МЕНЮ ≡

Вход на сайт

О решении задачи импортозамещения на примере настройки СМЭВ на платформе GNU/Linux

Аватар пользователя И-23

В статье с обсуждением… инициативы по организации единой цифровой базы с информацией о населении (или вот ещё одна статья, обзорная, а вот — уже сообщение об одобрении инициативы), что, в первую очередь на порядки снижает издержки атакующего, в качестве контраргумента (альтернативы) приводилось указание на существующую систему СМЭВ (Единая система межведомственного электронного взаимодействия).

Откуда естественным образом следует стремление познакомиться с предлагаемой альтернативой поближе.

Сюда же должно посчитать сначала заботливо выпестованную подсадку всех сколько-нибудь значимых организационных структур на проприетарные технологии (искать ссылку на наброс о «необходимости» и «незаменимости» ада не буду, но для лучшего понимания тенденции напомню, что в руководствах по информационной безопасности не рекомендуется использование одного пароля для разных сервисов), а потом и закономерную тенденцию к работам над освобождением от оной под лозунгом «импортозамещения».

С учётом опыта товарищей с Ямала (которые на основании результатов анализа документации отдали предпочтение платформе самой распространённой ОС) и по причине отсутствия в публичном сегменте интернетов сколько-нибудь целостного описания процесса установки на платформе GNU/Linux попробую восполнить пробел.

Ибо обещания [некоторых жёлтых изданий] за денежку дать текст без каких-либо гарантий наличия в оном надлежащего ответа (есть в моём опыте примеры феерической ахинеи от профессионалов «поддержки» продаванов тырпрайс-оборудования и сертифицированных решений) — суть инфомусор.

Ранее я приводил описание заочного теоретического анализа, здесь же конспект практической части. Добавлю только, что не-знание факта распространённости блокировки пользователями JavaScript (вкупе с причинами данной практики) и, как следствие, отсутствие проверки доступности оного на ресурсе, самое отображение которого обеспечивается средствами данной технологии замечательно характеризует как разработчиков, так и заказчиков.

Как уже упоминалось, кросс-платформенность обеспечивается (хотя с учётом… особенностей реализации я склонен скорее применить термин «имитируется») использованием среды языка программирования высокого уровня Java (далее — жаба).

О проблемах с решением задачи интеграции которой с базовыми системными сервисами фрюниксов (которые наблюдаются далеко не только на примере рассматриваемого адаптера СМЭВ) разработчики явно не слышали. Не говоря о понимании и надлежащем практическом применении Знания.

Сам «адаптер» распространяется бесплатно.

Но у него есть одна проприетарная зависимость. Для работы криптографии необходимо приобрести один из двух комплектов ПО:

  • КриптоПро CSP + Trusted Java 2.0 (две лицензии);
  • КриптоПро JCP 2.0 (одна лицензия).

Плюс сертификаты, но эту тему я знаю… недостаточно хорошо, поэтому буду только упоминать в объёме необходимого минимума.

При этом необходимо помнить, что Сокровенное Знание о традиционном для Unix™ подходе к разработке и эксплуатации условно-работоспособного ПО давно перешло в область Священного Предания, о самом существовании которого осведомлены не только лишь все.

Лишние (и при этом совершенно ненужные) шаманства ненужны. Поэтому останавливаюсь на втором сценарии.

Немного послезнания на предмет выбора версии КриптоПро.

На момент написания статьи для загрузки доступны три версии:

  • КриптоПро JCP и JTLS R2 (2.0.40035);
  • КриптоПро JCP и JTLS R3 (2.0.40502);
  • КриптоПро JCP и JTLS (2.0.41473).

При попытке использования версии jcp-2.0.40035 в журнале [адаптера СМЭВ] ошибка:

2020-06-23 17:27:42.040 ERROR 13579 - [main] ru.rtlabs.smev3.adapter.integration.smev.CryptoInitializer : CryptoInitializer init failure: provider with name "JCP2" not found

Откуда, кстати, следует ответ на вопрос о фиксации странных версий внешних зависимостей («commons-logging-1.1.jar и xmlsec-1.4.5.jar») в руководстве администратора.

Скачивание упоминаемой версии («На этот раз использовал JCP версии 2.0.40424.»), что интересно, недоступно.

Самую свежую версию (jcp-2.0.41473) не пробовал. Использую jcp-2.0.40502.

Ещё загадочно, что если комментарий о версиях зависимостей был отражён в руководстве администратора, то комментарий об изменении версии КриптоПро прошёл незамеченным.

Вопрос способа удовлетворения зависимостей закономерным образом покрыт завесой молчания (из принципа «никакой угрожаемой независимой перепроверкой конкретики»). Единственное, НЯП из руководства администратора адаптера: адаптер должен использовать ту же версию Java, что и КриптоПро. При этом в дополнительных материалах (видео!!!☹) прямо указывается на использование оригинальной Java от [ныне] северо-американской корпорации Oracle.

И тут я полагаю необходимым напомнить о вывешенном в 2014 году ружже (см. Компания Oracle):

По факту: из огня, да в полымя. Из объятий одной демократической корпорации (Майкросовт), да к другой (Oracle). Хотя, если посмотреть на опыт товарищей с Ямала, нежные объятия Майкросовта не освобождают их от обязательств перед Ораклом.

Сюда же следует отметить изменение лицензионного «соглашения» (на оригинальную жабу) в апреле 2019 года (см. FAQ англ., если кто не поленится исследовать тему и перевести — буду благодарен).

Но это ещё даже не половина истории. Остаётся вопрос выбора версии. Судя по странице загрузки КриптоПро при переходе от восьмой версии Java к десятой поломали совместимость (ждём повторения истории с dev-lang/python:2).

Но тут я просто смотрю на свободную реплику (dev-java/icedtea), вижу (по состоянию на момент написания статьи) наличие только восьмой версии и делаю очевидный вывод в пользу восьмой версии. Хотя разработчик предлагает уже одиннадцатую…

Следующая развилка: выбор дистрибутива. И хотя в документации указывается на использование JRE (Java Runtime Environment), мой опыт указывает на то, что тут можно встретиться с особенностями разработки/тестирования и надёжнее сразу брать JDK (Java Development Kit. Includes a complete JRE plus tools for developing, debugging, and monitoring Java applications.). На основании наличного опыта делаю выбор в пользу последнего, без дополнительных проверок.

Лирическое отступление о принципах компоновки дистрибутива GNU/Linux

При творческом и основанном на живой практике толковании FHS (Filesystem Hierarchy Standard) необходимо отметить важный практический вывод: произвольное создание/удаление файлов возможно только (!) в домашнем каталоге пользователя (/home/…) и, с некоторыми оговорками, в /var/… и /tmp/… (для root'а — ещё и в /etc/…). Все прочие файлы должны контролироваться строго приказчиком пакетов. Предупреждение о следствиях нарушения данного принципа сформулировано ещё в 2008 году (см. #14443).

Переходим к Практике

На этом теоретическое отступление можно считать законченным и переходить к Практике. В силу некоторых обостоятельств я вынужден ориентироваться на платформу Enterprise Linux 7 (со всеми сопутствующими ништяками в виде интегрированного/включённого SELinux) и с созданием для адаптера СМЭВ специального непривилегированного пользователя adapter.

«Enterprise Linux» — на практике обычно (но не всегда, тут есть вариант) означает CentOS. Все достоинства которого сводятся к совместимости с RHEL и бесплатности.

Сюда же следует посчитать калькуляции Irsi (старательно открещивающегося от выступлений на ЛОРе лет двадцать тому назад) на тему цены владения аналогичным проектом.

И моё мнение о том, что в деле выбора национальной платформы следует отталкиваться от PMS (Package Manager Specification) ориентироваться на калькулятор (Calculate Linux).

Устанавливаю скачанный с сайта Оракла и проверенный (!) пакет:

# yum install ./jdk-8u*-linux-x64.rpm

После чего перехожу к «установке» КриптоПро. Описание процесса загрузки/проверки в предыдущей статье. В начальном приближении использую ознакомительную версию лицензии.

Установка выполняется запуском «pesky» (© unpacker.eclass (5) из пакета =app-doc/eclass-manpages-20200213) бинарного файла установщика (всё привычным для погромиздов способом, как в самой распространённой ОС, продаваны подписок (регулярные платежи!) на вредоносное ПО лаборатории касперского жадно потирают ручки), причём запускать его нужно с правами root'а.

Сама «установка» сводится к копированию jar-архивов дистрибутива в каталог JRE.

# unzip jcp-2.0.40502.zip && cd jcp-2.0.40502 && sh setup_console.sh /usr/java/jdk1.8.0_251-amd64/jre

Попутно наслаждаемся зрелищем высокой культуры компоновки оригинальных пакетов (с прибиванием в пути версии).

При этом, что самое смешное, «устанавливаются» далеко не все *необходимые* для работы инструменты. Например оболочка для запуска гуя настройки (ControlPane.sh). Которую можно отдельно ручками скопировать в ~/bin/.

О применимости последнего скромно умолчим (потому что уже очень давно во всех дистритубивах GNU/Linux категорически не рекомендуется запускать X Window System с правами root'а).

С привлечением толики послезнания: втыкаю стандартный GUI (зачем гуй на сервере? или просто инерция импринтинга виндавса в опыте разработчиков?)…

# yum groupinstall "Server with GUI"

Временно забиваю на представления о правильности, подключаюсь к физической консоли (набор шаманств ещё тот), пробую запустить конфигурялку КриптоПро и… пра-а-авильно, вижу, что в данном сценарии костыль (специально написанная программа для «установки» подменяющая стандартный и ключевой элемент компоновки дистрибутива) не смог ни правильно «установить» временную лицензию, ни хотя бы проверить результат выполнения операции.

Данная «установка» неработоспособна и практически бесполезна.

Такой вот «лидер российского рынка». Надеюсь, все оценили.

Сношу всё нафиг (КриптоПро и жабу) и, руководствуясь принципом: ересью больше, ересью меньше, итог — один, втыкаю жабу из тарболла (естественно, аналогично пакету не поленившись хотя бы проверить контрольные суммы), как, по всей видимости, и предполагали авторы сего поделия.

# cd /opt && tar zxf /root/jdk-8u*-linux-x64.tar.gz

Отсюда же, кстати, следует вывод о неприменимости свободной реализации (потому что она устанавливается стандартным и правильным с точки зрения логики компоновки дистрибутива образом из пакета). Здесь же из закромов личного опыта можно извлечь воспоминания о проблемах при использовании программных решений, аналогичных рассматриваемому, совместно с реализациями жабы, отличными от оригинальной (и это закономерно: если в ППО акцент разработки ставится на чтоб работало, то в СПО — на том, чтобы работало правильно).

По этому поводу не буду подавлять соблазн и процитирую Прекрасное с просторов интернетов:

I had a problem so I thought I would use Java. Now I have ProblemFactory.

Повторяю процесс установки КриптоПро с костыльно воткнутой оригинальной жабой:

# unzip jcp-2.0.40502.zip && cd jcp-2.0.40502 && sh setup_console.sh /opt/jdk1.8.0_251/jre

Попутно отмечаю, что с таким способом «установки» (прибитая в пути к JRE версия жабы с копированием по оному файлов КриптоПро) совершенно непонятен процесс обновления [жабы], которые случаются… достаточно регулярно. Например в случае популярного проекта PHP минорные обновления выходят примерно раз в месяц. И отслеживать которые, в случае самостоятельной установки, нужно тоже самостоятельно и вручную.

Возвращаюсь к «установке» и [ересью больше, ересью меньше…] выдаю права непривилегированному пользователю, попутно наслаждаясь зияющими высотами культуры разработки многопользовательских приложений. На этот раз всё вроде бы на месте.

# chown -R adapter:adapter /opt/jdk1.8.0_251/jre/.systemPrefs

Можно втыкать контейнер с сертификатом и ключом, а также необходимыми сертификатами ЦА. Вообще-то согласно изначальной задумке модель предусматривала использование устройств типа «Рутокен», но… эпопеей фактической поддержки фрюниксов разработчиками устройств, заявляющими совместимость (!), можно насладиться здесь. Поэтому с учётом корректив, внесённых Практикой — компромиссный вариант (hdimagestore).

Эту тему (сертификаты) я представляю не настолько хорошо, чтобы описывать. Поэтому только отмечу из послезнания необходимость задания пароля приватного ключа.

И путь к файлам: /var/opt/cprocsp/keys/adapter/

При этом необходимо помнить о таком следствии использования платформы Java, как необходимость импорта сертификатов Центров Авторизации в специальное хранилище с помощью отдельной утилиты (/opt/jdk1.8.0_251/jre/bin/keytool):

$ keytool -keystore cacerts -importcert -alias <alias> -file <filename>.cer

На этом квест удовлетворения описанных зависимостей можно считать завершённым и привлечь послезнание для удовлетворения зависимостей не описанных.

В pesky бинарном установщике закономерным образом отсутствует предварительная проверка наличия стандартных утилит. А в Enterprise Linux 7 свершился production дебют поделия Леннарта с потерей целого ряда стандартных и привычных утилит (то же самое только иначе, с исправлением «фатального недостатка»). Исправляем это:

# yum install net-tools

После чего можно запускать установку собственно приложения:

$ mkdir smev3 && cd smev3 && sh smev_adapter_v.3.1.8.run

Завершающим этапом установки (столько ересей наворочено, что уже всё равно) — копирование внешних зависимостей адаптера по указанному пути.

# cp commons-logging-1.1.jar /opt/jdk1.8.0_251/jre/lib/ext/

# cp xmlsec-1.4.5.jar /opt/jdk1.8.0_251/jre/lib/ext/

И, собственно то, ради чего оно городилось, то есть запуск.

$ cd smev3 && ./adapter.sh start

Причём попытка запуска с использованием полного пути:

$ /home/adapter/smev3/adapter.sh start

совершенно внезапно не работает. Такой вот памятник общей культуре разработки.

После установки нужно осуществить настройку. Для чего [СЮРПРИЗ] предлагается использовать административную web-консоль (то есть настройка требует запуска приложения, с учётом давней моды из мира баз данных — практически стандарт). Всей «защиты» которой — нестандартный порт (парольный механизм авторизации, да с использованием протокола http — это неспортивно).

Теперь необходимо сделать организационное отступление и зарегистрировать Информационную Систему у оператора СМЭВ.

После завершения регистрации он предоставляет символьную строку идентификатора (т.н. «мнемонику»).

Без задания этой строки настройка практически невозможна.

Интерфейс к меню настройки спрятан за тремя горизонтальными линиями в левом верхнем углу ☺

Как у всякого уважающего себя параноика, умолчательное действие локального пакетного фильтра для цепочки OUTPUT установлена в DROP.

Для успешного завершения данного этапа настройки необходимо разрешить сетевой доступ к http://smev.gosuslugi.ru/ (в руководстве администратора почему-то описан в разделе Windows ☺).

Ну и, с привлечением послезнания и чтобы два раза не вставать: остальные потребные сетевые доступы согласно ЧаВО (адреса в зависимости от используемого контура). Полный список необходимых разрешений:

  • smev.gosuslugi.ru порт 80/tcp (на момент написания статьи в списке актуальных адресов/подключений почему-то отсутствует);
  • порт 7500/tcp (для случая использования схем 1.1. и 1.2);
  • порт 5000/tcp (для случая использования схемы 1.3);
  • порт 8580/tcp — СГКТ;
  • + при необходимости FTP.

Про причины живучести и очередного воскрешения протокола FTP, за запрет на использование которого не первый год бьются профессионалы от кагбы «информационной безопасности», хочется вспомнить наблюдение с ЛОРа:

Пых это дельфи в веб программировнии. Его в очередной раз закопали, но вот произошел новый выпуск веб программистов, и толпа школьников с лопатами выбежала на кладбище, откопано:

  • - 3 дохлых кота
  • - freeBsd
  • - php
  • - неопопзнанные скелет кентавра

wfrr (*) (28.02.2010 12:23:22)

После чего необходимо задать соответствующего криптопровайдера:

  • «DIGT» для КриптоПро CSP + Trusted Java 2.0;
  • «JCP2» для КриптоПро JCP 2.0.

Под псевдонимами сертификата и приватного ключа понимается идентификатор контейнера (hdimagestore) в котором они располагаются. При этом смысл двукратного задания одной и той же строки от меня ускользает.

Прекраснее только «импортозамещательное» умолчательное значение хранилища сертификатов («реестр» Microsoft Windows).

Человекочитаемого способа получения строки идентификатора контейнера [в случае использования платформы GNU/Linux (такая вот «кроссплатформенность»)] мне не известно. Но если, после настройки КриптоПро и выбора правильного криптопровайдера, ткнуться в кнопку «Проверка подписи», сам адаптер подскажет список доступных.

Контрольное нажатие кнопки «Проверить подпись» показывает доступность провайдера, наличие сертификата и ключа.

На этом предварительную часть квеста можно считать закрытой.

ЗЫ: Да, для вдохновения при выяснении причин наблюдаемых ошибок рекомендуется использовать журнал.

Файл (в предполагаемой структуре) /home/adapter/smev3/logs/smev-adapter.log (запись журналов по FHS в /var/log/? не, не слышали… причём тенденцию можно наблюдать как бы не на всех (!) виденных мной жаба-поделиях)

Вопросы настройки журналирования (ротация, параметры сжатия, отказ от использования файловых журналов с отправкой сообщений syslog-серверу) как обычно делегированы в… неведомые дали.

Конфигурационный файл, в котором, справедливости ради, практически ничего интересного — /home/adapter/smev3/config.ini

Основной задачей эксплуатации является отслеживание сроков действия закрытого ключа и сертификата.


ЗЫ: На десерт в качестве иллюстрации инфраструктурных проблем «импортозамещения» полезно напомнить статью о работоспособности KVM.

С привлечением послезнания могу констатировать, что за два минувшие года ничего, кроме наглядной иллюстрации экономии на сопровождении (за самостоятельное отслеживание срока действия сертификатов и их своевременное обновление денег не платят), не изменилось.

Авторство: 
Авторская работа / переводика
Фонд поддержки авторов AfterShock

Комментарии

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(10:33:50 / 30-06-2020)

И зачем вы у Оракла жаву ставите, у него истек срок поддержки и оно потенциально санкционное. Только OpenJDK!

Ключи и сертификаты КриптоПРО и прочие псевдонимы используют стандарты жабы и там все стандартно. 

Аватар пользователя И-23
И-23(4 года 9 месяцев)(11:03:02 / 30-06-2020)

Вы текст читали, али сразу ломанулись набрасывать вожделенную критику?

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(11:42:17 / 30-06-2020)

Читал. Текст эмоциональный. Автор не читает документацию до установки программ, по старой русской традиции. Повествование в стиле - не делайте так. 

В итоге создается впечатление, что всё пропало и некуда бежать. 

Аватар пользователя И-23
И-23(4 года 9 месяцев)(13:38:03 / 30-06-2020)

Рекомендации читать документацию полезно дополнять угрозой рекомендателю получения 10-15-25 летнего курса еженедельных стимуляций извилины тридцатью горячими, с обязательной оплатой *каждого* сеанса сотней золотых червонцев.

Обратите внимание на прекрасный памятник такого рода рекомендателям.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(14:03:14 / 30-06-2020)

Вы использовали Oracle JRE, хотя КриптоПро работает и с OpenJDK 8-11 и Liberica. И упрекаете в отсутствии импортозамещения, это часть пафоса вашей статьи. Наезды на кроссплатформенность жавы - к теме вообще не относятся. 

Для сведения, если производитель указывает "странную версию библиотеки" - это значит что с ней работает, а на других версиях - может не работать и вы сам себе злобный буратино. Поэтому так популярен докер - вы ставите именно те ОС и версии программ и библиотек, которые нужны. Не вмешиваясь в работу основной системы.

Аватар пользователя И-23
И-23(4 года 9 месяцев)(20:30:14 / 30-06-2020)

Вы восхитительно-упорото не понимаете ни сути критикуемого замечания (о способе установки), ни даже текста.

ЗЫ: Для сведения: указываемое Вам «достоинство» очередного уровня абстракции — ещё одна ересь из мира самой распространённой ОС.
Но не только лишь все способны постичь глубинный смысл динамической линковки.
Даже после наглядной иллюстрации.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(20:39:27 / 30-06-2020)

Вы ставили не то и не так, огребли, навалили лопатой на Жаву, КриптоПро, Линукс, разработчиков и импортозамещение. Ну и на меня. С самым многозначительным видом. А теперь с упорством зелота завете на холивар. 

ПыСы. Я познал дзен динамической линковки на разных платформах. И радости и горе которые она несет. Короче, не надо выпендриваться. Читайте мануал, не работает, спрашивайте с разработчиков - после прочтения мануала. Все остальное - нытьё. 

Аватар пользователя И-23
И-23(4 года 9 месяцев)(21:00:02 / 30-06-2020)

Вас ведь конечно не затруднит обеспечить данный наброс верифицируемым описанием «правильной» установки «Крипто Про JCP2» на платформе GNU Linux?
А мы почитаем и посмеёмся.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(21:02:47 / 30-06-2020)

Да без проблем, моя ставка 650 фунтов в день. Готовы оплатить?

Аватар пользователя И-23
И-23(4 года 9 месяцев)(21:09:42 / 30-06-2020)

На условиях 3× штрафа в случае ненадлежащего качества решения задачи (плюс трёхгодовой контракт на стимуляцию извилины тридцатью горячими с оплатой *каждого* сеанса сотней золотых червонцев — предмет для разговора.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(21:22:51 / 30-06-2020)

Условия неравнозначны. К тому же вы просто не можете этого себе позволить.

Аватар пользователя И-23
И-23(4 года 9 месяцев)(21:33:48 / 30-06-2020)

Обеспечения множественных набросов, как я понимаю, не будет? ☺

ЗЫ: Был у меня опыт курощания аналогичной степени компетенции профессионалов (напоминаю актуальное определение) ТП тырпрайс-железа. Где-то на вторую (али на третью) неделю они наконец смогли отыскать отвергнутый мной в первый день workaround…

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(21:51:40 / 30-06-2020)

Рукалицо! Вы тут всю статью набрасываете. Лично расписались в незнании Жавы и связанной с ней инфраструктуры, документацию не читаете. И прочее дилетантство. У вас крайне категоричные суждения. В конце 90-х так было модно у студентов околокомпьютерных специальностей. И так-себе админов.

Я вам ваши же слова интерпретирую. 

Аватар пользователя И-23
И-23(4 года 9 месяцев)(21:58:38 / 30-06-2020)

Ну да: куда проще и приятнее набросить утверждение о «не-знании» оппонентом «жабы и связанной с ней инфраструктурой», чем допустить мысль о том, что высказываемые им * утверждения* основаны на некотором *реальном* опыте. Не только личном, но и наблюдений.

Прекраснее только упоротое игнорирование Вами как «неправильных» свидетельств, например:

Даже сейчас в комментариях, вместо признания что сделаная какашка не может называться законченным продуктом, а является недоделанной какашкой по сути, вместо этого начинается обвинение в каких-то там "не умениях" и "не знаниях". Предлагаю продвигателям и поддерживателям крипто-про - просто осилить хотя-бы apt-get. Ну или rpm. Хоть что-нибудь. Но до конца и качественно.

Так и вопросов, попытки ответов на которые способны скомпрометировать Вашу *реальную* квалификацию (к некоторым возраст приходит один). Аналогично воинствующему вендосектанту из примера этой статьи.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(22:13:16 / 30-06-2020)

Хорошо, совершено бесплатно, половина вашей статьи это борьба с установкой жавы. OpenJDK c 8 до 11 входит в поставку всех текущих дистрибутивов Линукс. Через пакеты и все такое. КриптоПро R3 на который вы забили - сертефицирован ФСБ для использования с OpenJDK. Вот вам и польза от чтения документации.

Аватар пользователя И-23
И-23(4 года 9 месяцев)(22:20:43 / 30-06-2020)

Как и предполагалось: ни тени намёка на попытку ответа на вопрос статьи.

Продолжаем *бесплатные* уроки Великого и Могучего, а то Вы на своём острове совсем одичали:

Установка КриптоПро — *не* самоцель.
Данное поделие интересно *исключительно* в качестве REQUIRED (знакомое слово?) зависимости *необходимого* решения.
И тут, внезапно, сюрпрыз: оно (необходимое ПО) работает не со всеми версиями КриптоПро. И даже строка ошибки процитирована… Но какой критиканец будет это читать?..

ЗЫ: А то, что использование чуждого механизма установке не вызвало вопроса у сертификаторов — это уже повод для вопросов к самой Системе.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(22:45:03 / 30-06-2020)

Да, зависимости тоже надо устанавливать. Особенно отдельные подсистемы безопасности. КриптоПРО у вас не работал из-за использования СМЭВом сертификата в формате JSR105, опциональная компонента. Для которого и нужны те самые библиотеки, о чем известно уже пару лет. И это вообще не часть КриптоПро. Гуглится за 3 минуты. 

Вот бы заплатили за пусконаладку и трахали бы мозги исполнителям. Или гуглили хотя бы. А нас бы оставили в покое. 

Аватар пользователя thefish
thefish(5 лет 3 месяца)(10:34:44 / 30-06-2020)

Если вам достаточно просто подписывать сообщения для смэв - возьмите любую из реализаций ГОСТ 3411.2012-256. На любом понравившемся языке, не только Java.

Аватар пользователя marahal
marahal(3 года 3 месяца)(10:39:11 / 30-06-2020)

Мне довелось неоднократно использовать Крипто Про для разработки ПО и под 11 и под 8 java. Уверяю вас, что все мучения с данным ПО обусловлены плохим пониманием принципов работы данного ПО, java и linux. Так как Крипто Про является фреймворком для разработчиков, то обычно его включают в состав своего ПО, которое уже поставляется с нормальной установкой. А если вы разработчик, то обычно вы обладаете необходимой квалификацией, знаете как с ним работать и это не вызывает никаких проблем. Все файлы с зависимыми jar идут в комплекте с Крипто Про. 

При поставке готового ПО обычно поставляется сразу Docker контейнер c уже собранными всеми рабочими зависимостями, который надо только запустить. Таким образом все очень просто сразу работает.

Я вас уверяю, что все обусловлено только тем, что вы всю сознательную жизнь работали в Windows и сейчас столкнулись с неизвестным. Если бы вы все время работали в Linux, а потом пришли бы в Windows, то для вас все бы было так же ужасно.

Аватар пользователя И-23
И-23(4 года 9 месяцев)(11:09:53 / 30-06-2020)

Ещё один фантазёр-нечитатель.

Разрешаю пройти по ссылке (кстати, приводимой в статье) и насладиться безднами эрудиции Ваших собратьев по «разуму».

Особое внимание самому соку мозга таких вот «знатоков»-мастеров компоновки чёрных ящиков докера:

Надеюсь, совета пересоздать все с нуля не воспоследует хотя бы на этот раз? :)

ЗЫ: Отдельно, особо и сугубо доставляетЪ ссылка на очередной дополнительный уровень абстракции, призванный замаскировать не-понимание главной задачи и отсутствие навыка надлежащей работы с приказчиком пакетов.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(11:51:01 / 30-06-2020)

Комрад И-23, ваша фрустрация понятна. Криптобиблиотеки не самая простая тема. Но вы не специалист. Ни в Жаве, не в крипто. С Линуксом скорее всего знакомы, как опытный пользователь. И все. 

А делаете выводы о качестве импортозамещения. Типа, я сел за руль Лады без прав и не умея водить и разбил ее об столб: российский автопром - говно. 

Аватар пользователя Брат
Брат(3 года 8 месяцев)(12:15:43 / 30-06-2020)

Я не комрад И-23, однако если использование некоего продукта требуте обязательного наличия опытного java-разработчика, специалиста по защите информации, а также администратора *nix, то это обязано быть указано в требованиях. В ином случае - продукт не соответсвует декларируемым требованиям.

Для той же Лады - есть такие требования - умение водить, то подтверждается наличием 2прав" и соблюдать ПДД. Так что увы, пример мимо кассы.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(12:37:36 / 30-06-2020)

А вот установка криптографических и иных связанных с безопасностью программ, библиотек и систем как раз и требует высокой квалификации в администрировании системы (Линукс, Жава), так как при неправильной настройке смысл в них полностью отсутствует - так как не обеспечивается эта самая безопасность.

Автор не читал мануал до установки.

Аватар пользователя И-23
И-23(4 года 9 месяцев)(13:46:02 / 30-06-2020)

Обратите внимание на то, как уверенно данный не-читатель игнорирует отмеченные вопросы к:
Во-1) способу «установки» дистрибутива;
Во-2) задаче проверки оного.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(13:47:27 / 30-06-2020)

Я вашу статью два раза прочитал. Вы навалили кучу информации. В теме не специалист. Ваши упреки к системе - на уровне расхожих мемов из интернета. 

Как можно критиковать систему, если вы мануал прочитали потом, и не следовали инструкциям?

 

Аватар пользователя laplat
laplat(8 лет 1 месяц)(15:42:43 / 30-06-2020)

В инструкции должно быть три строки.

что-то-там install что-то-там

Те кто этого не понимают уйдут на свалку истории. Несмотря на монополизм и прочие -измы. 

Защищать образ мышления писателей инструкций - мараться только. Зачем вам? Инструкции пишите?

Аватар пользователя laplat
laplat(8 лет 1 месяц)(16:15:00 / 30-06-2020)

А, ну да. три строки.

Еще две - Заголовок и спасибо, в конце.

Аватар пользователя roman.kuvaldin
Аватар пользователя laplat
laplat(8 лет 1 месяц)(16:42:43 / 30-06-2020)

Это не проблема пользователя, который покупает продукт. За это так-то денег берут.

Не способны сделать? И кто им что?

И что вообще за бред? Вся система ставится apt-get install.. а тут видитили какая фифа нарисовалась. Надо руками. Для повышения секурности.

Руками может и надо. Но до вменяемого состояния оно должно ставиться по умолчанию.

 

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(16:47:00 / 30-06-2020)

Вы на самолете тоже прямо сразу после покупки полетите? Без мануала и обучения? 

Программное обеспечение - сложная инженерная система, и если вы хотите что б она работала, как заявлено, используйте инструкции производителя. Это сильно повышает вероятность успеха.

 

Аватар пользователя laplat
laplat(8 лет 1 месяц)(19:32:01 / 30-06-2020)

Пфффф... 

Бог подаст. 

Аватар пользователя И-23
И-23(4 года 9 месяцев)(20:48:28 / 30-06-2020)

А по-моему персонаж просто благополучно разминулся с материалами руководства господина Фокса.
И рукопожатно проигнорировал последние истории успеха боинга.

Аватар пользователя И-23
Аватар пользователя Egao
Egao(5 лет 5 месяцев)(21:31:56 / 30-06-2020)

Ваше ЧСВ больше уровня ваших навыков. И намного. И хамоваты вы весьма. 

Аватар пользователя И-23
И-23(4 года 9 месяцев)(22:01:14 / 30-06-2020)

Вас смогли научить технологии «Проекция».
Передавайте моё восхищение дрессировщикам.

ЗЫ: Праведное негодование моим «хамством» обычно зиждется на навыке не-замечания *собственного*, а провоцируется последовательными набросами в духе нехочупонимайства.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(22:17:00 / 30-06-2020)

Вы как подросток. Ни одного комментария по сути. Одни атаки ad hominem. 

Я выдвинул вам несколько аргументов - про OpenJDK и совершенно обоснованный упрёк в том, что вы не читаете документацию. Это вы сами написали. Я ничего не придумывал.  

Аватар пользователя И-23
И-23(4 года 9 месяцев)(22:22:22 / 30-06-2020)

Вы злоупотребляете проекцией собственных подростковых комплексов и замечательно-последовательны в игнорировании *чужих* аргументов, для Вас существуют только-исключительно Ваши.

Аватар пользователя И-23
И-23(4 года 9 месяцев)(13:43:25 / 30-06-2020)

Извините, но Вы по всей вероятности не видели специалиста по СКЗИ (поддержки продаванов *сертифицированного* (!) решения), который ничтоже сумняшеся делал то, чего с с точки зрения логики дистрибутива делать НЕЛЬЗЯ!

С жабой в случае разработки приложений, требующих интеграции с сервисами ОС ситуация совершенно аналогичная.

ЗЫ: И вообще это очень похоже на истерику представителей интеграторов, которым данный текст, да в индексируемом сегменте, ломает гешевт.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(13:51:32 / 30-06-2020)

Я не интегратор, а просто скромный программист со стажем 20+ лет (в том числе жава эта ваша с 1.0 и линукс вдоль и поперек). В том числе я работал и с криптографией. Так вот, с точки зрения специалиста ваша статья это плач дилетанта - "как все сложно"!

Аватар пользователя И-23
И-23(4 года 9 месяцев)(20:33:35 / 30-06-2020)

Погромист, говорите?..

Ну тогда приглашаю читателей насладиться безднами эрудиции на примере вопроса этой статьи (есть ещё один вкусный вопрос про сертификаты, но его мне сейчас искать лень).

ЗЫ: Импринтинг — страшная штука.

Аватар пользователя Egao
Egao(5 лет 5 месяцев)(21:33:47 / 30-06-2020)

Кликбейтите всю статью. Ссылки на странные сумбурно написанные истории. Главное, что ваши. Попахивает СЕОшником.

Аватар пользователя И-23
И-23(4 года 9 месяцев)(22:03:29 / 30-06-2020)

Попытка DoS так себе, на зачёт не тянет.
Для заинтересованного читателя — достаточный набор ключей.
Потому Вы видимо и истерите.

ЗЫ: Напомню хрестоматийное, как раз про таких вот деятелей:

«Попробуйте написать инструкцию в знакомой тебе области, по которой не знакомый с этой областью человек гарантированно получит правильный результат. Это длинно, муторно и бесполезно, т.к. всего не учтешь. Тем более когда представишь сколько это писанины, потом объяснений и уточнений. И вы предлагаете потратить столько времени и сил на левого, человека который не только не собирается ничего делать сообщества ..., но даже сам ничего делать не хочет» © _SerEga_

Аватар пользователя laplat
laplat(8 лет 1 месяц)(15:39:28 / 30-06-2020)

Большинство, если не все "программисты ынтырпрайз" в России - косорукие, профнепригодные ДБ (С). И это не потому что я их ненавижу. Я их вполне себе уважаю. Каждого в отдельности. Некоторых знаю. Это потому что практика подтвеждает мои слова. Се ля ви. За очень редким исключением. Проблема в том, что каждый "программист" себе и архитектор и аналитик и кодер. И все в одно рыло. Это конечно еще и проблема работодателя, ака заказчика. Те вообще не понимают что такое цикл производства качественного софта, не в состоянии понять, ДНК не позволяет.

Апломб, помноженные на привитые в ынститутах "системные знания" заставляющие писать не "в продолжение" чужого труда, а каждый раз заново и с нуля. Приводит к тому, к чему мы сейчас видим. Ни кто не хочет учить чужой опыт. Разобраться в чужих ворованных либах это задача не каждому под силу, а покупать то - дураков нет. А опенсорсные тоже документацией страдают, но по другим причинам. А еще могут и код потребовать открыть. Это вообще никуда не годно, для наших ынтырпрайзов. И поэтому у каждого свой вагон и с этим вагоном он и прет вперед паравозом.

Даже сейчас в комментариях, вместо признания что сделаная какашка не может называться законченным продуктом, а является недоделанной какашкой по сути, вместо этого начинается обвинение в каких-то там "не умениях" и "не знаниях". Предлагаю продвигателям и поддерживателям крипто-про - просто осилить хотя-бы apt-get. Ну или rpm. Хоть что-нибудь. Но до конца и качественно.

 

 

 

Аватар пользователя И-23
И-23(4 года 9 месяцев)(20:49:44 / 30-06-2020)

rpm — это уже очень давно — История.
А освоение матчасти *необходимо* начинать с PMS! И ту — только *после* надлежащего освоения FHS!!!

Просто начиная с некоторого, вполне тривиального, уровня верификация чужого решения дороже (помните традиционное определение денег») самостоятельной разработки.

Ну и Прекрасное с ибаша (#15518):

дык это главный прицып интырпрайза — просрать миллиарды и бояться чихнуть рядом, потомушо никто не знает, как это потом чинить

Аватар пользователя laplat
laplat(8 лет 1 месяц)(15:09:02 / 01-07-2020)

Ну за rpm понятно, но я не любитель шапки и поэтому у меня все что шапка - rpm. Имя нарицательное. 

С остальным грех спорить. Шишки болят и зудят. Было время, был я весел ;)

Сейчас стараюсь позволять себе в какашках почти не ковыряться, но жызнь периодически макает. 

 

Аватар пользователя Juck
Juck(2 месяца 1 неделя)(12:48:07 / 30-06-2020)

Очень интересно, но ничего непонятно)

Аватар пользователя И-23
И-23(4 года 9 месяцев)(13:44:04 / 30-06-2020)

Наглядная иллюстрация того факта, что понимание зиждется на определённом комплексе личного опыта.

Аватар пользователя bigmal
bigmal(4 года 9 месяцев)(20:22:41 / 30-06-2020)

Я конечно не программист, а тем более не линукс-юзер, но для работы с маркированным товаром в 1С-7.7 пришлось разобраться в теме работы с ключами. Вот как-то совершенно не так всё страшно это выглядит, как в статье автор описАл. Работал как напрямую из 1С через COM, так и через командную строку. Правда без шифрования, но там и требований таких не было.

Аватар пользователя И-23
И-23(4 года 9 месяцев)(20:36:27 / 30-06-2020)

Работу с собственно «ключами» в данной статье я практически не описывал.

Аватар пользователя samthesuperhero
samthesuperhero(3 года 12 месяцев)(22:45:24 / 30-06-2020)

Вот мне любопытно, совсем БЕЗ иронии,

а без JAVA как-то вообще можно?

Понятно что портируемость там, и все такое,

но всё же???

Крипто ПРО контора серьёзная, неужели   не могут на C под этот самый Linux разработать комплект серверного ПО для работы с разными гос. системами?

К тому же для них и сертифицировать всё в соотв. органах проблемы не составит.

Или открытый Linux в каких-то местах ещё более дырявый чем ОС от Билла «я вас зачипирую» Гейтса?

 

Страницы