Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Иван А. Колесов  
#1 Оставлено : 10 января 2021 г. 12:06:02(UTC)
Иван А. Колесов

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.01.2021(UTC)
Сообщений: 1
Российская Федерация
Откуда: Оренбург

Доброго времени суток.

На ПК установлена ОС AltLinux P9 с ISO alt-p9-cinnamon-20201212-x86_64.iso

На данный дистрибутив, по статье с wiki был установлен КриптоПро. Использован дистрибутив КриптоПро 5 (5.0.11455, последняя Сертифицированная версия КриптоПро CSP 5.0.11455 (Fury) от 8.05.2019) , полученный из личного кабинета КриптоПро.
Была установлена ГУИ cptools (apt-get install cprocsp-cptools-gtk*).

На ПК сотрудники будут работать в несколько смен (не подразумевается одновременная работа, а поочередная работа пользователей, с авторизацией каждого пользователя под своей учетной записью).

После установки запускаем утилиту у пользователя "Пользователь1" через "Пуск" -> "Параметры" -> "Инструменты КриптоПро" - утилита cptools запускается, всё в порядке.
Заходим на данную машину под другим пользователем "Пользователь2", запускаем утилиту через "Пуск" -> "Параметры" -> "Инструменты КриптоПро" - утилита cptools НЕ запускается.
При попытке запуска у пользователя "Пользователь2" утилиты cptools через терминал видим вывод у терминале:
Цитата:

double free or corruption (top)
Аварийный останов


Запускаем у пользователя "Пользователь2" утилиту cptools воспользовавшись strace и видим, что cptools пытается обратиться к файлам в каталоге /var/opt/cprocsp/tmp/. Так как файлы уже созданы и владельцем созданных файлов является "Пользователь1", то у пользователя "Пользователь2" возникает ошибка "Операция не позволена (1)".

Если под пользователем "root" очистить каталог /var/opt/cprocsp/tmp/ от содержащихся файлов, то у пользователя "Пользователь2" утилита cptools успешно запустится, но при этом перестанет запускаться у пользователя "Пользователь1".

Как устранить данную ошибку? При наличии данной ошибки КриптоПро НЕ РАБОТОСПОСОБЕН на ПК, если планируется попеременная работа нескольких пользователей.

ВЛОЖЕНИЯ:
Во вложении фалы вывода strace:
1. strace_cptools_ok.log (684kb) загружен 3 раз(а). strace_cptools_ok.log - вывод strace при успешном запуске от Пользователя1 (first).
2. strace_cptools_err.log (63kb) загружен 6 раз(а). strace_cptools_err.log - вывод при ошибочном запуске от Пользователя2 (second).
3. strace_cptools_ok2.log (696kb) загружен 0 раз(а). strace_cptools_ok2.log - вывод при успешном запуске от Пользователя2 (second) после удаления файлов из каталога /var/opt/cprocsp/tmp/ от root.

Отредактировано пользователем 10 января 2021 г. 12:10:05(UTC)  | Причина: Не указана

Offline Андрей Русев  
#2 Оставлено : 11 января 2021 г. 16:12:40(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,436

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 574 раз в 400 постах
Здравствуйте.
Предположительно, это проблема Linux-систем, где включено усиление защиты от некоторых уязвимостей. Защита включена, если такая команда возвращает не ноль:
Код:
~$ sudo sysctl fs.protected_regular
fs.protected_regular = 1

Устранить её можно только имея права администратора:

  • либо отключить усиление контроля
  • либо после первой установки или подключения токена делать первое обращение к нему от имени root
  • либо после первой установки или подключения токена и обращения к нему под пользователем чинить права:

Код:
~$ sudo chown -R root /var/opt/cprocsp/tmp
~$ sudo chmod -R a+rw /var/opt/cprocsp/tmp

Начиная с КриптоПро CSP 5.0.11823 Iris эти операции проводятся при установке продукта, поэтому неудобство становится менее заметным. Но при подключении нового токена всё равно надо будет чинить права вручную или переставлять КриптоПро CSP, чтобы это сделалось автоматически.

Окончательно все неудобства устранены в КриптоПро CSP 5.0.12417 Osiris, то есть в КриптоПро CSP 5.0 R3.

Отредактировано пользователем 10 апреля 2024 г. 0:30:15(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
thanks 4 пользователей поблагодарили Русев Андрей за этот пост.
Андрей * оставлено 11.01.2021(UTC), Александр Лавник оставлено 11.01.2021(UTC), nickm оставлено 11.01.2021(UTC), Санчир Момолдаев оставлено 20.02.2021(UTC)
Offline geo_alex  
#3 Оставлено : 12 июля 2024 г. 14:08:25(UTC)
geo_alex

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.03.2023(UTC)
Сообщений: 9
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Автор: Русев Андрей Перейти к цитате
Здравствуйте.
Предположительно, это проблема Linux-систем, где включено усиление защиты от некоторых уязвимостей. Защита включена, если такая команда возвращает не ноль:
Код:
~$ sudo sysctl fs.protected_regular
fs.protected_regular = 1

Устранить её можно только имея права администратора:

  • либо отключить усиление контроля
  • либо после первой установки или подключения токена делать первое обращение к нему от имени root
  • либо после первой установки или подключения токена и обращения к нему под пользователем чинить права:

Код:
~$ sudo chown -R root /var/opt/cprocsp/tmp
~$ sudo chmod -R a+rw /var/opt/cprocsp/tmp

Начиная с КриптоПро CSP 5.0.11823 Iris эти операции проводятся при установке продукта, поэтому неудобство становится менее заметным. Но при подключении нового токена всё равно надо будет чинить права вручную или переставлять КриптоПро CSP, чтобы это сделалось автоматически.

Окончательно все неудобства устранены в КриптоПро CSP 5.0.12417 Osiris, то есть в КриптоПро CSP 5.0 R3.


Защита отключена + права выдал - к сожалению не помогло.
root@vm-astradesktop-apla:/usr/bin# sysctl fs.protected_regular
fs.protected_regular = 0

Все же кмк что-то завязано на RDP с xorg - как уязвимость и не дает работать с токеном (возможно пользователю надо снять\добавить переменных окружения через xorg)
Offline Русев Андрей  
#4 Оставлено : 12 июля 2024 г. 15:15:57(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,436

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 574 раз в 400 постах
Ваш вопрос не связан этой с темой, правильная тема здесь.
Официальная техподдержка. Официальная база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.