Установка Astra Linux на Raspberry pi 4
Здравствуйте меня зовут Федоров Михаил и являюсь сертифицированным преподавателем Астра Линукс в учебном центре Эврика.
В прошлом году в целях более глубоко изучения Линукс систем и для эксперимента я приобрёл три платы rpi4. Они прекрасно мне служили и выполняли поставленные задачи, пока мне в голову не пришла мысль -, а почему бы не поставить на них астру, чтобы ещё глубже погрузиться в настолько любимую мной операционную систему.
Мной двигал чисто интерес к процессу и желание сделать то, что ещё никто не делал (но про это позже), но это не означает что вы не сможете применить малинки в своем проде, как минимум из них может быть очень хорошая основа тонкого клиента для пользовательской станции или очень бюджетный кластер для вашего разработчика. На отечественной операционной системе, так ещё и с сертификатами безопасности.
Переходим непосредственно к поставленной задаче: поставить astra linux на rpi4
Казалось бы, что может быть проще?
Качаешь образ img и записываешь его на карту памяти.
А вот тут начинается самое интересное. В свободном доступе образов для записи на карту памяти нет :-(.
Единственный вариант, который мне подсказали в чате Астра Линукс, это запрашивать rootfs для записи на карту памяти через их менеджера.
Также стоит отметить у Астры есть версия для arm архитектуры и обозначается она как 4.7, где 4 → это код дистрибутива под архитектуру arm, а 7 — версия (подробнее про версии астры нужно читать на их Вики [https://wiki.astralinux.ru/pages/viewpage.action? pageId=53646577]) на данный момент последняя версия которая есть в репозиторий stable 4.7.6 (обновление 4.7.7 на подходе вот-вот будет)
Версии х.7 основаны на debian 10. Версии х.8 уже основаны на debian 12 (почему же не взять астру 4.8.1 раз она должна быть более новой и с новыми плюшками, а все потому что релиза 4.8 ещё не было иначе я бы писал именно про него).
Ну хорошо, мы выяснили что астра под нужную архитектуру существует и даже выяснили что есть кейсы её работы на rpi4 (по крайней мере представитель астры в их чате заявлял, что образ у них рабочий, хотя и не показал :(Привет, Роман). Значит задача теперь у нас простая нужно просто понять, как установить астру.
Казалась бы, что может быть проще…
Хоть астра и готова работать под arm, но установщик который идёт на установочном диске 4.7.5 заточен под установку системы с загрузчиком grub. Тут у нас появляются на самом деле два пути.
Первый способ
Установить астру на виртуальную машину (или любой компьютер с arm процессором) и просто перенести потом все файлы на нужную карту памяти, после чего научить загрузчик rpi4 правильно грузить астру. И именно этот вариант я бы советовал рассмотреть если будете использовать астру в продакшне (потому что во время установки отрабатывает довольно большое количество скриптов которые готовят систему работать с СЗИ астры).
Но этот вариант мне не совсем подходил, потому что единственные машины с arm которые у меня были это малинки, на которые эту астру и нужно поставить (парадокс, однако). Создавать виртуальную машину на компьютере, у которого архитектура x86_64 и заставлять его крутить машину на arm оказалось очень ресурсоемким занятием требующим, к тому же терпения, поэтому этот способ отложил как запасной вариант (но повторю ещё раз: если хотите заморачиваться меньше, то просто ставьте систему в виртуалке на arm с обычного установочного диска астры по стандартной инструкции. Отдел boot лучше выкинуть на отдельный раздел, так как его содержимое, а именно загрузчик grub вам потом будет не нужен, и после этого копируете установленную систему на карту памяти)
Поэтому я стал думать дальше. И все оказалось довольно просто.
А давайте установим операционную систему из под другой операционной системы.
Такой опыт у меня уже имелся и по моим меркам был весьма удачен (тогда я делал бездисковую загрузку астры по сети чтобы все её файлы были в оперативной памяти, и чтобы система работала без диска, так ещё чтобы работал парсек, но это совсем другая история).
Учитывая мой прошлый удачный опыт с такой установкой, я решил попробовать и установить систему с помощью утилиты debootstrap[https://wiki.debian.org/Debootstrap]
Этот инструмент позволяет установить минимальную операционную систему (как понятно из названия debian систему) в директорию на вашей основной операционной системе.
Как вы понимаете ставится минимальная система, в которую потом можно сделать chroot и до установить остальные компоненты. С установкой системы разобрались теперь давайте поговорим про загрузчик rpi4.
Для загрузки rpi4 (ну как я понимаю также как и для загрузки rpi3) нужно на отдельном разделе который FAT который будет помечен как загрузочный разместить файлы необходимые для загрузки, а именно ядро, инитрд и файлы прошивки rpi.
Таким образом задача простая:
1) Разметить карту памяти на два раздела загрузочный и основной;
2) Установить систему в основанной раздел;
3) Зачрутиться в корень удавливаемой системы и выполнить установку ядра и генерацию инитрд, ну и в бонус создать пользователя админа и установить графику;
4) Перезагрузиться в новую операционную систему и выполнить базовую настройку СЗИ (А то какая это астра если не будет Смоленска)
Для начала стоит отметить что для того чтобы debootstrap можно было запустить уже должна быть система из под которой я буду его использовать, для этого я просто взял образ debian 12 img и установил его на вторую малинку (вы можете делать это и с одной).
Установим parted и mtools для того чтобы разметить карту памяти и установить метки.
sudo apt install parted
sudo apt install mtools
Размечать диск будем следующим образом 2 раздела
Первый → загрузочный раздел с меткой system-boot и размером примерно 500 МБ
Второй → диск для с системой, метка writable, занимает всё оставшееся место
sudo parted /dev/sda --script mktable msdos mkpart primary fat32 1MiB 501MiB mkpart primary ext4 501MiB 100%
sudo mkfs.vfat /dev/sda1
sudo mkfs.ext4 /dev/sda2
sudo parted /dev/sda set 1 boot on
sudo mlabel -i /dev/sda1 ::system-boot
sudo e2label /dev/sda2 "writable"
Логично что для установки астры обычный debootstrap который есть в дебиан нам не подойдет, по этому поставим в нашу систему ту версию что лежит в репозитории астры (Первый раз в жизни когда ставлю пакеты из астры в дебиан, а не наоборот)
Ставим его:
wget https://dl.astralinux.ru/astra/stable/4.7_arm/repository-update/pool/main/d/debootstrap/debootstrap_1.0.132astra3+ci2_all.deb
sudo apt install ./debootstrap_1.0.132astra3+ci2_all.deb
Да вы моежете сказать что я тут привязываюсь к конкретному пакету и со временем его могут обновить, по этому более правильно будет прописать репозитории астры в мою машину на дебиан и поставить пакет из репозитория.
cat << END > /etc/apt/sources.list
# Основной репозиторий - аппаратно-зависимый компонент и компоненты общего назначения:
deb [trusted=yes] https://dl.astralinux.ru/astra/stable/4.7_arm/repository-main/ 4.7_arm main contrib non-free
# Актуальное оперативное обновление основного репозитория
deb [trusted=yes] https://dl.astralinux.ru/astra/stable/4.7_arm/repository-update/ 4.7_arm main contrib non-free
# Базовый репозиторий
deb [trusted=yes] https://dl.astralinux.ru/astra/stable/4.7_arm/repository-base/ 4.7_arm main contrib non-free
END
sudo apt update
sudo apt install deboostrap
Ставить систему будем на /dev/sda2, по этому монтируем его в /mnt/media/root
А sda1 (где будут файлы для загрузчика поместим в /mnt/media/root/boot/firmware)
sudo mkdir -p /mnt/media/root
sudo mount /dev/sda2 /mnt/media/root
sudo mkdir -p /mnt/media/root/boot/firmware
sudo mount /dev/sda1 /mnt/media/root/boot/firmware
И запускаем установку:
sudo debootstrap --include ncurses-term,mc,locales,nano,gawk,lsb-release,acl,perl-modules-5.28 --components=main,contrib,non-free 4.7_arm /mnt/media/root http://dl.astralinux.ru/astra/stable/4.7_arm/repository-main
Монтируем в каталог /mnt/media/root каталоги proc, sys, dev, чтобы можно было сделать chroot
sudo bash << END
mount --make-rslave --rbind /proc /mnt/media/root/proc
mount --make-rslave --rbind /sys /mnt/media/root/sys
mount --make-rslave --rbind /dev /mnt/media/root/dev
mount --make-rslave --rbind /run /mnt/media/root/run
mount --make-rslave --rbind /dev/pts /mnt/media/root/dev/pts
END
sudo chroot /mnt/media/root /bin/bash
Дальше наши команды уже будут выполняться из под пользователя рут который зачрутился в каталог /mnt/media/root.
Для работы с репозиториями по https нужно поставить два пакета:
apt-transport-https
ca-certificates
Сейчас у нас в sources.list прописан только один репозиторий (http://dl.astralinux.ru/astra/stable/4.7_arm/repository-main) который мы указали при использовании утилиты debootstrap
apt update
apt install apt-transport-https ca-certificates -y
После чего пропишем репозитории доступные по https
cat << END > /etc/apt/sources.list
deb https://dl.astralinux.ru/astra/stable/4.7_arm/repository-main 4.7_arm main contrib non-free
deb https://dl.astralinux.ru/astra/stable/4.7_arm/repository-update 4.7_arm main contrib non-free
deb https://dl.astralinux.ru/astra/stable/4.7_arm/repository-base 4.7_arm main contrib non-free
# deb https://dl.astralinux.ru/astra/stable/4.7_arm/repository-extended 4.7_arm main contrib non-free
END
apt update && apt dist-upgrade -y
Теперь перейдем к установке базовых утилит
Установим локаль и настроим клавиатуру
apt install locales console-setup bash-completion dialog -y
dpkg-reconfigure locales
dpkg-reconfigure keyboard-configuration
Установим sudo после создадим пользователя sa и группу astra-admin и пропишем их в sudoerc
apt install sudo
useradd -m -s /bin/bash sa
groupadd astra-admin
usermod -aG astra-admin,sudo sa
echo '%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL' >> /etc/sudoers
Теперь настроим fstab для того чтобы systemd правильно монтировал наши разделы. (помним про то что мы ставили метки на разделы и именно на основе меток будем делать монтирование)
cat << END > /etc/fstab
LABEL=system-boot /boot/firmware vfat defaults 0 1
LABEL=writable / ext4 defaults 0 1
END
Поставим ядро для нашей системы и сгенерируем initrd для этого ядра.
Я буду ставить шестое ядро как самое последнее что есть в версии x.7
apt install linux-image-6.1-generic linux-astra-modules-6.1.90-1-generic --no-install-recommends -y
Теперь запустим тасксел для того чтобы установить оставшиеся компоненты для системы (при своих первых попытках я столкнулся с особенностью: при установке пакетов из задачи base, почему-то цеплялись пакеты связанные с fly и ставилась еще и графика, но возможно я просто наговариваю на непогрешимую астру и сам дурак нажал куда-то не туда), поэтому приведу некоторый костыль с помощью которого можно поставить все пакеты из задачи base, но посмотреть какие рекомендованные будут установлены через apt
sudo apt install $(sudo tasksel --task-packages Base| xargs echo)
Ну, а для остальных просто будем использовать tasksel
tasksel install Base
И для графики
tasksel install Fly
Еще я поставлю ssh и сервер xrdp для того чтобы иметь удаленный доступ к машине
apt install ssh xrdp -y
Также нужно заблокировать некоторые модули которые будут мешать графическому интерфейсу
cat << END > /etc/modprobe.d/blacklist-astra.conf
# Astra blacklist
blacklist vc4
blacklist simpledrm
END
sudo update-initramfs -k all -u && sudo cp /boot/initrd.img-6.1.90-1-generic /boot/firmware/initrd.img-6.1.90-1-generic
На самом деле работа с модулями ядра была самой долгой работой, потому что графика не хотела стартовать от слова совсем.
Я и никак не мог понять как правильно заставить её работать и буквально методом «тыка» нашел конфликтующие модули.
На этом установка системы закончена и дальше нужно настроить загрузчик.
Для начала скачаем файлы прошивки хорошо что они есть в репозитории астры.
Стоит отметить, что с первого раза у меня система не завелась, пока я не подкинул её сразу все файлы из репозитория https://github.com/raspberrypi/firmware
Но в целом файлы прошивок есть, а в пакете linux-firmware-raspi
`apt install linux-firmware-raspi
Распаковываются они в директорию /usr/lib/linux-firmware-raspi
mkdir /boot/firmware/overlays
cp /usr/lib/linux-firmware-raspi/* /boot/firmware/
cp /usr/lib/firmware/6.1.90-1-generic/device-tree/broadcom/bcm2711-rpi-4-b.dtb /boot/firmware/
Скачаем с гитхаба файлы overlays
cd
apt install git -y
git clone --depth=1 https://github.com/raspberrypi/firmware.git
cd firmware/boot/overlays
cp * /boot/firmware/overlays
Теперь займемся конфигами
Создадим конфиг /boot/firmware/config.txt
cat << END > /boot/firmware/config.txt
dtoverlay=vc4-kms-v3d
arm_64bit=1
enable_uart=1
kernel=vmlinuz-6.1.90-1-generic
initramfs initrd.img-6.1.90-1-generic
max_framebuffers=2
hdmi_force_hotplug=1
hdmi_group=2
hdmi_mode=82
hdmi_pixel_encoding=2
framebuffer_depth=32
framebuffer_width=1920
framebuffer_height=1080
END
И конфиг cmdline
cat << END > /boot/firmware/cmdline.txt
console=tty0 console=ttyS1,115200 root=LABEL=writable rw fsck.repair=yes net.ifnames=0 rootwait
END
На этом можно заканчивать подготовку и пытаться загружаться в новую систему, для того чтобы уже в ней настроить СЗИ.
От монтируем pts, dev, sys, proc
sudo bash << END
umount /mnt/media/root/dev/pts
umount /mnt/media/root/dev
umount /mnt/media/root/sys
umount /mnt/media/root/proc
umount /mnt/media/root/run
umount /mnt/media/root/boot/firmware
umount /mnt/media/root
END
И теперь попытаемся загрузиться с карты памяти.
При входе в систему обнаружим что рабочий стол синим.
Это значит что мы запустили систему по низким уровнем целостности. В данном случае у нас фактически орел. давайте это исправлять.
sudo pdpl-user -i 63 sa
cat << END > /boot/firmware/cmdline.txt
console=tty0 console=ttyS1,115200 root=LABEL=writable rw fsck.repair=yes net.ifnames=0 parsec.max_ilev=63 rootwait
END
Мы добавили параметр чтобы ядро грузилось с уровнем целостности 63, что в дальнейшем позволит нам включить мандатный контроль целостности на файловой системе.
перезагружаем машину и видим что теперь при входе пользователя в систему его рабочий стол красный.
Теперь включаем МКЦ. Так как каталог /boot/firmware включает в себя файлы с файловой системой FAT, то нужно добавить его в исключения для успешной проверки целостности системы.
sudo -i
cat << END >> /etc/parsec/fs-ilev.conf
exc /boot/firmware/*
exc /boot/firmware
END
exit
И включаем МКЦsudo set-fs-ilev enable Проверим статус sudo set-fs-ilev status -v
И поставим правильную лицензию
sudo -i
cat << END > /etc/astra_license
MODE=2
DESCRIPTION=maximum(smolensk)
URL=https://astralinux.ru/information/licenses
END
exit
После делаем перезагрузку и радуемся результату.
Также в ходе эксплуатации понял что у меня не правильно настроен механизм policyKit-1 по этому пришлось его вызвать и переназначить группу системных администратор на astra-admin.
Что бы не проходить этот процесс каждый раз при необходимости ставить систему на новую малинку. Можно с этой карты памяти снять образ и после уже раскатывать его на нужные устройства.
Также для большего удобства установки можно добавить механизм cloud-init.
Это был весьма интересный опыт, в попытках запустить Astra Linux на rpi4. Дело в том что нормальной инструкции по установке я не нашел, да и нигде не было информации что она будет работать.
Но даже не смотря на всё это я практически с нуля прошёл процесс установки системы и теперь лучше понимаю что происходит на каждом этапе.
