Падает Смоленск 1.6

Zeus

New member
Сообщения
5
#1
Перед падением в syslog куча подобных сообщений причем по разным сервисам. В конце концов система замерзает. Полный лог прикреплен:
Код:
Jan 12 08:35:45 arm6 kernel: [39950.603869] ASSERTION(atomic_read(&l->ucnt) > 0) failed in pdpl_get() file: /opt/build/linux-astra-modules-5.4/linux-astra-modules-5.4.0/debian/build/build-hardened/parsec/dp/pdp_common.c, line: 47
Jan 12 08:35:45 arm6 kernel: [39950.603872] CPU: 1 PID: 2477 Comm: drweb-firewall. Tainted: G           OE     5.4.0-81-hardened #astra34+ci6-Ubuntu
Jan 12 08:35:45 arm6 kernel: [39950.603873] Hardware name: Aquarius Aquarius AQH310CM/AQH310CM, BIOS 1.00.000 16.07.2019 17:03:34
Jan 12 08:35:45 arm6 kernel: [39950.603873] Call Trace:
Jan 12 08:35:45 arm6 kernel: [39950.603877]  dump_stack+0x6d/0x8b
Jan 12 08:35:45 arm6 kernel: [39950.603882]  pdpl_get+0x55/0xb0 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603885]  parsec_cred_lbl_get+0x2b/0x40 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603887]  parsec_task_lbl_get+0x3d/0x220 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603890]  parsec_current_ilev+0x15/0x40 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603892]  parsec_capable_ilev+0x8f/0xb0 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603895]  parsec_current_permission+0x1d/0xb0 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603897]  parsec_ptrace_permission+0x9a/0x180 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603899]  ? ns_capable_common+0x36/0x70
Jan 12 08:35:45 arm6 kernel: [39950.603900]  security_ptrace_access_check+0x2a/0x40
Jan 12 08:35:45 arm6 kernel: [39950.603902]  __ptrace_may_access+0xc7/0x130
Jan 12 08:35:45 arm6 kernel: [39950.603903]  ptrace_may_access+0x2a/0x50
Jan 12 08:35:45 arm6 kernel: [39950.603904]  proc_fd_access_allowed+0x2c/0x60
Jan 12 08:35:45 arm6 kernel: [39950.603905]  proc_pid_readlink+0x3b/0x130
Jan 12 08:35:45 arm6 kernel: [39950.603906]  vfs_readlink+0x10c/0x120
Jan 12 08:35:45 arm6 kernel: [39950.603907]  do_readlinkat+0xf9/0x120
Jan 12 08:35:45 arm6 kernel: [39950.603908]  __x64_sys_readlink+0x1e/0x30
Jan 12 08:35:45 arm6 kernel: [39950.603909]  do_syscall_64+0x55/0x180
Jan 12 08:35:45 arm6 kernel: [39950.603910]  entry_SYSCALL_64_after_hwframe+0x44/0xa9
Jan 12 08:35:45 arm6 kernel: [39950.603911] RIP: 0033:0x7b6d62520e47
Jan 12 08:35:45 arm6 kernel: [39950.603912] Code: 73 01 c3 48 8b 0d 51 c0 2b 00 f7 d8 64 89 01 48 83 c8 ff c3 66 2e 0f 1f 84 00 00 00 00 00 0f 1f 44 00 00 b8 59 00 00 00 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 8b 0d 21 c0 2b 00 f7 d8 64 89 01 48
Jan 12 08:35:45 arm6 kernel: [39950.603913] RSP: 002b:00007b6d622284f8 EFLAGS: 00000202 ORIG_RAX: 0000000000000059
Jan 12 08:35:45 arm6 kernel: [39950.603914] RAX: ffffffffffffffda RBX: 0000000000000040 RCX: 00007b6d62520e47
Jan 12 08:35:45 arm6 kernel: [39950.603914] RDX: 0000000000000040 RSI: 00007b6d5c016d40 RDI: 00007b6d5c009a30
Jan 12 08:35:45 arm6 kernel: [39950.603915] RBP: 0000000000002396 R08: 000000000000000f R09: 0000000000000050
Jan 12 08:35:45 arm6 kernel: [39950.603915] R10: 0000000000000030 R11: 0000000000000202 R12: 00007b6d5c016d40
Jan 12 08:35:45 arm6 kernel: [39950.603915] R13: 00007b6d5c009a20 R14: 00007b6d622289e0 R15: 0000000000000000
 

Вложения

oko

New member
Сообщения
964
#2
Primo, проблема может быть в модуле drweb-firewall. Так что имеет смысл обратиться и к ним, скинув логи. Весьма вероятно, что ответ получите быстрее, ага...
Secundo, большой вопрос, какая версия DrWeb совместима с ALSE 1.6 и какая установлена у вас. Также какие обновления ALSE 1.6 у вас установлены (судя по 5.4.0 ядру, они однозначно имеются). И с какими обновлениями используемая у вас версия DrWeb тоже совместима. Особенно в случае активации ЗПС в ALSE и использовании неподписанных модулей DrWeb...
Tertio, вообще не вижу смысла в firewall от DrWeb на ALSE. В общем случае, сертификатов по МЭ нет ни у ALSE, ни у DrWeb. А межсетевое экранирование (если оно вообще нужно в вашем случае) куда проще настроить средствами iptables/netfilter, чем сторонними механизмами...
Last, судя по всему, у вас классическое "АРМ в защищенном исполнении" made by Aquarius. И, если поставка была централизованная и в нее не вносились никем изменения, то имеет смысл обратиться к поставщику. Знаем мы этих любителей "напихать СЗИ по самую крышку - а там хоть трава не расти"...
 

san4ez1008

New member
Сообщения
4
#3
Primo, проблема может быть в модуле drweb-firewall. Так что имеет смысл обратиться и к ним, скинув логи. Весьма вероятно, что ответ получите быстрее, ага...
У меня та же проблема, и у Zeus ругается не только на drweb-firewall, но и на zabbix-server, и на apache2... У меня, например, система зависает после случайного периода времени, и тут нет привязки к отдельному процессу, эти сообщения летят от разных процессов системы. При этом у нас нет модуля drweb-firewall, стоит kesl c выключенным МЭ. Возможно, проблема в fanotify, как было упомянуто в ветке https://forum.astralinux.ru/threads/589/. Я отправил запрос в ТП с логами, пока что разбираются, но советуют обновиться до up10 (на данный момент у меня стоит up9).
 

Вложения

oko

New member
Сообщения
964
#4
to san4ez1008
У вас вообще страшное СВТ на базе проц.платы ROBO-8112VG2AR-Q87. Насколько она поддерживается ALSE, насколько с ней совместимы общедоступно выкатываемые обновления + новые ядра (то же 5.10), не имею ни малейшего понятия...
Ну и да, основной косяк и в вашем случае, и в случае тов. Zeus - это некорректная работа функции pdpl_get (по идее, определение расширенных атрибутов тех или иных файлов и модулей и при автоматическом режиме работы - передача их подсистеме parsec). Что там может идти не так, каковы причины сбоя - боюсь, тут без привлечения РБТ не скажешь. И анализировать простыни логов в поисках ответов - нехай их техподдержка занимается. В случае тов. Zeus я зацепился за наиболее явный вариант (тем более, что drweb-firewall реально лишний компонент в случае ALSE)...
 

Zeus

New member
Сообщения
5
#5
Primo, проблема может быть в модуле drweb-firewall. Так что имеет смысл обратиться и к ним, скинув логи. Весьма вероятно, что ответ получите быстрее, ага...
Secundo, большой вопрос, какая версия DrWeb совместима с ALSE 1.6 и какая установлена у вас. Также какие обновления ALSE 1.6 у вас установлены (судя по 5.4.0 ядру, они однозначно имеются). И с какими обновлениями используемая у вас версия DrWeb тоже совместима. Особенно в случае активации ЗПС в ALSE и использовании неподписанных модулей DrWeb...
Tertio, вообще не вижу смысла в firewall от DrWeb на ALSE. В общем случае, сертификатов по МЭ нет ни у ALSE, ни у DrWeb. А межсетевое экранирование (если оно вообще нужно в вашем случае) куда проще настроить средствами iptables/netfilter, чем сторонними механизмами...
Last, судя по всему, у вас классическое "АРМ в защищенном исполнении" made by Aquarius. И, если поставка была централизованная и в нее не вносились никем изменения, то имеет смысл обратиться к поставщику. Знаем мы этих любителей "напихать СЗИ по самую крышку - а там хоть трава не расти"...
Спасибо Вам за участие уважаемый колега!
Ошибки pdpl_get идут по разным сервисам и время их наступления вообще непонятны может проработать сутки а может и через 6 часов упасть. Мои логи с системы после upd10. отключил drweb совсем. наблюдаю.
P.S. Накопал что что-то было похожее в 1.5
https://bdu.fstec.ru/vul/2019-02619
 

Zeus

New member
Сообщения
5
#6
У меня та же проблема, и у Zeus ругается не только на drweb-firewall, но и на zabbix-server, и на apache2... У меня, например, система зависает после случайного периода времени, и тут нет привязки к отдельному процессу, эти сообщения летят от разных процессов системы. При этом у нас нет модуля drweb-firewall, стоит kesl c выключенным МЭ. Возможно, проблема в fanotify, как было упомянуто в ветке https://forum.astralinux.ru/threads/589/. Я отправил запрос в ТП с логами, пока что разбираются, но советуют обновиться до up10 (на данный момент у меня стоит up9).
Буду признателен, если Вы сообщите результат ответа от ТП.
 

san4ez1008

New member
Сообщения
4
#7
Буду признателен, если Вы сообщите результат ответа от ТП.
как только что-то скажут, сообщу сюда, а так пока что советуют попробовать отключить МКЦ или проверить воспроизведение проблемы с ядром 4.15.3-141-generic.
 

san4ez1008

New member
Сообщения
4
#9
Астра прислала пакеты для обновления linux-image и linux-astra-modules ядра 5.10, вчера установил, жду воспроизведения проблемы.
 

san4ez1008

New member
Сообщения
4
#10
Так, ну если кому интересно. После установки пакетов, присланных астрой, полет нормальный. Но, как оказалось, через 20 с лишним дней даже без касперского на борту появилась такая же фигня с высером в логи. Ощущение, что виноваты контейнеры или внутренний сбой в ядрах. Но на другой железке проблем нет.