Подробный гайд по установке и настройке стороннего пакета в Astra Linux

Гайд по установке сторонних .deb пакетов и репозиториев в Astra Linux с учётом контроля целостности и мандатного доступа Parsec

2026.04.16                  

Подробный гайд по установке и настройке стороннего пакета в Astra LinuxПодробный гайд по установке и настройке стороннего пакета в Astra Linux

Предварительные требования

  1. Права администратора: sudo или учётная запись root

2. Резервная копия списка пакетов:

   sudo dpkg --get-selections > ~/dpkg-selections-backup.txt
   sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak
   sudo cp -r /etc/apt/sources.list.d/ ~/sources.list.d.bak/

3. Обновление системы:

   sudo apt update && sudo apt full-upgrade -y

4. Уточните редакцию Astra:

   cat /etc/astra_version
  • Орёл (Common Edition) — стандартные политики безопасности.
  • Смоленск (Special Edition) — строгий контроль целостности, мандатный доступ Parsec, обязательная подпись пакетов. Установка стороннего ПО может нарушить аттестацию.

Шаг 1. Выбор способа установки

Вариант А: Установка отдельного .deb файла

  1. Скачайте пакет в надёжное расположение (например, ~/Downloads/).

2. Проверьте целостность и подпись (если поставщик предоставляет .asc или .sha256):

   sha256sum package.deb
   gpg --verify package.deb.asc package.deb 2>/dev/null || echo "Нет подписи GPG"

3. Установите пакет:

   sudo dpkg -i ~/Downloads/package.deb

4. Если возникли ошибки зависимостей:

   sudo apt --fix-broken install -y

Вариант Б: Подключение стороннего apt-репозитория

1. Импортируйте GPG-ключ репозитория (современный метод, без apt-key):

   curl -fsSL https://example.com/repo.gpg | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/example-repo.gpg
   sudo chmod a+r /etc/apt/trusted.gpg.d/example-repo.gpg

2. Добавьте источник в sources.list.d:

   echo "deb https://example.com/repo orel main" | sudo tee /etc/apt/sources.list.d/third-party.list

Замените orel на smolensk, если используете SE-версию и репозиторий это поддерживает.

3. Обновите кэш и установите:

   sudo apt update
   sudo apt install package-name -y

Шаг 2. Настройка безопасности Astra Linux (критично для SE)

1. Контроль целостности (только Astra Linux SE)

Установка неподписанного пакета вызовет срабатывание контроля целостности.

Варианты решения:

Добавить пакет в доверенный список:

  • Откройте fly-admin-integrity (GUI) → раздел «Доверенные пакеты» → добавьте путь к .deb или его hash.

Переподписать пакет ключом организации:

  • Требуется утилита digsig из пакета digsig-utils. Выполняется в доверенной среде.

Временное отключение (не рекомендуется для продакшна):

  sudo fly-admin-integrity --disable
  sudo systemctl restart digsig

2. Мандатный доступ Parsec

Если сервису требуется доступ к файлам/сетям с метками безопасности:

  • Проверьте текущие метки: ls -Z /path/to/config

- Назначьте метку через GUI fly-admin-parsec или CLI:

  sudo pdpl-file -l confidential /etc/package/config.conf
  sudo pdpl-net -a allow -p tcp -d 0.0.0.0/0 -s <service_label>
  • Перезапустите службу в нужном контексте: sudo systemctl restart service-name

3. Автозапуск и политики сервиса

sudo systemctl enable --now service-name
systemctl status service-name
journalctl -u service-name -f --no-pager

Шаг 3. Конфигурация пакета

1. Найдите файлы конфигурации (обычно /etc/<package>/):

   dpkg -L package-name | grep /etc/

2. Отредактируйте основной конфиг:

   sudo nano /etc/package-name/main.conf

3. Примените изменения:

   sudo systemctl reload-or-restart service-name

4. Проверьте синтаксис (если пакет предоставляет утилиту проверки):

   package-name --test-config   # пример, зависит от ПО

Шаг 4. Верификация установки

# Проверка статуса пакета
dpkg -l | grep package-name
apt policy package-name

# Проверка зависимостей
apt-cache depends package-name
apt-cache rdepends package-name

# Тест работоспособности
systemctl is-active service-name

Устранение типичных проблем

Симптом Решение
dpkg: dependency problems sudo apt --fix-broken install или ручная установка зависимостей через apt install
NO_PUBKEY / GPG error Повторно импортируйте ключ в /etc/apt/trusted.gpg.d/ с расширением .gpg
Integrity check failed (SE) Добавьте пакет в доверенный список через fly-admin-integrity или переподпишите
Permission denied / MAC violation Проверьте метки Parsec: pdpl-file -l <файл>, скорректируйте через GUI или pdpl-*
Сервис не стартует journalctl -u <service> -xe, проверьте права на сокеты/порты, отключите конфликтующие службы

Рекомендации по безопасности и соответствию

  1. Не устанавливайте неподписанные пакеты в аттестованные системы Astra Linux SE.
  2. Ведите журнал изменений: sudo journalctl --since "2026-04-16" | grep -E "(apt|dpkg|install|remove)"
  3. Используйте apt-mark hold package-name, чтобы исключить случайное обновление конфликтующего пакета.
  4. Для корпоративных сред рекомендуется развернуть локальный репозиторий (aptly или debmirror) с проверенными .deb.
×

Полный размер Слайдшоу Предыдущий Следующий