Подробный гайд по настройке sources.list в Astra Linux Special Edition 1.7 (Смоленск)

Важно:

• Astra Linux Special Edition 1.7 основана на Debian 10 (Buster), но использует собственную инфраструктуру репозиториев. Доступ к официальным репозиториям Special Edition привязан к действующей лицензии/подписке. Для Common Edition (CE) адреса и условия отличаются.

1. Подготовка и резервное копирование

Перед редактированием всегда создавайте бэкап:

sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak
sudo cp /etc/apt/sources.list.d/*.list /etc/apt/sources.list.d/ 2>/dev/null || true

Проверьте текущую версию системы:

cat /etc/astra_version
# или
lsb_release -a

2. Синтаксис строки репозитория

Современный формат sources.list в Astra 1.7:

deb [arch=amd64 signed-by=/путь/к/ключу.gpg] URL КОДОВОЕ_ИМЯ КОМПОНЕНТЫ

Параметры:

• deb — бинарные пакеты (для исходников используйте deb-src)
• arch=amd64 — архитектура (у Astra 1.7 только x86_64)
• signed-by= — путь к GPG-ключу (обязательно, т.к. apt-key устарел)
• КОДОВОЕ_ИМЯ → smolensk (для версии 1.7)
• КОМПОНЕНТЫ:
• main — официально поддерживаемые пакеты Astra и свободное ПО
• contrib — свободное ПО, требующее несвободных зависимостей
• non-free — проприетарные драйверы, firmware, закрытые утилиты

3. Готовый шаблон для Astra Linux 1.7 SE

deb [arch=amd64 signed-by=/usr/share/keyrings/astra-archive-keyring.gpg] https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository smolensk main contrib non-free
deb [arch=amd64 signed-by=/usr/share/keyrings/astra-archive-keyring.gpg] https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository smolensk-security main contrib non-free
deb [arch=amd64 signed-by=/usr/share/keyrings/astra-archive-keyring.gpg] https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository smolensk-updates main contrib non-free

Примечание:

• Если ваша организация использует локальное зеркало или прокси-портал подписки, замените https://dl.astralinux.ru/... на выданный IT-отделом адрес. В некоторых случаях требуется авторизация через apt.conf или токен в URL.

4. Пошаговая настройка

Вариант A: Редактирование основного файла

sudo nano /etc/apt/sources.list

1. Закомментируйте или удалите старые строки (добавьте # в начале)
2. Вставьте шаблон выше
3. Сохраните: Ctrl+O, Enter, Ctrl+X

Вариант B: Рекомендуемый (использование sources.list.d/)

echo "deb [arch=amd64 signed-by=/usr/share/keyrings/astra-archive-keyring.gpg] https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository smolensk main contrib non-free
deb [arch=amd64 signed-by=/usr/share/keyrings/astra-archive-keyring.gpg] https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository smolensk-security main contrib non-free
deb [arch=amd64 signed-by=/usr/share/keyrings/astra-archive-keyring.gpg] https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository smolensk-updates main contrib non-free" | sudo tee /etc/apt/sources.list.d/astra-1.7.list

Этот способ предпочтителен:

• не затрагивает системный файл, упрощает управление и обновление.

5. Ключи подписи (GPG)

В Astra 1.7 ключ обычно предустановлен.

Проверьте:

ls -l /usr/share/keyrings/astra-archive-keyring.gpg

Если файл отсутствует или повреждён:

# Установка из официального пакета (при наличии доступа)
sudo apt install astra-archive-keyring

# Или ручная загрузка (только с доверенного ресурса)
sudo wget -O /usr/share/keyrings/astra-archive-keyring.gpg https://dl.astralinux.ru/astra/archive-keyring.gpg
sudo chmod 644 /usr/share/keyrings/astra-archive-keyring.gpg

6. Обновление и проверка

sudo apt update
sudo apt list --upgradable

Успешный вывод не содержит WARNING, GPG error или 403/404.

Если нужно обновить систему:

sudo apt full-upgrade

7. Сторонние репозитории (Debian 10 / Buster)

Astra 1.7 совместима с Debian 10 на уровне пакетов, но:

• Подключение репозиториев Debian ломает сертификацию ФСБ/Минобороны
• Могут возникнуть конфликты с модифицированными пакетами безопасности (parsec, fly, astra-...)
• Допустимо только для тестовых сред или с явного разрешения ответственного за ИБ

Пример (если необходимо):

echo "deb [arch=amd64 signed-by=/usr/share/keyrings/debian-archive-keyring.gpg] http://deb.debian.org/debian buster main contrib non-free" | sudo tee /etc/apt/sources.list.d/debian-buster.list

8. Диагностика типовых ошибок

Ошибка	Причина	Решение
403 Forbidden	Нет активной лицензии/подписки	Обратитесь в отдел лицензирования или используйте локальное зеркало
GPG error: The following signatures couldn't be verified	Ключ отсутствует/устарел	Установите astra-archive-keyring, проверьте путь в signed-by=
404 Not Found	Неверный URL или версия	Проверьте astra_version, актуальность ссылки на портале поддержки
Release file expired	Рассинхронизация времени или устаревший репозиторий	sudo timedatectl set-ntp true, проверьте дату в apt update
Conflicting values set for option Signed-By	Дублирование ключей в разных файлах	Удалите дубли в /etc/apt/sources.list.d/ или используйте единый ключ

9. Важные ограничения и рекомендации по безопасности

1. Лицензирование:

• Специальная редакция требует действующей подписки. Без неё репозитории недоступны.

2. Сертификация:

• Любые сторонние репозитории могут нарушить аттестат соответствия. Фиксируйте изменения в журнале администратора.

3. Обновления безопасности:

• smolensk-security критически важен. Не отключайте его.

4. Пакетный менеджер:- В Astra 1.7 используется apt с политикой pinning для приоритета родных пакетов. Не меняйте /etc/apt/preferences без необходимости.

5. Зеркала:

• В крупных организациях рекомендуется поднять локальный репозиторий через apt-mirror или debmirror для снижения нагрузки и контроля трафика.