etc/apt/sources.list + строка
deb http://packages.linuxmint.com/ sonya main upstream import backport romeo
sudo apt-key adv —keyserver keyserver.ubuntu.com —recv-keys A6616109451BBBF2

Пытаюсь добавить репозиторий Mint 18.2:

Код: Выделить всё

root@astra:/media/cdrom0# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys A6616109451BBBF2
Executing: /tmp/apt-key-gpghome.QJ4vNCgUGM/gpg.1.sh --keyserver keyserver.ubuntu.com --recv-keys A6616109451BBBF2
gpg: key A6616109451BBBF2: public key "Linux Mint Repository Signing Key <root@linuxmint.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1

Код: Выделить всё

root@astra:/etc/apt/sources.list.d# pwd
/etc/apt/sources.list.d

root@astra:/etc/apt/sources.list.d# touch mint.list

root@astra:/etc/apt/sources.list.d# cat mint.list 
deb http://packages.linuxmint.com/sonya main upstream import backport romeo

Ничего хорошего из этого не получилось:

Код: Выделить всё

root@astra:/etc/apt/sources.list.d# apt update
Сущ:1 https://download.astralinux.ru/astra/stable/orel/repository orel InRelease
Игн:2 http://packages.linuxmint.com/sonya main InRelease             
Ошк:3 http://packages.linuxmint.com/sonya main Release
  404  Not Found [IP: 68.235.39.11 80]
Чтение списков пакетов… Готово
E: Репозиторий «http://packages.linuxmint.com/sonya main Release» не содержит файла Release.
N: Обновление из этого репозитория нельзя выполнить безопасным способом, и поэтому по умолчанию он отключён.
N: Смотрите справочную страницу apt-secure(8) о создании репозитория и настройке пользователя.

Аватара пользователя

Olej

Писатель
Сообщения: 17617
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Astra Linux

Непрочитанное сообщение

Olej » 09 июн 2019, 20:33

Olej писал(а):

Код: Выделить всё

root@astra:/etc/apt/sources.list.d# cat mint.list 
deb http://packages.linuxmint.com/sonya main upstream import backport romeo

Всё-таки там должен быть пробел:

Код: Выделить всё

root@astra:/etc/apt/sources.list.d# cat mint.list 
deb http://packages.linuxmint.com/ sonya main upstream import backport romeo

Код: Выделить всё

root@astra:/etc/apt/sources.list.d# apt update
Сущ:1 https://download.astralinux.ru/astra/stable/orel/repository orel InRelease
Игн:2 http://packages.linuxmint.com sonya InRelease                                          
Пол:3 http://packages.linuxmint.com sonya Release [24,1 kB]
Пол:4 http://packages.linuxmint.com sonya Release.gpg [819 B]
Пол:5 http://packages.linuxmint.com sonya/main amd64 Packages [18,2 kB]
Пол:6 http://packages.linuxmint.com sonya/main i386 Packages [17,5 kB]
Пол:7 http://packages.linuxmint.com sonya/upstream i386 Packages [45,0 kB]
Пол:8 http://packages.linuxmint.com sonya/upstream amd64 Packages [45,7 kB]
Пол:9 http://packages.linuxmint.com sonya/import amd64 Packages [8.261 B]
Пол:10 http://packages.linuxmint.com sonya/import i386 Packages [8.273 B]
Пол:11 http://packages.linuxmint.com sonya/backport amd64 Packages [72,9 kB]
Пол:12 http://packages.linuxmint.com sonya/backport i386 Packages [73,5 kB]                                           
Получено 314 kБ за 7с (40,4 kБ/c)                                                                                     
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Может быть обновлено 5 пакетов. Запустите «apt list --upgradable» для их показа.

Подготовка к установке обновления

Если при установке системы был создан отдельный загрузочный раздел, то перед установкой обновлений необходимо определить размер свободного пространства на этом разделе. Для этого в терминале выполнить команду:

df -h /boot

Для установки настоящего обновления требуется не менее 100 МБ. Если размер свободного пространства на дисковом разделе /boot недостаточен, то следует увеличить размер дискового раздела /boot (рекомендуется не менее 512МБ).

См. статью Увеличение размера boot при стандартной разметке LVM. Краткая инструкция.

В случаях, если интернет-репозиторий Astra-Linux CE по каким-либо причинам не представляется возможным использовать, можно создать собственный репозиторий.

Для установки обновления с использованием интернет-репозитория Astra Linux CE необходимо выполнить следующие действия:

  1. Подключить интернет-репозиторий Astra-Linux CE (если ранее он не был подключен), для этого:

    1. для использования сетевых репозиториев, работающих по протоколу HTTPS, установить пакеты apt-transport-https и ca-certificates командой: 

      sudo apt install apt-transport-https ca-certificates

      Кроме того, для подключения интернет-репозиториев Astra-Linux CE можно использовать протокол HTTP.

    2. в файле /etc/apt/sources.list добавить строку:

      • при использовании протокола HTTPS

        deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.45/repository/ orel main contrib non-free
      • при использовании протокола HTTP 

        deb http://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.45/repository/ orel main contrib non-free
  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником: 

    sudo apt update

  3. Установить обновление командой:

    sudo apt dist-upgrade

Завершение установки обновления

После выполнения обновления перезагрузить систему.

Действия после установки обновления

Описанные ниже действия не обязательны и выполняются по необходимости.

Добавление корневого сертификата удостоверяющего центра Минцифры России

Добавление корневого сертификата необходимо выполнить после установки пакета ca-certificates-local и для каждого пользователя.

Добавление корневого сертификата в Firefox

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox.
  2. В адресную строку ввести «about:preferences» и нажать клавишу <Enter>.
  3. На открывшейся странице в левом поле выбрать пункт Приватность и защита и в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов].
  4. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [Импортировать…].
  5. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
  6. В открывшемся окне Загрузка сертификата установить флаг Доверять при идентификации веб-сайтов и нажать на кнопку [ОК].
  7. В окне Управление сертификатами открыть вкладку Центры сертификации и нажать на кнопку [ОК].

Чтобы проверить наличие сертификата удостоверяющего центра Минцифры России, необходимо снова в правом поле в секции Сертификаты нажать на кнопку [Просмотр сертификатов]. В открывшемся окне Управление сертификатами открыть вкладку Центры сертификации и удостовериться в наличии строк:

The Ministry of Digital Development and Communications
	Russian Trusted Root CA

Добавление корневого сертификата в Chromium

  1. Запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium.
  2. В адресную строку ввести «chrome://settings/certificates» и нажать клавишу <Enter>.
  3. На открывшейся странице Настроить сертификаты в правом поле открыть вкладку Центры сертификации и нажать на кнопку [Импорт].
  4. В открывшемся окне импорта выбрать файл /etc/ssl/certs/rootca_MinDDC_rsa2022.pem и нажать на кнопку [Открыть].
  5. В открывшемся окне настройки доверия установить флаг Доверять этому сертификату при идентификации сайтов и нажать на кнопку [ОК].

После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:

org-The Ministry of Digital Development and Communications
	Russian Trusted Root CA

Подключение интернет-репозиториев предыдущих обновлений Astra Linux CE

На текущий момент поддерживаются следующие версии обновлений Astra Linux CE:

  • 2.12.13
  • 2.12.14
  • 2.12.21
  • 2.12.22
  • 2.12.29
  • 2.12.40
  • 2.12.42
  • 2.12.43
  • 2.12.44

Если необходимо использовать предыдущие версии репозиториев, то в файле /etc/apt/sources.list необходимо удалить (закомментировать) строку с описанием текущего актуального репозитория и добавить следующую строку:

  • при использовании протокола HTTPS

    deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.<номер_обновления>/repository/ orel main contrib non-free
  • при использовании протокола HTTP 

    deb http://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.<номер_обновления>/repository/ orel main contrib non-free

Например, для Astra Linux CE 2.12.29 (при использовании протокола HTTPS) строка будет иметь вид:

deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.29/repository/ orel main contrib non-free

После добавления интернет-репозитория необходимо выполнить повторную синхронизацию файлов описаний пакетов с их источником:

sudo apt update

Wine

Вино это популярное бесплатное программное обеспечение с открытым исходным кодом что позволяет пользователям запускать приложения Windows в Linux и других Unix-подобных операционных системах. Если быть более техническим, Wine это уровень совместимости; переводит системные вызовы из Windows в Linux и он использует некоторые библиотеки Windows в виде файлов .dll.

Тем, кто переходит с Linux, очень вероятно, что им понадобится какое-то программное обеспечение или игра для Windows, которые недоступны или не имеют эквивалента в Linux. Wine позволяет запускать эти программы и игры Windows на рабочем столе Linux.

Вино это один из лучших способов запускать приложения Windows в Linux. Кроме того, Винное сообщество у него очень подробная база данных приложений, мы находим ее как AppDB он содержит более 25,000 XNUMX программ и игр, ранжированных по их совместимости с Wine:

  • Платиновые приложения— Устанавливается и работает без сбоев в готовой к использованию установке Wine.
  • Золотые приложения— безупречная работа с некоторыми специальными настройками, такими как переопределения DLL, другие настройки или со сторонним программным обеспечением
  • Серебряные приложения— Они работают с незначительными проблемами, которые не влияют на типичное использование, например, игра может работать в одиночной игре, но не в многопользовательской.
  • Бронзовые аппликации— Эти приложения работают, но имеют заметные проблемы даже при регулярном использовании. Они могут быть медленнее, чем должны, иметь проблемы с пользовательским интерфейсом или не иметь определенных функций.
  • Нежелательные приложения— Сообщество показало, что эти приложения нельзя использовать с Wine. Они могут не устанавливаться, могут не запускаться или запускаться с таким количеством ошибок, что их невозможно использовать.

Перед установкой Wine, мы должны решить, хотим ли мы последнюю стабильную версию или версию для разработки.

В стабильной версии меньше ошибок и выше стабильность., но поддерживает меньше приложений Windows. В разрабатываемая версия предлагает лучшую совместимость, но содержит больше нерешенных ошибок.

Если вы хотите иметь самую последнюю версию стабильной серии Wine, на данный момент у нас есть версия 3.0.

Индекс

  • 1 Установка Wine в Ubuntu 18.04
  • 2 Как удалить Wine из Ubuntu 18.04 LTS?

Чтобы установить его в нашей системе они должны открыть терминал нажав CTRL + ALT + T или с рабочего стола и выполните следующие команды, чтобы установить его.

Первым шагом будет включение 32-битной архитектуры., что даже если наша система 64-битная, выполнение этого шага избавляет нас от многих проблем, которые обычно возникают, для этого мы пишем в терминале:

sudo dpkg --add-architecture i386

Сейчас мы должны импортировать ключи и добавить их в систему с помощью этой команды:

wget -nc https://dl.winehq.org/wine-builds/Release.key
sudo apt-key add Release.key

Сделано сейчас мы собираемся добавить в систему следующий репозиторийНа данный момент нет репозитория для Ubuntu 18.04 LTS, но мы можем использовать репозиторий предыдущей версии, который будет работать отлично, для этого мы пишем в терминале:

sudo apt-add-repository https://dl.winehq.org/wine-builds/ubuntu/

sudo apt-add-repository 'deb https://dl.winehq.org/wine-builds/ubuntu/ artful main'

Наконец, Нам просто нужно написать следующую команду, чтобы установить Wine на наши компьютеры, это для установки стабильной версии Wine 3.0:

sudo apt-get install --install-recommends winehq-stable

Сейчас у нас также есть доступ к ветке разработки Wine, который содержит гораздо больше функций и улучшений, чем 3.0, проблема с версией для разработки заключается в том, что мы рискуем получить некоторые ошибки при выполнении.

Logotipos de Flash y Linux

Теме статьи:

Невыполненные зависимости

Перо если вы хотите установить это, который в настоящее время находится в разработке, это версия Wine 3.7, для установки тебе просто нужно бежать:

sudo apt-get install --install-recommends winehq-devel

Готово установка Вам просто нужно запустить эту команду, чтобы убедиться, что она была успешно установлена. и знаете, какую версию вы установили:

wine --version

Если это была стабильная версия, вы получите такой ответ:

wine-3.0

Как удалить Wine из Ubuntu 18.04 LTS?

Если вы хотите удалить Wine из вашей системы по какой-либо причине, sВам просто нужно выполнить следующие команды.

Удалите стабильную версию:

sudo apt purge winehq-stable

sudo apt-get remove wine-stable

sudo apt-get autoremove

Удалите версию для разработки:

sudo apt purge winehq-devel

sudo apt-get remove wine-devel

sudo apt-get autoremove

Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Итак, ОС Astra Linux установлена.

Теперь нужно подключить нужные репозитории и обновить систему.

Будем  иметь в виду, что у меня специальная редакция ОС («Смоленск»), поэтому постараюсь без лишней  необходимости не использовать сторонние репозитории, или репозитории, расположенные в интернете.

Кроме того, каждый раз вставлять DVD-диск в сервер для установки какой-нибудь программы мне не хочется

Что делать? Конечно, скопировать содержимое установочного диска на локальный диск сервера и подключить его в качестве репозитория.

Шаг 1. Запускаем терминал.

Шаг 2. Производим предварительную подготовку.

Т.к. у нас суперпользователь root без пароля, зададим ему пароль.

mihanik@astra-srv:~$ sudo su 
root@astra-srv:/home/mihanik# passwd 
Новый пароль :  
Повторите ввод нового пароля :  
passwd: пароль успешно обновлён 
root@astra-srv:/home/mihanik# 

Шаг 3. Создаём локальный репозиторий из установочного диска.

Для этого вставляем установочный диск в привод и копируем его содержимое в папку на диске. Правда, придётся предварительно установить rsync, т.к. эта программа по умолчанию не установлена в системе.

mount /dev/sr0 /media/cdrom0/
apt-cdrom add
apt -y install rsync
mkdir /opt/distr
mkdir /opt/distr/inst_repo/
rsync -a --progress /media/cdrom0/ /opt/distr/inst_repo/

Шаг 4. Создаём локальный репозиторий из диска для разработчиков

Если у вас нет диска разработчиков на флешке, скачиваем его из интернета

cd /home/mihanik/Загрузки
wget --no-check-certificate https://dl.astralinux.ru/astra/stable/smolensk/international-se-version/devel-smolensk-1.6-09.07.2019_14.19.iso
mkdir /mnt/iso
mount -o loop /home/mihanik/Загрузки/devel-smolensk-1.6-09.07.2019_14.19.iso /mnt/iso/
mkdir /opt/distr/dev_repo
rsync -a --progress /mnt/iso/ /opt/distr/dev_repo/
umount /mnt/iso

Шаг 5. Создаём локальный репозиторий из диска обновлений.

Если у вас нет диска с обновлениями на флешке, скачиваем его из интернета. На момент написания статьи последнее обновление имело имя 20210730SE16

cd /home/mihanik/Загрузки
wget --no-check-certificate https://download.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210730SE16/20210730SE16.iso
mkdir /mnt/iso
mount -o loop /home/mihanik/Загрузки/20210730SE16.iso /mnt/iso/
mkdir /opt/distr/upd_20210730SE16
rsync -a --progress /mnt/iso/ /opt/distr/upd_20210730SE16/
umount /mnt/iso

Шаг 6. Подключаем созданные репозитории.

Для этого редактируем файл /etc/apt/sources.list.

mcedit /etc/apt/sources.list

Приводим его к следующему виду

## deb cdrom:[OS Astra Linux 1.6 smolensk - amd64 DVD ]/ smolensk contrib main non-free
deb file:///opt/distr/inst_repo smolensk contrib main non-free
deb file:///opt/distr/dev_repo smolensk contrib main non-free
deb file:///opt/distr/upd_20210730SE16 smolensk contrib main non-free

Обратите внимание, первую строчку, которая уже была в файле, я закомментировал. Действительно, зачем нам каждый раз вставлять DVD с установочным диском? 😉

Шаг 7. Обновляем систему.

Для этого сначала обновляем список подключенных репозиториев.

apt update

Теперь по поводу обновления системы…

У apt есть ключ upgrade, который выполняет только обновление одной версии пакета на другую, более свежую. Он не будет устанавливать или удалять пакеты, даже если это необходимо для обновления других. Это наиболее безопасный и надежный вариант обновления, но он может обновить не все. Например, с ее помощью не обновить ядро до более свежей версии.

Ключ dist-upgrade или full-upgrade (это одно и то же) в дополнение к upgrade обрабатывает все изменения зависимостей для новых пакетов и во время работы может удалять ненужные и ставить необходимые пакеты для обновления.

Использование ключа dist-upgrade несколько  опасно, я так несколько раз получал повреждённую систему.

Итак, обновляем систему

apt -y upgrade

Придётся немного подождать.

(Моё субъективное мнение: Astra Linux обновляяется уж очень долго. Red Hat или Centos обновляются в 2-3 раза быстрее.)

После обновления рекомендую перезагрузить сервер

reboot

PS.

Так как я планирую установить ещё и модули дополнений для гостевой ОС от VirtualBox, установлю минимальный набор необходимых для этого пакетов

apt -y install gcc make python
apt -y install linux-headers-4.15-generic 

Ну, и собственно, ставлю сами дополнения гостевой ОС

bash /media/cdrom0/autorun.sh
reboot

Теперь точно всё.

🙂


Вы здесь

Участник
Здесь с 21.02.2022
Сообщений: 6

Сертификат Open Suse истек

Здравствуйте,
ОС Astra Linux. Устанавливаю драйвера для Lcard 24  и  не могу получить доступ к сайту, тк выдается сообщение:
» ОШИБКА: Нет доверия сертификату для «download.opensuse.org».
ОШИБКА: Срок действия сертификата «download.opensuse.org» истёк.
Сертификат ещё не активирован»

Запрос/ответ  выглядит так:
wget https://download.opensuse.org/repositor … elease.key
—2021-10-05 18:16:19—  https://download.opensuse.org/repositor … elease.key
Распознаётся download.opensuse.org (download.opensuse.org)… 195.135.221.134, 2001:67c:2178:8::13
Подключение к download.opensuse.org (download.opensuse.org)|195.135.221.134|:443… соединение установлено.

Вопрос, как установить драйвера Lcard для ОС Astra Linux?

  • Ответить
Сотрудник «Л Кард»
Здесь с 17.04.2014
Сообщений: 1,217

Re: Сертификат Open Suse истек

Здравствуйте.
А строка «2021-10-05 18:16:19» к чему относится? У Вас время на машине установлено корректное (что выдает команда date)? по сообщению «Сертификат ещё не активирован» создается впечатление, что текущее время машины стоит более раннее, чем время начала действия сертификата сайта, поэтому ОС не хочет считать его действительным.

  • Ответить
Участник
Здесь с 21.02.2022
Сообщений: 6

Re: Сертификат Open Suse истек

Дата действительно была не корректная, по причине «заморозилась» в гостевой ОС (тестирую в VMware), сейчас ее исправил, однако  ошибка осталась

  • Ответить
Сотрудник «Л Кард»
Здесь с 17.04.2014
Сообщений: 1,217

Re: Сертификат Open Suse истек

Так же пишет, что «Сертификат ещё не активирован» или как то сообщение изменилось?
На всякий случай проверьте установлен и обновлен ли пакет ca-certificates.
Также в принципе можно у wget отключить проверку сертификата добавив после wget —no-check-certificate, хотя странно, в браузер показывает, что сайт имеет корректный сертификат (Дата выдачи    28 декабря 2021 г., Срок действия 28 марта 2022 г.) и у меня на рабочей машине корректно данный запрос wget выполняется.

  • Ответить
Участник
Здесь с 21.02.2022
Сообщений: 6

Re: Сертификат Open Suse истек

Алексей L Card пишет:

Так же пишет, что «Сертификат ещё не активирован» или как то сообщение изменилось?
На всякий случай проверьте установлен и обновлен ли пакет ca-certificates.
Также в принципе можно у wget отключить проверку сертификата добавив после wget —no-check-certificate, хотя странно, в браузер показывает, что сайт имеет корректный сертификат (Дата выдачи    28 декабря 2021 г., Срок действия 28 марта 2022 г.) и у меня на рабочей машине корректно данный запрос wget выполняется.

Сообщение об активации исчезло.
ca-certificates проверил, обновление не требуется
wget —no-check-certificate. Отключение проверки сертификата помогло, ключ установился и далее встали сами  драйвера Lcard.
Спасибо.

  • Ответить

Быстрый ответ

Контакты

Быстрые ссылки

Связь с техподдержкой

Понравилась статья? Поделить с друзьями:
  • Ошибка неполадка сервера при скачивании с яндекс диска
  • Ошибка неполадка 7 букв сканворд разг
  • Ошибка неподдерживаемый протокол как исправить
  • Ошибка неоригинальный картридж что нажать
  • Ошибка неоригинальный картридж с тонером kyocera что делать