Автор Тема: Не работает КриптоПро  (Прочитано 13619 раз)

Оффлайн klark973

  • Завсегдатай
  • *
  • Сообщений: 662
  • Неспящий саппорт
Re: Не работает КриптоПро
« Ответ #15 : 15.01.2021 21:56:56 »
Получил ответ от техподдержки КриптоПро. Они сказали, что проблема дистрибутива Linux. Если выставить владельца root на файлы, то КриптоПро будет работать, пока не сменить носитель. После смены носителя надо опять выставлять владельцем root.

В общем как то так. Со слов тех поддержки КриптоПро - такая ситуация возникает, если в дистрибутиве Linux включена усиленная защита. Что бы не наблюдать таких проблем, нужно или отключать усиленную защиту, или постоянно следить за владельцем, и менять владельца на root.
Фееричный ответ, едва ли КриптоПро мог такое сказать. Если хотите разобраться, покажите до и после первого запуска на Альте и в Debain:
ls -l /var/opt/cprocsp/
ls -l /var/opt/cprocsp/tmp/
mount |grep /var/opt/
sysctl -a 2>/dev/null |grep fs.protected
Полагаю, достаточно будет создать самим себе CVE аналогичную той, что вы описали про Debian. Это когда все файлы в /var/opt/cprocsp/ будут принадлежать root'у, но доступные всем пользователям на запись. И ничего, что можно друг у друга ключи тырить или даже подменить, если сильно захочется. :)

То есть, хотите сказать, КриптоПро не в курсе, что пользователь может записывать свои файлы только в $HOME и $TMPDIR? Ну ОК, мы сами им об этом расскажем.
To moan or to solve -- that is the question!

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 222
Re: Не работает КриптоПро
« Ответ #16 : 16.01.2021 10:51:25 »
То есть, хотите сказать, КриптоПро не в курсе, что пользователь может записывать свои файлы только в $HOME и $TMPDIR? Ну ОК, мы сами им об этом расскажем.
они даже уверены что это неправильно - https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=121865#post121865

Оффлайн klark973

  • Завсегдатай
  • *
  • Сообщений: 662
  • Неспящий саппорт
Re: Не работает КриптоПро
« Ответ #17 : 16.01.2021 17:45:31 »
В апстриме systemd эта уязвимость закрыта "из коробки", начиная с версии 241, так что либо в Debian'е какое-то старьё, либо они ослабляют защиту, что маловероятно. В Альте переменная задаётся в /lib/sysctl.d/50-default.conf, можно поменять в /etc/sysctl.d/50-default.conf. Первый запуск делать root'ом либо править владельца и права. Всё это определяется не только переменной fs.protected_regular, но и правами доступа 41777 на /var/opt/cprocsp/tmp.
To moan or to solve -- that is the question!