logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

8 Страницы«<678
Опции
К последнему сообщению К первому непрочитанному
Offline devildev  
#141 Оставлено : 11 февраля 2019 г. 7:49:38(UTC)
devildev

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2019(UTC)
Сообщений: 3

Та-же самая проблема с докер контейнером, всё 1-в-1.




Отредактировано пользователем 11 февраля 2019 г. 11:53:17(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#142 Оставлено : 11 февраля 2019 г. 11:59:32(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 752
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 111 раз в 96 постах
Автор: devildev Перейти к цитате
Та-же самая проблема с докер контейнером, всё 1-в-1.

Мы проверили на чистой системе, не воспроизводится.

Если пришлёте как воспроизвести на чистой системе, где первый шаг это установить систему X, обязательно посмотрим.

Знания в базе знаний, поддержка в техподдержке
Offline devildev  
#143 Оставлено : 11 февраля 2019 г. 12:35:14(UTC)
devildev

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2019(UTC)
Сообщений: 3

Автор: Дмитрий Пичулин Перейти к цитате
Автор: devildev Перейти к цитате
Та-же самая проблема с докер контейнером, всё 1-в-1.

Мы проверили на чистой системе, не воспроизводится.

Если пришлёте как воспроизвести на чистой системе, где первый шаг это установить систему X, обязательно посмотрим.



https://dropmefiles.com/6FOjP

1) Распаковать
2) Перейти в папку
3) docker build .
4) ???
5) В консоли видим ошибку, описанную выше
Offline Riddick-84  
#144 Оставлено : 11 февраля 2019 г. 13:13:58(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Автор: devildev Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: devildev Перейти к цитате
Та-же самая проблема с докер контейнером, всё 1-в-1.

Мы проверили на чистой системе, не воспроизводится.

Если пришлёте как воспроизвести на чистой системе, где первый шаг это установить систему X, обязательно посмотрим.



https://dropmefiles.com/6FOjP

1) Распаковать
2) Перейти в папку
3) docker build .
4) ???
5) В консоли видим ошибку, описанную выше


Та же самая ошибка
вот моя инфа о системе


Код:
Step 8/9 : RUN /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl version -a
 ---> Running in aa9a611d20bb
OpenSSL 1.1.0h  27 Mar 2018
built on: reproducible build, date unspecified
platform: linux-x86_64
options:  bn(64,64) rc4(8x,int) des(int) idea(int) blowfish(ptr) 
compiler: gcc -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPADLOCK_ASM -DPOLY1305_ASM -DOPENSSLDIR="\"/var/opt/cprocsp/cp-openssl-1.1.0\"" -DENGINESDIR="\"/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines\"" 
OPENSSLDIR: "/var/opt/cprocsp/cp-openssl-1.1.0"
ENGINESDIR: "/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines"
 ---> 4e32cc8f29b0
Removing intermediate container aa9a611d20bb
Step 9/9 : RUN /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
 ---> Running in 1766cb380a01
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
140352047789824:error:260B606D:engine routines:dynamic_load:init failed:crypto/engine/eng_dyn.c:485:
140352047789824:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
140352047789824:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1      
 ---> 894257fd8bd4
Removing intermediate container 1766cb380a01
Successfully built 894257fd8bd4
Successfully tagged devprofi/cpronginx:latest
alex@devprofi /distr/programming/crypto/gost/docker-cryptopro $ docker version
Client:
 Version:      17.09.1-ce
 API version:  1.32
 Go version:   go1.8.3
 Git commit:   19e2cf6
 Built:        Thu Dec  7 22:24:23 2017
 OS/Arch:      linux/amd64

Server:
 Version:      17.09.1-ce
 API version:  1.32 (minimum version 1.12)
 Go version:   go1.8.3
 Git commit:   19e2cf6
 Built:        Thu Dec  7 22:23:00 2017
 OS/Arch:      linux/amd64
 Experimental: false
alex@devprofi /distr/programming/crypto/gost/docker-cryptopro $ uname -a
Linux devprofi 4.15.18-041518-generic #201804190330 SMP Thu Apr 19 07:34:21 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
alex@devprofi /distr/programming/crypto/gost/docker-cryptopro $ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 18.04.1 LTS
Release:	18.04
Codename:	bionic

Отредактировано пользователем 11 февраля 2019 г. 13:14:39(UTC)  | Причина: Не указана

Offline devildev  
#145 Оставлено : 11 февраля 2019 г. 13:23:41(UTC)
devildev

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2019(UTC)
Сообщений: 3

Ну и моя инфа о системе:

Отредактировано пользователем 11 февраля 2019 г. 13:24:24(UTC)  | Причина: Не указана

Offline Riddick-84  
#146 Оставлено : 11 февраля 2019 г. 13:46:26(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
И еще проблема. Почему так долго выполняется этот скрипт в докере
Код:
./count.sh 
OpenSSL 1.1.0h  27 Mar 2018
10
root@351b35c72888:~# cat count.sh
SECONDS=0 
/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl version 
duration=$SECONDS 
echo $duration
Offline Ефремов Степан  
#147 Оставлено : 11 февраля 2019 г. 15:31:21(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 7
Российская Федерация

С установкой все в порядке! В докере в режиме kc2 нужно:

1. Самостоятельно запускать сервис cprocsp:

Код:
 /etc/init.d/cprocsp start


2. К docker run добавить опцию --privileged (иначе с запуском демона могут быть проблемы).

Убедиться, что проблема из-за этого, можно так:

Код:
root@ub18:~# docker run -it --privileged container /bin/bash
root@docker:~# /etc/init.d/cprocsp start
...
root@docker:~# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)

Техническая поддержка здесь.
База знаний здесь.
Offline Riddick-84  
#148 Оставлено : 11 февраля 2019 г. 15:50:07(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Автор: Ефремов Степан Перейти к цитате
С установкой все в порядке! В докере в режиме kc2 нужно:

1. Самостоятельно запускать сервис cprocsp:

Код:
 /etc/init.d/cprocsp start


2. К docker run добавить опцию --privileged (иначе с запуском демона могут быть проблемы).

Убедиться, что проблема из-за этого, можно так:

Код:
root@ub18:~# docker run -it --privileged container /bin/bash
root@docker:~# /etc/init.d/cprocsp start
...
root@docker:~# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)



Да вот так работает.
Каким образом работает лицензия? например мне нужно много докер контейнеров на нескольких машинах.
У вас идет привязка к железу. Но я заранее не буду знать где какой контейнер будет работать. Например 3 машины по 3 контейнера будут. Сколько мне нужно лицензий купить?
Можно ли использовать один ключ сразу для всех контейнеров? Так чтобы прописать его в конфиге где то
а не вручную вбивать. Т к контейнеры могут пересоздаваться автоматически

Offline Дмитрий Пичулин  
#149 Оставлено : 11 февраля 2019 г. 16:14:24(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 752
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 111 раз в 96 постах
Автор: Riddick-84 Перейти к цитате
Каким образом работает лицензия? например мне нужно много докер контейнеров на нескольких машинах.
У вас идет привязка к железу. Но я заранее не буду знать где какой контейнер будет работать. Например 3 машины по 3 контейнера будут. Сколько мне нужно лицензий купить?
Можно ли использовать один ключ сразу для всех контейнеров? Так чтобы прописать его в конфиге где то
а не вручную вбивать. Т к контейнеры могут пересоздаваться автоматически

По контейнерам и серверным лицензиям лучше уточнить в отделе продаж, могут быть нюансы, по умолчанию необходима лицензия на каждый установленный CSP, в вашем примере получается 9.

Игры с ключами на ваше усмотрение, к контейнерам априори отношение как к исполнению со слабой защитой, поэтому если не собираетесь решение сертифицировать, то делайте как удобнее.
Знания в базе знаний, поддержка в техподдержке
Offline Riddick-84  
#150 Оставлено : 11 февраля 2019 г. 17:03:28(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Riddick-84 Перейти к цитате
Каким образом работает лицензия? например мне нужно много докер контейнеров на нескольких машинах.
У вас идет привязка к железу. Но я заранее не буду знать где какой контейнер будет работать. Например 3 машины по 3 контейнера будут. Сколько мне нужно лицензий купить?
Можно ли использовать один ключ сразу для всех контейнеров? Так чтобы прописать его в конфиге где то
а не вручную вбивать. Т к контейнеры могут пересоздаваться автоматически

По контейнерам и серверным лицензиям лучше уточнить в отделе продаж, могут быть нюансы, по умолчанию необходима лицензия на каждый установленный CSP, в вашем примере получается 9.

Игры с ключами на ваше усмотрение, к контейнерам априори отношение как к исполнению со слабой защитой, поэтому если не собираетесь решение сертифицировать, то делайте как удобнее.


Имел ввиду ключ это лицензия.
Может ли ваш CSP читать приватные ключи по сетке с другой машины?
Как тогда будет выглядеть конфиг нгинкса?

Offline Riddick-84  
#151 Оставлено : 11 февраля 2019 г. 18:47:24(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
Автор: Ефремов Степан Перейти к цитате
С установкой все в порядке! В докере в режиме kc2 нужно:

1. Самостоятельно запускать сервис cprocsp:

Код:
 /etc/init.d/cprocsp start


2. К docker run добавить опцию --privileged (иначе с запуском демона могут быть проблемы).

Убедиться, что проблема из-за этого, можно так:

Код:
root@ub18:~# docker run -it --privileged container /bin/bash
root@docker:~# /etc/init.d/cprocsp start
...
root@docker:~# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)

Отредактировано пользователем 11 февраля 2019 г. 22:22:11(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#152 Оставлено : 11 февраля 2019 г. 19:33:08(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 752
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 111 раз в 96 постах
Автор: Riddick-84 Перейти к цитате
Может ли ваш CSP читать приватные ключи по сетке с другой машины?
Как тогда будет выглядеть конфиг нгинкса?

По теме настройки nginx + gostengy разобрались, создавайте новые темы с интересующими вопросами, а то какая-то мусорка получается.

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#153 Оставлено : 11 февраля 2019 г. 19:35:43(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 752
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 111 раз в 96 постах
Автор: Riddick-84 Перейти к цитате
как теперь прописать старт cprocsp в самом докер контейнере или в стартовом скрипте?

Как уже сказано ранее, докер — это не про безопасность, следовательно не можем ничего рекомендовать, используйте как вам больше нравится.
Знания в базе знаний, поддержка в техподдержке
Offline Riddick-84  
#154 Оставлено : 11 февраля 2019 г. 22:22:46(UTC)
Riddick-84

Статус: Участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 26
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 2 раз
в докер файл добавил
COPY start-nginx.sh ./

EXPOSE 80 443

#CMD ["nginx", "-g", "daemon off;"]
CMD ./start-nginx.sh

сам скрипт
Код:

#!/bin/bash +x
/etc/init.d/cprocsp start && nginx -g "daemon off;"
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
8 Страницы«<678
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.