Автор Тема: Не работает КриптоПро (Прочитано 13717 раз)

ivanlex · « : 09.01.2021 10:16:16 »

Доброго времени суток.

Был установлен AltLinux P9 с ISO alt-p9-cinnamon-20201212-x86_64.iso
На данный дистрибутив, по статье с wiki был установлен КриптоПро. Использован дистрибутив КриптоПро 5, полученный из личного кабинета КриптоПро.
Была установлена ГУИ cptools, согласно приведенной статьи:

Код: [Выделить]

apt-get install cprocsp-cptools-gtk*
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Выбрано cprocsp-cptools-gtk-64 для 'cprocsp-cptools-gtk-64-5.0.11455-5.x86_64.rpm'
Следующие НОВЫЕ пакеты будут установлены:
  cprocsp-cptools-gtk-64
0 будет обновлено, 1 новых установлено, 0 пакетов будет удалено и 15 не будет обновлено.
Необходимо получить 0B/2797kB архивов.
После распаковки потребуется дополнительно 7310kB дискового пространства.
Совершаем изменения...
Подготовка...                           ######################################################################### [100%]Обновление / установка...
1: cprocsp-cptools-gtk-64-5.0.11455-5   ######################################################################### [100%]Завершено.

После установки запускаем утилиту через "Пуск" -> "Параметры" -> "Инструменты КриптоПро" - утилита запускается, всё в порядке. Запускаем через терминал (что бы увидеть вывод работы приложения) - утилита так же запускается, хотя при этом ругается:

Код: [Выделить]

(cptools:4800): Gtk-CRITICAL **: 11:55:38.364: IA__gtk_widget_set_size_request: assertion 'width >= -1' failed

Но утилита всё равно работает*.
*(в прикреплении - работающая утилита, запущенная у одного из пользователей, у других пользователей на этой же машине, утилита НЕ запускается).

НО ВСЯ ПРОБЛЕМА НЕ В ЭТОМ:

Заходим на данную машину под другим пользователем, запускаем утилиту через "Пуск" -> "Параметры" -> "Инструменты КриптоПро" - утилита НЕ запускается. Запускаем через терминал (что бы увидеть вывод работы приложения) - утилита так же НЕ запускается, при это наблюдаем следующий вывод:

Код: [Выделить]

double free or corruption (top)
Аварийный останов

Пробовал на разных физических машинах - результат всегда один:
После установки cptools, утилита успешно запускается только у пользователя, который ПЕРВЫМ запустит cptools. У данного пользователя утилита будет запускаться всегда, у других пользователей утилита НЕ запускается.

Как исправить данную ошибку?

Александр Ерещенко · « **Ответ #1 :** 09.01.2021 11:41:14 »

Проглядев вышеуказанную инструкцию по установке, заметил пункт, который привязан к пользователю: "Прописывание путей к исполняемым файлам"
Для другого пользователя Вы его выполняли?

Skull · « **Ответ #2 :** 09.01.2021 15:35:04 »

Российские производители СКЗИ не проверяют работу в многопользовательской среде. Запускайте под strace и смотрите Permission denied. Или переберите пути, указанные в статье.

ivanlex · « **Ответ #3 :** 10.01.2021 10:43:40 »

Цитата: Skull от 09.01.2021 15:35:04

Запускайте под strace и смотрите Permission denied.

Спасибо за наводку.

Нашел из-за чего не запускается cptools, воспользовавшись strace:

При первом запуске cptools создает структуру каталогов по адресу /var/opt/cprocsp/, в этой структуре каталогов куча файлов, владельцем данных файлов является пользователь, который запустил cptools первым.

При запуске cptools вторым пользователем, возникает ошибка доступа к этим же файлам (в частности к файлам в каталоге /var/opt/cprocsp/tmp/, хотя права доступа ко всем этим файлам rwxrwxrwx, так что не понятно, почему возникает такая ошибка, но при попытке что либо сделать с данными файлами под вторым пользователем, возникает ошибка "Операция не позволена (1)").

Во вложении фалы вывода strace:
1. strace_cptools_ok.log - вывод при успешном запуске от Первого пользователя (first).
2. strace_cptools_err.log - вывод при ошибочном запуске от Второго пользователя (second).
3. strace_cptools_ok2.log - вывод при успешном запуске от Второго пользователя (second) после удаления файлов из каталога /var/opt/cprocsp/tmp/ от root.

P.S. Оставлен пост на форуме КриптоПро, посмотрим, что они ответят.

ivanlex · « **Ответ #4 :** 11.01.2021 15:22:40 »

Спросил коллег с других организаций, ни у кого более такой ошибки нет. Только я с ней встретился. На разных физических машинах, но именно только на AltLinux.

Поставил на одну из машин Debian 10.7.0-amd64. Точно так же поставил КриптоПро, создал двух пользователей. Запустил cptools у Первого пользователя, завершил сеанс, Залогинился под Вторым пользователем, запустил cptools - ЗАПУСТИЛСЯ. Попробовал на Ubuntu - так же все работает. Поставил на новую машину AltLinux - ошибка повторилась.

Похоже ошибка ТОЛЬКО НА AltLinux P9 с ISO alt-p9-cinnamon-20201212-x86_64.iso - на других дистрибутивах подобной ошибки нет.

Залез в Debian в каталог /var/opt/cprocsp/tmp - владельцем файлов в данном каталоге является root, на файлах выставлены права rwxrwxrwx (100777). На каталог /var/opt/cprocsp/tmp выставлены права rwxrwxrwx (41777), владелец каталога - root.

Выставляю такие же права в AltLinux - ошибка запуска как у Первого пользователя, так и у Второго пользователя. То есть ошибка явно в самом AltLinux, а не в КриптоПро.
Кроме того, в Debian указанные права выставляются сами, без каких либо дополнительных настроек.

Что делать?

YYY · « **Ответ #5 :** 11.01.2021 17:00:19 »

> Залез в Debian в каталог /var/opt/cprocsp/tmp - владельцем файлов в данном каталоге является root, на файлах выставлены права rwxrwxrwx (100777)

а под альтом какие права у файлов?

ivanlex · « **Ответ #6 :** 11.01.2021 17:39:49 »

А под AltLinux - владельцем файлов является пользователь, который запустил какую либо утилиту КриптоПро, например cptools.

Получил ответ от техподдержки КриптоПро. Они сказали, что проблема дистрибутива Linux. Если выставить владельца root на файлы, то КриптоПро будет работать, пока не сменить носитель. После смены носителя надо опять выставлять владельцем root.

В общем как то так. Со слов тех поддержки КриптоПро - такая ситуация возникает, если в дистрибутиве Linux включена усиленная защита. Что бы не наблюдать таких проблем, нужно или отключать усиленную защиту, или постоянно следить за владельцем, и менять владельца на root.

Skull · « **Ответ #7 :** 11.01.2021 17:42:03 »

Цитата: ivanlex от 11.01.2021 15:22:40

Спросил коллег с других организаций, ни у кого более такой ошибки нет. Только я с ней встретился. На разных физических машинах, но именно только на AltLinux.

Поставил на одну из машин Debian 10.7.0-amd64. Точно так же поставил КриптоПро, создал двух пользователей. Запустил cptools у Первого пользователя, завершил сеанс, Залогинился под Вторым пользователем, запустил cptools - ЗАПУСТИЛСЯ. Попробовал на Ubuntu - так же все работает. Поставил на новую машину AltLinux - ошибка повторилась.

Похоже ошибка ТОЛЬКО НА AltLinux P9 с ISO alt-p9-cinnamon-20201212-x86_64.iso - на других дистрибутивах подобной ошибки нет.

Залез в Debian в каталог /var/opt/cprocsp/tmp - владельцем файлов в данном каталоге является root, на файлах выставлены права rwxrwxrwx (100777). На каталог /var/opt/cprocsp/tmp выставлены права rwxrwxrwx (41777), владелец каталога - root.

Выставляю такие же права в AltLinux - ошибка запуска как у Первого пользователя, так и у Второго пользователя. То есть ошибка явно в самом AltLinux, а не в КриптоПро.
Кроме того, в Debian указанные права выставляются сами, без каких либо дополнительных настроек.

Что делать?

Писать в техподдержку КриптоПро. Альт весьма щепетильно относится к безопасности. Как обходной путь — после первого запуска менять права на каталог.

Skull · « **Ответ #8 :** 11.01.2021 17:43:01 »

Цитата: ivanlex от 11.01.2021 17:39:49

А под AltLinux - владельцем файлов является пользователь, который запустил какую либо утилиту КриптоПро, например cptools.

Получил ответ от техподдержки КриптоПро. Они сказали, что проблема дистрибутива Linux. Если выставить владельца root на файлы, то КриптоПро будет работать, пока не сменить носитель. После смены носителя надо опять выставлять владельцем root.

В общем как то так. Со слов тех поддержки КриптоПро - такая ситуация возникает, если в дистрибутиве Linux включена усиленная защита. Что бы не наблюдать таких проблем, нужно или отключать усиленную защиту, или постоянно следить за владельцем, и менять владельца на root.

Превратить дистрибутив в решето. Ну да, ну да.

Александр Ерещенко · « **Ответ #9 :** 11.01.2021 19:37:52 »

Какая ирония! Разработчики ПО, которое должно улучшать безопасность системы, просят ухудшить безопасность системы, чтобы их ПО могло работать. :)))

yaleks · « **Ответ #10 :** 12.01.2021 15:39:06 »

Цитата: Александр Ерещенко от 11.01.2021 19:37:52

Какая ирония! Разработчики ПО, которое должно улучшать безопасность системы, просят ухудшить безопасность системы, чтобы их ПО могло работать. :)))

Нет, у них ПО не про безопасность, а про криптографию...

Александр Ерещенко · « **Ответ #11 :** 12.01.2021 19:57:08 »

Цитата: yaleks от 12.01.2021 15:39:06

Цитата: Александр Ерещенко от 11.01.2021 19:37:52
Какая ирония! Разработчики ПО, которое должно улучшать безопасность системы, просят ухудшить безопасность системы, чтобы их ПО могло работать. :)))
Нет, у них ПО не про безопасность, а про криптографию...

А криптография в принципе для чего нужна? :))

gosts 87 · « **Ответ #12 :** 12.01.2021 20:21:37 »

Слово Крипто (от греческого κρυπτόζ) - можно перевести как: секрет, тайна, шифрование, точнее: секретный, тайный, шифрованный. А вот безопасность...

Например словосочетание: криптография (гр. κρυπτογράφηση) - шифрование (или если совсем по-русски: тайнопись).

red-matter · « **Ответ #13 :** 12.01.2021 21:17:18 »

Цитата: Александр Ерещенко от 12.01.2021 19:57:08

А криптография в принципе для чего нужна? :))

Текстовик с важными паролями закриптовать через gpg. Я дешефрую в 2 клика в терминале по истории команды листаю, до нужной потом ввожу пароль и всё ларчик открыт. GNOME Keyring + демон Seahorse на основе gpg/ имхо демон GNOME Keyring Manager устарел.

red-matter · « **Ответ #14 :** 12.01.2021 21:30:19 »

GNOME Keyring & демон Seahorse в коробке многих пингвин дистрибутивов.

Форум сообщества
Альт Линукс