logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

12 Страницы«<101112
Опции
К последнему сообщению К первому непрочитанному
Offline fov.370  
#221 Оставлено : 30 декабря 2019 г. 16:09:12(UTC)
fov.370

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.12.2019(UTC)
Сообщений: 2

Сказал(а) «Спасибо»: 2 раз
Дмитрий, спасибо!
Подскажите еще, пожалуйста, такой лог (/var/log/syslog) при перезапуске service nginx restart нормальный?

Код:

Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopping NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptReleaseContext!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopped NGINX with CryptoPro .
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Starting NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: configuration file /etc/nginx/nginx.conf test is successful
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: nginx-cpro.service: Failed to read PID from file /run/nginx.pid: Invalid argument
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Started NGINX with CryptoPro .
Offline Дмитрий Пичулин  
#222 Оставлено : 30 декабря 2019 г. 16:12:23(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 948
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: fov.370 Перейти к цитате
Дмитрий, спасибо!
Подскажите еще, пожалуйста, такой лог (/var/log/syslog) при перезапуске service nginx restart нормальный?

Код:

Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopping NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptDestroyKey!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 ter process /usr/sbin/nginx: <capi10>CryptReleaseContext!failed: LastError = 0x80090001
Dec 30 16:05:50 n4-test-ng-1 cryptsrv: <cryptsrv>WireCPImpl1ReleaseContext!WireCPImpl1ReleaseContext: context not found
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Stopped NGINX with CryptoPro .
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Starting NGINX with CryptoPro ...
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
Dec 30 16:05:50 n4-test-ng-1 nginx[26725]: nginx: configuration file /etc/nginx/nginx.conf test is successful
Dec 30 16:05:50 n4-test-ng-1 nginx: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: nginx-cpro.service: Failed to read PID from file /run/nginx.pid: Invalid argument
Dec 30 16:05:50 n4-test-ng-1 systemd[1]: Started NGINX with CryptoPro .

Ничего криминального не видно. Нормальный лог.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
fov.370 оставлено 30.12.2019(UTC)
Offline ivan-zhilin  
#223 Оставлено : 14 апреля 2020 г. 17:47:37(UTC)
ivan-zhilin

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
Добрый день.

Ставил nginx скриптом https://raw.githubuserco...nx-gost/install-nginx.sh на ОС Astra

./install-nginx.sh --csp=linux-amd64_deb.tgz

Сейчас понадобилось на рабочую систему установить geoip модуль к nginx. Подскажите, пожалуйста, как это можно сделать? Просто добавить в "nginx_paths" "--with-http_geoip_module=dynamic" и выполнить "./install-nginx.sh --csp=linux-amd64_deb.tgz"?

Offline ivan-zhilin  
#224 Оставлено : 14 апреля 2020 г. 17:52:03(UTC)
ivan-zhilin

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
Ну и возможно кому понадобится. Особенности установки скриптом (https://raw.githubusercontent.com/fullincome/scripts/master/nginx-gost/install-nginx.sh) на сертифицированную ОС Astra (Астра) и критопро 5. Устанавливается как на обычную убунту за исключением следующих особенностей:

- Не находило пакет git
Надо поключить обычный диск с астрой

- Не находило пакет gcc
Надо поключить dev диск с астрой и поставить build-essential. Он подтянет и gcc

- Не клонирует гит
Клонирование в «nginx»… fatal: unable to access 'https://github.com/nginx/nginx.git/': Problem with the SSL CA cert (path? access rights?)

Подправил команду git clone в скрипте на
git -c http.sslVerify=false clone

Offline Ефремов Степан  
#225 Оставлено : 14 апреля 2020 г. 22:20:05(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 24
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 7 раз в 7 постах
Автор: ivan-zhilin Перейти к цитате
Добрый день.

Ставил nginx скриптом https://raw.githubuserco...nx-gost/install-nginx.sh на ОС Astra

./install-nginx.sh --csp=linux-amd64_deb.tgz

Сейчас понадобилось на рабочую систему установить geoip модуль к nginx. Подскажите, пожалуйста, как это можно сделать? Просто добавить в "nginx_paths" "--with-http_geoip_module=dynamic" и выполнить "./install-nginx.sh --csp=linux-amd64_deb.tgz"?



Кажется должно заработать. Только, наверное, в nginx_parameters корректнее (а не nginx_paths).

У Вас получилось? Если нет - пишите, посмотрим.
Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
ivan-zhilin оставлено 16.04.2020(UTC)
Offline ivan-zhilin  
#226 Оставлено : 14 апреля 2020 г. 22:42:30(UTC)
ivan-zhilin

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
Автор: Ефремов Степан Перейти к цитате

Кажется должно заработать.


Он именно должен переустановить уже имеющийся nginx, установленный ранее? Попробую на неделе думаю.

Offline Ефремов Степан  
#227 Оставлено : 15 апреля 2020 г. 13:34:05(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 24
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 7 раз в 7 постах
Автор: ivan-zhilin Перейти к цитате
Он именно должен переустановить уже имеющийся nginx, установленный ранее? Попробую на неделе думаю.


Зависит от того, где он располагается.
В скрипте используются эти пути при установке:

Код:
prefix=/etc/nginx
sbin_path=/usr/sbin/nginx
conf_path=/etc/nginx/nginx.conf
err_log_path=/var/log/nginx/error.log
http_log_path=/var/log/nginx/access.log
pid_path=/var/run/nginx.pid
lock_path=/var/run/nginx.lock


Конечно же, их можно поменять прямо в скрипте.
Техническая поддержка здесь.
База знаний здесь.
Offline ivan-zhilin  
#228 Оставлено : 16 апреля 2020 г. 23:42:30(UTC)
ivan-zhilin

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.01.2017(UTC)
Сообщений: 5

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 4 раз в 2 постах
Доустановил на систему с рабочим nginx (ставил скриптом https://raw.githubuserco...x-gost/install-nginx.sh) модуль geoip. Ставил на ОС Астра (по сути Debian). Критопро уже был и работал вместе с nginx. Только модуля geoip не хватало.

Доустанавливал тем же скриптом.

В нем поправил:
Код:
nginx_parametrs=" --user=${user} --group=${group} --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module"


на (дописал в конец)
Код:
nginx_parametrs=" --user=${user} --group=${group} --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-http_geoip_module=dynamic"


Далее установил в систему libgeoip-dev - в астре нужно чтобы был подключен dev-репозиторий с диска. Без libgeoip-dev запуск скрипта завершался ошибкой:

Код:
./auto/configure: error: the GeoIP module requires the GeoIP library.
You can either do not enable the module or install the library.

Код:
sudo apt-get install libgeoip-dev


Собственно поставились geoip-bin libgeoip-dev

Далее забэкапил /etc/nginx, /etc/init.d/nginx (последнего может не быть - делал вроде бы для себя)

Далее скрипт установки запустил так (из под рута):
Код:
./install-nginx.sh --install=nginx


Все скачалось, скомпилировалось и работает. Конфиги nginx не перезатерлись, работающий nginx не останавливался, перерыва в работе сайтов не было.

Далее проверил конфиг (nginx -t) и перезапустил nginx (restart-ом). Все заработало.

Было
Код:
root@secret:/usr# nginx -V
nginx version: nginx/1.14.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.0i  14 Aug 2018
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=root --group=nginx --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie'


Стало
Код:
root@secret:~/cpro# nginx -V
nginx version: nginx/1.14.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.0i  14 Aug 2018
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=root --group=nginx --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-http_geoip_module=dynamic --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie'


Саму работу geoip не тестировал, но думаю все ок, посмотрю позже.

PS.

При запуске скрипта были ошибки:
Код:
error: ошибка применения изменений: auto/lib/openssl/conf:62
error: auto/lib/openssl/conf: не удалось применить патч

Устраняется удалением из папки со скриптом папки nginx и nginx_conf.patch. И запуском скрипта снова. Он заного выкачает исходники.


thanks 3 пользователей поблагодарили ivan-zhilin за этот пост.
Дмитрий Пичулин оставлено 16.04.2020(UTC), Ефремов Степан оставлено 17.04.2020(UTC), raynor оставлено 14.05.2020(UTC)
Offline dron88  
#229 Оставлено : 11 мая 2020 г. 19:46:50(UTC)
dron88

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2020(UTC)
Сообщений: 2
Украина
Откуда: Северодонецк

Всё это очень хорошо, но хотелось бы уже чего-то нового. А есть уже сертификаты 2020 года?
Offline lab2  
#230 Оставлено : 12 мая 2020 г. 14:41:58(UTC)
lab2

Статус: Участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Автор: Ефремов Степан Перейти к цитате
Автор: Ефремов Степан Перейти к цитате
Автор: lab2 Перейти к цитате
Все получилось, скрипты отработали, но не все получилось, проблема теперь с openssl


У вас cpopenssl установлен, nginx должен работать корректно. Но просматривается другая проблема: при установке cpopenssl добавляется путь к библиотекам cpopenssl (в /etc/ld.so.conf). Но в path ничего не добавляется. Поэтому системный openssl пробует работать с нашими библиотеками (1.1.0) и похоже у него не получается.

Это странно, т.к. если встречается openssl версии выше нашей (1.1.0i), то пути к библиотекам добавляются с меньшим приоритетом (о чем сообщается при установке), чтобы таких ситуаций как у вас как раз и не было. Похоже на то, что после установки CSP системный openssl проапгрейдили до версии 1.1.1.

Пришлите пожалуйста версию системного openssl и самой OS. Чтобы системный openssl не возмущался, удалите наши пакеты (или весь csp с помощью uninstall.sh).


Воспроизвели на ub18. Изначально версия openssl 1.1.0, после некоторого времени работы (около часа), ubuntu сама upgrade-ит openssl до версии 1.1.1. Получается не хорошо.
В связи с тем, что в CSP планируем обновление cpopenssl до версии 1.1.1, вносить исправления для таких ситуаций не будем.

Как вариант - удаление/установка cpopenssl понизит приоритет нашему openssl (системный будет в порядке). А для использования нашего openssl придется пользоваться LD_LIBRARY_PATH.


Добрый день.
Есть ли новости по
Цитата:
В связи с тем, что в CSP планируем обновление cpopenssl до версии 1.1.1
?
И если не скоро, можно попросить чуть подробней на практике показать как использовать
Цитата:
"А для использования нашего openssl придется пользоваться LD_LIBRARY_PATH"
?

И как пожелание, поправить в скриптах тестовый УЦ на https://testgost2012.cryptopro.ru/certsrv/

Отредактировано пользователем 12 мая 2020 г. 14:45:54(UTC)  | Причина: Не указана

Offline Ефремов Степан  
#231 Оставлено : 13 мая 2020 г. 17:39:09(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 24
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 7 раз в 7 постах
Автор: lab2 Перейти к цитате
Добрый день.
Есть ли новости по
Цитата:
В связи с тем, что в CSP планируем обновление cpopenssl до версии 1.1.1
?
И если не скоро, можно попросить чуть подробней на практике показать как использовать
Цитата:
"А для использования нашего openssl придется пользоваться LD_LIBRARY_PATH"
?

И как пожелание, поправить в скриптах тестовый УЦ на https://testgost2012.cryptopro.ru/certsrv/


Обновили openssl до 1.1.1g версии. Предположительно, будет эта версия (или новее) в следующем релизе CSP. Пакеты версии 1.1.1 можно брать отсюда (пакеты содержат 110 в названии - это нормально, исправим позже): https://update.cryptopro...t/nginx-gost/bin/211453.

Скрипты на github поправили (на travis ошибок нет):
  • обновили версию PCRE с 8.42 до 8.44
  • обновили версию openssl с 1.1.0 до 1.1.1
  • заменили тестовый УЦ в скриптах с cryptopro.ru/certsrv на testgost2012.cryptopro.ru/certsrv

BTW: LD_LIBRARY_PATH используется для указания приоритетного источника при поиске динамических библиотек. Если по какой-то причине вам нужно, чтобы приложение
использовало наши libssl и libcrypto, но по умолчанию это не так, то перед использованием приложения нужно выполнить (на примере ub18):
Код:
export LD_LIBRARY_PATH=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64


При работе с последней версией скриптов использование LD_LIBRARY_PATH не нужно.
Техническая поддержка здесь.
База знаний здесь.
Offline Ефремов Степан  
#232 Оставлено : 13 мая 2020 г. 17:41:14(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 24
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 7 раз в 7 постах
Автор: dron88 Перейти к цитате
Всё это очень хорошо, но хотелось бы уже чего-то нового. А есть уже сертификаты 2020 года?


О каких сертификатах идет речь?
Техническая поддержка здесь.
База знаний здесь.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
12 Страницы«<101112
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.