Загрузка CRL не проходит при включенном apparmor

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Загрузка CRL не проходит при включенном apparmor

Опции

Предыдущая тема Следующая тема

Vadim Raspopin		#1 Оставлено : 6 декабря 2023 г. 17:16:33(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.12.2023(UTC) Сообщений: 3		Добрый день. Возникла такая ситуация: при включенном apparmor из 1С не загружаются списки отзыва сертификатов. Предполагаю, что Крипто ПРО каждый раз отваливается по тайм-ауту. А, поскольку списков отзыва много, то обмен с ЭДО занимает около 5-10 минут, что много для пользователя, да и вообще нехорошо. Простейшее решение - отключить apparmor, что я и сделал, но проблема в том, что snapd жестко от него зависит, а чем дальше, тем больше программ распространяется только в виде snap-пакетов. В частности, я не могу обновить систему пользователя до 22.04, потому что тогда отвалится Firefox. Соответственно, со временем найденное мною решение проблемы будет иметь всё больше и больше побочных эффектов. Можно ли что-то сделать, не отключая apparmor? Система xubuntu 20.04. Крипто ПРО 5.0.12900. Переустановка Крипто ПРО не помогала. Небольшой кусок лога для примера (таких адресов около сотни): Dec 6 08:42:08 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://pki.tax.gov.ru/cd...3cee94381d4f975cd5.crl). Dec 6 08:42:08 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:08 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12007 URL: http://c0000-app005/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl). Dec 6 08:42:08 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:13 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://uc.nalog.ru/cdp/f...3cee94381d4f975cd5.crl). Dec 6 08:42:13 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:13 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004 Dec 6 08:42:13 melnik-aleksandr 1cv8c: message repeated 4 times: [ <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004] Dec 6 08:42:18 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://pki.tax.gov.ru/cd...3cee94381d4f975cd5.crl). Dec 6 08:42:18 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:18 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12007 URL: http://c0000-app005/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl). Dec 6 08:42:18 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:23 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://uc.nalog.ru/cdp/f...3cee94381d4f975cd5.crl). Dec 6 08:42:23 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:23 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004 Dec 6 08:42:23 melnik-aleksandr 1cv8c: message repeated 4 times: [ <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004] Dec 6 08:42:28 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://pki.tax.gov.ru/cd...3cee94381d4f975cd5.crl). Dec 6 08:42:28 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:28 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12007 URL: http://c0000-app005/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl). Dec 6 08:42:28 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:33 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://uc.nalog.ru/cdp/f...3cee94381d4f975cd5.crl). Dec 6 08:42:33 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:33 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004 Dec 6 08:42:33 melnik-aleksandr 1cv8c: message repeated 5 times: [ <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004] Dec 6 08:42:38 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://pki.tax.gov.ru/cd...3cee94381d4f975cd5.crl). Dec 6 08:42:38 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:38 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12007 URL: http://c0000-app005/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl). Dec 6 08:42:38 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:43 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://uc.nalog.ru/cdp/f...3cee94381d4f975cd5.crl). Dec 6 08:42:43 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:43 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004 Dec 6 08:42:43 melnik-aleksandr 1cv8c: message repeated 4 times: [ <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004] Dec 6 08:42:48 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://pki.tax.gov.ru/cd...3cee94381d4f975cd5.crl). Dec 6 08:42:48 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:48 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12007 URL: http://c0000-app005/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl). Dec 6 08:42:48 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:53 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://uc.nalog.ru/cdp/f...3cee94381d4f975cd5.crl). Dec 6 08:42:53 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:53 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004 Dec 6 08:42:53 melnik-aleksandr 1cv8c: message repeated 4 times: [ <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004] Dec 6 08:42:58 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://pki.tax.gov.ru/cd...3cee94381d4f975cd5.crl). Dec 6 08:42:58 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:42:58 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12007 URL: http://c0000-app005/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl). Dec 6 08:42:58 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:43:03 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://uc.nalog.ru/cdp/f...3cee94381d4f975cd5.crl). Dec 6 08:43:03 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:43:03 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12007 URL: http://c0000-app005/crt/ca_fns_russia_2022_01.crt). Dec 6 08:43:03 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:43:03 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004 Dec 6 08:43:03 melnik-aleksandr 1cv8c: message repeated 4 times: [ <capi20>CryptRetrieveObjectByUrlA!Object not found, error code : 80092004] Dec 6 08:43:08 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://pki.tax.gov.ru/cd...3cee94381d4f975cd5.crl). Dec 6 08:43:08 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:43:08 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12007 URL: http://c0000-app005/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl). Dec 6 08:43:08 melnik-aleksandr 1cv8c: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 Dec 6 08:43:13 melnik-aleksandr 1cv8c: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://uc.nalog.ru/cdp/f...3cee94381d4f975cd5.crl). Отредактировано пользователем 6 декабря 2023 г. 17:48:52(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Андрей *		#2 Оставлено : 6 декабря 2023 г. 17:40:50(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719 Сказал «Спасибо»: 500 раз Поблагодарили: 2054 раз в 1594 постах		Здравствуйте. А почему запрещен доступ к http://pki.tax.gov.ru/cd...b03cee94381d4f975cd5.crl ? c0000-app005 - это локальный адрес в сети фнс, для него можно прописать ip от pki.tax.gov.ru, но до него не должно и доходить при переборе адресов из сертификата. Не пробовали скачать файлы CRL от УЦ ФНС и Минцифры, установить в хранилище и посмотреть на поведение 1с?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Vadim Raspopin		#3 Оставлено : 6 декабря 2023 г. 17:46:48(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.12.2023(UTC) Сообщений: 3		Это просто маленький кусок лога для примера, дело не в конкретных адресах. Не загружаются CRL ни с одного сайта, их в логе около сотни. Автор: Андрей * Здравствуйте. А почему запрещен доступ к http://pki.tax.gov.ru/cd...b03cee94381d4f975cd5.crl ? c0000-app005 - это локальный адрес в сети фнс, для него можно прописать ip от pki.tax.gov.ru, но до него не должно и доходить при переборе адресов из сертификата. Не пробовали скачать файлы CRL от УЦ ФНС и Минцифры, установить в хранилище и посмотреть на поведение 1с?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#4 Оставлено : 6 декабря 2023 г. 17:57:43(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719 Сказал «Спасибо»: 500 раз Поблагодарили: 2054 раз в 1594 постах		Автор: Vadim Raspopin Это просто маленький кусок лога для примера, дело не в конкретных адресах. Не загружаются CRL ни с одного сайта, их в логе около сотни. Почему стоит запрет на это? Как софт будет проверять статусы сертификатов? Ручную установку осталось проверить.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Vadim Raspopin		#5 Оставлено : 6 декабря 2023 г. 18:10:04(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.12.2023(UTC) Сообщений: 3		Запрет на это стоит, потому что включён apparmor. И вопрос собственно в том и заключается, как настроить его так, чтобы он пускал Крипто ПРО в интернет. Или, в идеале, включить корректный профиль apparmor в поставку Крипто ПРО. Проверять ручную установку особого смысла не вижу, поскольку корень проблемы очевиден. Просто нужно адекватное решение. Автор: Андрей * Автор: Vadim Raspopin Это просто маленький кусок лога для примера, дело не в конкретных адресах. Не загружаются CRL ни с одного сайта, их в логе около сотни. Почему стоит запрет на это? Как софт будет проверять статусы сертификатов? Ручную установку осталось проверить.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

nickm		#6 Оставлено : 6 декабря 2023 г. 19:04:19(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844 Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах		Автор: Vadim Raspopin Система xubuntu 20.04. Разрешите полюбопытствовать? А, чем обоснован выбор именно этой операционной системой? Автор: Vadim Raspopin Можно ли что-то сделать, не отключая apparmor? Простейшее решение - это "выпилить" этот snapd из системы, гайдов в сети, как это сделать, превеликое множество; Автор: Vadim Raspopin Простейшее решение - отключить apparmor, что я и сделал, но проблема в том, что snapd жестко от него зависит, а чем дальше, тем больше программ распространяется только в виде snap-пакетов. Хмм, интересно, а какие это-такие приложения, которые требуются на рабочем АРМ окажутся в виде snap-пакетов? Или, Вы полагаете, что Российские разработчики будут заниматься этой темой - собирать snap-пакеты? Или, у Вас какие-то другие/ основные требования к рабочему месту - устанавливать/ поддерживать snap-приложения? Автор: Vadim Raspopin В частности, я не могу обновить систему пользователя до 22.04, потому что тогда отвалится Firefox. Обновлял без проблем и ничего не отваливалось, т.к. первым делом избавлялся от snapd. Отредактировано пользователем 6 декабря 2023 г. 19:07:09(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#7 Оставлено : 6 декабря 2023 г. 21:54:31(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,272 Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах		Автор: Vadim Raspopin Добрый день. Возникла такая ситуация: при включенном apparmor из 1С не загружаются списки отзыва сертификатов. Здравствуйте. Правила для apparmor пишет разработчик прикладного ПО - в вашем случае - 1С. К ним и надо обращаться. Посмотреть детали состояния можно с помощью apparmor_status, там вы увидите приложения, поставленные на контроль. Код: root@test-x64-deb10:~# apparmor_status apparmor module is loaded. 23 profiles are loaded. 21 profiles are in enforce mode. /opt/cprocsp/bin//certmgr /opt/cprocsp/bin//cptools /opt/cprocsp/bin//cryptcp /opt/cprocsp/bin//csptest* /opt/cprocsp/bin//wipefile /opt/cprocsp/sbin//cpinstance /opt/cprocsp/sbin//cryptsrv /usr/bin/evince /usr/bin/evince-previewer /usr/bin/evince-previewer//sanitized_helper /usr/bin/evince-thumbnailer /usr/bin/evince//sanitized_helper /usr/bin/man /usr/sbin/ntpd libreoffice-senddoc libreoffice-soffice//gpg libreoffice-xpdfimport man_filter man_groff nvidia_modprobe nvidia_modprobe//kmod 2 profiles are in complain mode. libreoffice-oopslash libreoffice-soffice 2 processes have profiles defined. 2 processes are in enforce mode. /opt/cprocsp/sbin/amd64/cryptsrv (10179) /opt/cprocsp/sbin//cryptsrv /usr/sbin/ntpd (518) 0 processes are in complain mode. 0 processes are unconfined but have a profile defined. Для наших приложений мы сделали apparmor-профили и протестировали корректность их работы во множестве сценариев. Вероятно, в 1С протестировали не всё. Сами профили лежат в /etc/apparmor.d/, но настройки безопасности стоит менять только экспертам в этой области. Но если вы удалите профиль для 1cv8c, то скачивание CRL заработает, но ценой ослабления безопасности. Это делается примерно так: Код: `mkdir -p /etc/apparmor.d/disable ln -sf /etc/apparmor.d/файл_профиля_1с /etc/apparmor.d/disable/файл_профиля_1с apparmor_parser -R /etc/apparmor.d/файл_профиля_1с rm -f /etc/apparmor.d/файл_профиля_1с` После этого в apparmor_status не должно быть ничего про 1С. Но лучше обратиться в 1С.
		Официальная техподдержка. Официальная база знаний.

2 пользователей поблагодарили Русев Андрей за этот пост.		nickm оставлено 07.12.2023(UTC), Андрей * оставлено 07.12.2023(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close