logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

8 Страницы«<678
Опции
К последнему сообщению К первому непрочитанному
Offline devildev  
#141 Оставлено : 11 февраля 2019 г. 10:49:38(UTC)
devildev

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2019(UTC)
Сообщений: 3

Та-же самая проблема с докер контейнером, всё 1-в-1.




Отредактировано пользователем 11 февраля 2019 г. 14:53:17(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#142 Оставлено : 11 февраля 2019 г. 14:59:32(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: devildev Перейти к цитате
Та-же самая проблема с докер контейнером, всё 1-в-1.

Мы проверили на чистой системе, не воспроизводится.

Если пришлёте как воспроизвести на чистой системе, где первый шаг это установить систему X, обязательно посмотрим.

Знания в базе знаний, поддержка в техподдержке
Offline devildev  
#143 Оставлено : 11 февраля 2019 г. 15:35:14(UTC)
devildev

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2019(UTC)
Сообщений: 3

Автор: Дмитрий Пичулин Перейти к цитате
Автор: devildev Перейти к цитате
Та-же самая проблема с докер контейнером, всё 1-в-1.

Мы проверили на чистой системе, не воспроизводится.

Если пришлёте как воспроизвести на чистой системе, где первый шаг это установить систему X, обязательно посмотрим.



https://dropmefiles.com/6FOjP

1) Распаковать
2) Перейти в папку
3) docker build .
4) ???
5) В консоли видим ошибку, описанную выше
Offline Riddick-84  
#144 Оставлено : 11 февраля 2019 г. 16:13:58(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Автор: devildev Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: devildev Перейти к цитате
Та-же самая проблема с докер контейнером, всё 1-в-1.

Мы проверили на чистой системе, не воспроизводится.

Если пришлёте как воспроизвести на чистой системе, где первый шаг это установить систему X, обязательно посмотрим.



https://dropmefiles.com/6FOjP

1) Распаковать
2) Перейти в папку
3) docker build .
4) ???
5) В консоли видим ошибку, описанную выше


Та же самая ошибка
вот моя инфа о системе


Код:
Step 8/9 : RUN /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl version -a
 ---> Running in aa9a611d20bb
OpenSSL 1.1.0h  27 Mar 2018
built on: reproducible build, date unspecified
platform: linux-x86_64
options:  bn(64,64) rc4(8x,int) des(int) idea(int) blowfish(ptr) 
compiler: gcc -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPADLOCK_ASM -DPOLY1305_ASM -DOPENSSLDIR="\"/var/opt/cprocsp/cp-openssl-1.1.0\"" -DENGINESDIR="\"/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines\"" 
OPENSSLDIR: "/var/opt/cprocsp/cp-openssl-1.1.0"
ENGINESDIR: "/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines"
 ---> 4e32cc8f29b0
Removing intermediate container aa9a611d20bb
Step 9/9 : RUN /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
 ---> Running in 1766cb380a01
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
140352047789824:error:260B606D:engine routines:dynamic_load:init failed:crypto/engine/eng_dyn.c:485:
140352047789824:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
140352047789824:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1      
 ---> 894257fd8bd4
Removing intermediate container 1766cb380a01
Successfully built 894257fd8bd4
Successfully tagged devprofi/cpronginx:latest
alex@devprofi /distr/programming/crypto/gost/docker-cryptopro $ docker version
Client:
 Version:      17.09.1-ce
 API version:  1.32
 Go version:   go1.8.3
 Git commit:   19e2cf6
 Built:        Thu Dec  7 22:24:23 2017
 OS/Arch:      linux/amd64

Server:
 Version:      17.09.1-ce
 API version:  1.32 (minimum version 1.12)
 Go version:   go1.8.3
 Git commit:   19e2cf6
 Built:        Thu Dec  7 22:23:00 2017
 OS/Arch:      linux/amd64
 Experimental: false
alex@devprofi /distr/programming/crypto/gost/docker-cryptopro $ uname -a
Linux devprofi 4.15.18-041518-generic #201804190330 SMP Thu Apr 19 07:34:21 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
alex@devprofi /distr/programming/crypto/gost/docker-cryptopro $ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 18.04.1 LTS
Release:	18.04
Codename:	bionic

Отредактировано пользователем 11 февраля 2019 г. 16:14:39(UTC)  | Причина: Не указана

Offline devildev  
#145 Оставлено : 11 февраля 2019 г. 16:23:41(UTC)
devildev

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2019(UTC)
Сообщений: 3

Ну и моя инфа о системе:

Отредактировано пользователем 11 февраля 2019 г. 16:24:24(UTC)  | Причина: Не указана

Offline Riddick-84  
#146 Оставлено : 11 февраля 2019 г. 16:46:26(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
И еще проблема. Почему так долго выполняется этот скрипт в докере
Код:
./count.sh 
OpenSSL 1.1.0h  27 Mar 2018
10
root@351b35c72888:~# cat count.sh
SECONDS=0 
/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl version 
duration=$SECONDS 
echo $duration
Offline Ефремов Степан  
#147 Оставлено : 11 февраля 2019 г. 18:31:21(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 7
Российская Федерация

С установкой все в порядке! В докере в режиме kc2 нужно:

1. Самостоятельно запускать сервис cprocsp:

Код:
 /etc/init.d/cprocsp start


2. К docker run добавить опцию --privileged (иначе с запуском демона могут быть проблемы).

Убедиться, что проблема из-за этого, можно так:

Код:
root@ub18:~# docker run -it --privileged container /bin/bash
root@docker:~# /etc/init.d/cprocsp start
...
root@docker:~# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)

Техническая поддержка здесь.
База знаний здесь.
Offline Riddick-84  
#148 Оставлено : 11 февраля 2019 г. 18:50:07(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Автор: Ефремов Степан Перейти к цитате
С установкой все в порядке! В докере в режиме kc2 нужно:

1. Самостоятельно запускать сервис cprocsp:

Код:
 /etc/init.d/cprocsp start


2. К docker run добавить опцию --privileged (иначе с запуском демона могут быть проблемы).

Убедиться, что проблема из-за этого, можно так:

Код:
root@ub18:~# docker run -it --privileged container /bin/bash
root@docker:~# /etc/init.d/cprocsp start
...
root@docker:~# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)



Да вот так работает.
Каким образом работает лицензия? например мне нужно много докер контейнеров на нескольких машинах.
У вас идет привязка к железу. Но я заранее не буду знать где какой контейнер будет работать. Например 3 машины по 3 контейнера будут. Сколько мне нужно лицензий купить?
Можно ли использовать один ключ сразу для всех контейнеров? Так чтобы прописать его в конфиге где то
а не вручную вбивать. Т к контейнеры могут пересоздаваться автоматически

Offline Дмитрий Пичулин  
#149 Оставлено : 11 февраля 2019 г. 19:14:24(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: Riddick-84 Перейти к цитате
Каким образом работает лицензия? например мне нужно много докер контейнеров на нескольких машинах.
У вас идет привязка к железу. Но я заранее не буду знать где какой контейнер будет работать. Например 3 машины по 3 контейнера будут. Сколько мне нужно лицензий купить?
Можно ли использовать один ключ сразу для всех контейнеров? Так чтобы прописать его в конфиге где то
а не вручную вбивать. Т к контейнеры могут пересоздаваться автоматически

По контейнерам и серверным лицензиям лучше уточнить в отделе продаж, могут быть нюансы, по умолчанию необходима лицензия на каждый установленный CSP, в вашем примере получается 9.

Игры с ключами на ваше усмотрение, к контейнерам априори отношение как к исполнению со слабой защитой, поэтому если не собираетесь решение сертифицировать, то делайте как удобнее.
Знания в базе знаний, поддержка в техподдержке
Offline Riddick-84  
#150 Оставлено : 11 февраля 2019 г. 20:03:28(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Riddick-84 Перейти к цитате
Каким образом работает лицензия? например мне нужно много докер контейнеров на нескольких машинах.
У вас идет привязка к железу. Но я заранее не буду знать где какой контейнер будет работать. Например 3 машины по 3 контейнера будут. Сколько мне нужно лицензий купить?
Можно ли использовать один ключ сразу для всех контейнеров? Так чтобы прописать его в конфиге где то
а не вручную вбивать. Т к контейнеры могут пересоздаваться автоматически

По контейнерам и серверным лицензиям лучше уточнить в отделе продаж, могут быть нюансы, по умолчанию необходима лицензия на каждый установленный CSP, в вашем примере получается 9.

Игры с ключами на ваше усмотрение, к контейнерам априори отношение как к исполнению со слабой защитой, поэтому если не собираетесь решение сертифицировать, то делайте как удобнее.


Имел ввиду ключ это лицензия.
Может ли ваш CSP читать приватные ключи по сетке с другой машины?
Как тогда будет выглядеть конфиг нгинкса?

Offline Riddick-84  
#151 Оставлено : 11 февраля 2019 г. 21:47:24(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Автор: Ефремов Степан Перейти к цитате
С установкой все в порядке! В докере в режиме kc2 нужно:

1. Самостоятельно запускать сервис cprocsp:

Код:
 /etc/init.d/cprocsp start


2. К docker run добавить опцию --privileged (иначе с запуском демона могут быть проблемы).

Убедиться, что проблема из-за этого, можно так:

Код:
root@ub18:~# docker run -it --privileged container /bin/bash
root@docker:~# /etc/init.d/cprocsp start
...
root@docker:~# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)

Отредактировано пользователем 12 февраля 2019 г. 1:22:11(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#152 Оставлено : 11 февраля 2019 г. 22:33:08(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: Riddick-84 Перейти к цитате
Может ли ваш CSP читать приватные ключи по сетке с другой машины?
Как тогда будет выглядеть конфиг нгинкса?

По теме настройки nginx + gostengy разобрались, создавайте новые темы с интересующими вопросами, а то какая-то мусорка получается.

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#153 Оставлено : 11 февраля 2019 г. 22:35:43(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: Riddick-84 Перейти к цитате
как теперь прописать старт cprocsp в самом докер контейнере или в стартовом скрипте?

Как уже сказано ранее, докер — это не про безопасность, следовательно не можем ничего рекомендовать, используйте как вам больше нравится.
Знания в базе знаний, поддержка в техподдержке
Offline Riddick-84  
#154 Оставлено : 12 февраля 2019 г. 1:22:46(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
в докер файл добавил
COPY start-nginx.sh ./

EXPOSE 80 443

#CMD ["nginx", "-g", "daemon off;"]
CMD ./start-nginx.sh

сам скрипт
Код:

#!/bin/bash +x
/etc/init.d/cprocsp start && nginx -g "daemon off;"
Offline Евгений_ВВ  
#155 Оставлено : 5 апреля 2019 г. 10:23:17(UTC)
Евгений_ВВ

Статус: Участник

Группы: Участники
Зарегистрирован: 13.02.2019(UTC)
Сообщений: 20
Российская Федерация
Откуда: NSK

Сказал(а) «Спасибо»: 1 раз
Здравствуйте!
Использовал оба скрипта для установки криптопро+ngnix, но возникает следующая проблема:
Код:
/usr/sbin/nginx
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
 

Видел в этой теме, что она возникла, когда ngnix уже был установлен ранее, но у меня такой ситуации не было (до выполнения скриптов ngnix установлен не был).
Выполнил команду ldd /usr/sbin/nginx . И получил следующее:
Код:

        linux-vdso.so.1 (0x00007ffe72b49000)
        libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f3b3fdfc000)
        libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f3b3fbdd000)
        libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007f3b3f9a5000)
        libpcre.so.1 => /usr/local/lib/libpcre.so.1 (0x00007f3b3f787000)
        libssl.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007f3b3f51f000)
        libcrypto.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007f3b3f0dc000)
        libz.so.1 => /usr/local/lib/libz.so.1 (0x00007f3b3eebe000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f3b3eacd000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f3b40359000)

Здесь видно, что используются старые версии SSL.
Подскажите, пожалуйста, правильно ли я понимаю, что для верного указания библиотек предназначен скрипт nginx_conf.patch?

Offline Дмитрий Пичулин  
#156 Оставлено : 5 апреля 2019 г. 10:35:18(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: Евгений_ВВ Перейти к цитате
Использовал оба скрипта для установки криптопро+ngnix, но возникает следующая проблема:

Да, что-то пошло не так.

Как воспроизвести по шагам? (система + все выполненные команды с момента установки системы)
Знания в базе знаний, поддержка в техподдержке
Offline Евгений_ВВ  
#157 Оставлено : 5 апреля 2019 г. 11:11:44(UTC)
Евгений_ВВ

Статус: Участник

Группы: Участники
Зарегистрирован: 13.02.2019(UTC)
Сообщений: 20
Российская Федерация
Откуда: NSK

Сказал(а) «Спасибо»: 1 раз
Система:
Код:
Description:    Ubuntu 18.04.1 LTS
Release:        18.04


Пакеты крипто про
Код:
ii  cprocsp-cpopenssl-110-64                        5.0.11216-5                                  amd64        OpenSSL-110. Build 11216.
ii  cprocsp-cpopenssl-110-base                      5.0.11216-5                                  all          Openssl-110 common Build 11216.
ii  cprocsp-cpopenssl-110-devel                     5.0.11216-5                                  all          Openssl-110 devel Build 11216.
ii  cprocsp-cpopenssl-110-gost-64                   5.0.11216-5                                  amd64        OpenSSL-110 gostengy engine. Build 11216.
ii  cprocsp-curl-64                                 4.0.9963-5                                   amd64        CryptoPro Curl shared library and binaris. Build 9963.
ii  lsb-cprocsp-base                                4.0.9963-5                                   all          CryptoPro CSP directories and scripts. Build 9963.
ii  lsb-cprocsp-ca-certs                            4.0.9963-5                                   all          CA certificates.  Build 9963.
ii  lsb-cprocsp-capilite-64                         4.0.9963-5                                   amd64        CryptoAPI lite. Build 9963.
ii  lsb-cprocsp-kc1-64                              4.0.9963-5                                   amd64        CryptoPro CSP KC1. Build 9963.
ii  lsb-cprocsp-kc2-64                              4.0.9963-5                                   amd64        CryptoPro CSP KC2. Build 9963.
ii  lsb-cprocsp-rdr-64                              4.0.9963-5                                   amd64        CryptoPro CSP readers. Build 9963.


nginx:
Код:
nginx version: nginx/1.14.2




Нe могу сказать, что я на "чистой" системе запускал скрипты. Прежде чем использовать скрипты, я сначала эксперементировал с крипто про, настройкой ssl для gostengine, установкой и формированием сертификатов.
Но ngnix устанавливал только через ваш скрипт. И перед последним использованием скриптов снес ngnix и крипто про.


Offline Евгений_ВВ  
#158 Оставлено : 5 апреля 2019 г. 11:15:23(UTC)
Евгений_ВВ

Статус: Участник

Группы: Участники
Зарегистрирован: 13.02.2019(UTC)
Сообщений: 20
Российская Федерация
Откуда: NSK

Сказал(а) «Спасибо»: 1 раз
А нельзя как-нибудь нужные библиотеки в ручном режиме прикрутить?
Offline Дмитрий Пичулин  
#159 Оставлено : 5 апреля 2019 г. 11:15:42(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: Евгений_ВВ Перейти к цитате
Нe могу сказать, что я на "чистой" системе запускал скрипты. Прежде чем использовать скрипты, я сначала эксперементировал с крипто про, настройкой ssl для gostengine, установкой и формированием сертификатов.
Но ngnix устанавливал только через ваш скрипт. И перед последним использованием скриптов снес ngnix и крипто про.

Мы рассчитывали, что скрипты запускаются на чистой системе, в противном случае, пользователь берёт на себя решение всех проблем, так как у него достаточно опыта для самостоятельной установки.

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#160 Оставлено : 5 апреля 2019 г. 11:17:09(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: Евгений_ВВ Перейти к цитате
А нельзя как-нибудь нужные библиотеки в ручном режиме прикрутить?

Можно, либо изучайте содержание скриптов и делайте выводы, либо запускайте на чистой системе. Помочь точечно всем мы не в состоянии.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
8 Страницы«<678
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.