Падает Смоленск 1.6

Zeus

New member
Сообщения
5
#1
Перед падением в syslog куча подобных сообщений причем по разным сервисам. В конце концов система замерзает. Полный лог прикреплен:
Код:
Jan 12 08:35:45 arm6 kernel: [39950.603869] ASSERTION(atomic_read(&l->ucnt) > 0) failed in pdpl_get() file: /opt/build/linux-astra-modules-5.4/linux-astra-modules-5.4.0/debian/build/build-hardened/parsec/dp/pdp_common.c, line: 47
Jan 12 08:35:45 arm6 kernel: [39950.603872] CPU: 1 PID: 2477 Comm: drweb-firewall. Tainted: G           OE     5.4.0-81-hardened #astra34+ci6-Ubuntu
Jan 12 08:35:45 arm6 kernel: [39950.603873] Hardware name: Aquarius Aquarius AQH310CM/AQH310CM, BIOS 1.00.000 16.07.2019 17:03:34
Jan 12 08:35:45 arm6 kernel: [39950.603873] Call Trace:
Jan 12 08:35:45 arm6 kernel: [39950.603877]  dump_stack+0x6d/0x8b
Jan 12 08:35:45 arm6 kernel: [39950.603882]  pdpl_get+0x55/0xb0 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603885]  parsec_cred_lbl_get+0x2b/0x40 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603887]  parsec_task_lbl_get+0x3d/0x220 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603890]  parsec_current_ilev+0x15/0x40 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603892]  parsec_capable_ilev+0x8f/0xb0 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603895]  parsec_current_permission+0x1d/0xb0 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603897]  parsec_ptrace_permission+0x9a/0x180 [parsec]
Jan 12 08:35:45 arm6 kernel: [39950.603899]  ? ns_capable_common+0x36/0x70
Jan 12 08:35:45 arm6 kernel: [39950.603900]  security_ptrace_access_check+0x2a/0x40
Jan 12 08:35:45 arm6 kernel: [39950.603902]  __ptrace_may_access+0xc7/0x130
Jan 12 08:35:45 arm6 kernel: [39950.603903]  ptrace_may_access+0x2a/0x50
Jan 12 08:35:45 arm6 kernel: [39950.603904]  proc_fd_access_allowed+0x2c/0x60
Jan 12 08:35:45 arm6 kernel: [39950.603905]  proc_pid_readlink+0x3b/0x130
Jan 12 08:35:45 arm6 kernel: [39950.603906]  vfs_readlink+0x10c/0x120
Jan 12 08:35:45 arm6 kernel: [39950.603907]  do_readlinkat+0xf9/0x120
Jan 12 08:35:45 arm6 kernel: [39950.603908]  __x64_sys_readlink+0x1e/0x30
Jan 12 08:35:45 arm6 kernel: [39950.603909]  do_syscall_64+0x55/0x180
Jan 12 08:35:45 arm6 kernel: [39950.603910]  entry_SYSCALL_64_after_hwframe+0x44/0xa9
Jan 12 08:35:45 arm6 kernel: [39950.603911] RIP: 0033:0x7b6d62520e47
Jan 12 08:35:45 arm6 kernel: [39950.603912] Code: 73 01 c3 48 8b 0d 51 c0 2b 00 f7 d8 64 89 01 48 83 c8 ff c3 66 2e 0f 1f 84 00 00 00 00 00 0f 1f 44 00 00 b8 59 00 00 00 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 8b 0d 21 c0 2b 00 f7 d8 64 89 01 48
Jan 12 08:35:45 arm6 kernel: [39950.603913] RSP: 002b:00007b6d622284f8 EFLAGS: 00000202 ORIG_RAX: 0000000000000059
Jan 12 08:35:45 arm6 kernel: [39950.603914] RAX: ffffffffffffffda RBX: 0000000000000040 RCX: 00007b6d62520e47
Jan 12 08:35:45 arm6 kernel: [39950.603914] RDX: 0000000000000040 RSI: 00007b6d5c016d40 RDI: 00007b6d5c009a30
Jan 12 08:35:45 arm6 kernel: [39950.603915] RBP: 0000000000002396 R08: 000000000000000f R09: 0000000000000050
Jan 12 08:35:45 arm6 kernel: [39950.603915] R10: 0000000000000030 R11: 0000000000000202 R12: 00007b6d5c016d40
Jan 12 08:35:45 arm6 kernel: [39950.603915] R13: 00007b6d5c009a20 R14: 00007b6d622289e0 R15: 0000000000000000
 

Вложения

oko

New member
Сообщения
1 257
#2
Primo, проблема может быть в модуле drweb-firewall. Так что имеет смысл обратиться и к ним, скинув логи. Весьма вероятно, что ответ получите быстрее, ага...
Secundo, большой вопрос, какая версия DrWeb совместима с ALSE 1.6 и какая установлена у вас. Также какие обновления ALSE 1.6 у вас установлены (судя по 5.4.0 ядру, они однозначно имеются). И с какими обновлениями используемая у вас версия DrWeb тоже совместима. Особенно в случае активации ЗПС в ALSE и использовании неподписанных модулей DrWeb...
Tertio, вообще не вижу смысла в firewall от DrWeb на ALSE. В общем случае, сертификатов по МЭ нет ни у ALSE, ни у DrWeb. А межсетевое экранирование (если оно вообще нужно в вашем случае) куда проще настроить средствами iptables/netfilter, чем сторонними механизмами...
Last, судя по всему, у вас классическое "АРМ в защищенном исполнении" made by Aquarius. И, если поставка была централизованная и в нее не вносились никем изменения, то имеет смысл обратиться к поставщику. Знаем мы этих любителей "напихать СЗИ по самую крышку - а там хоть трава не расти"...
 

san4ez1008

New member
Сообщения
4
#3
Primo, проблема может быть в модуле drweb-firewall. Так что имеет смысл обратиться и к ним, скинув логи. Весьма вероятно, что ответ получите быстрее, ага...
У меня та же проблема, и у Zeus ругается не только на drweb-firewall, но и на zabbix-server, и на apache2... У меня, например, система зависает после случайного периода времени, и тут нет привязки к отдельному процессу, эти сообщения летят от разных процессов системы. При этом у нас нет модуля drweb-firewall, стоит kesl c выключенным МЭ. Возможно, проблема в fanotify, как было упомянуто в ветке https://forum.astralinux.ru/threads/589/. Я отправил запрос в ТП с логами, пока что разбираются, но советуют обновиться до up10 (на данный момент у меня стоит up9).
 

Вложения

oko

New member
Сообщения
1 257
#4
to san4ez1008
У вас вообще страшное СВТ на базе проц.платы ROBO-8112VG2AR-Q87. Насколько она поддерживается ALSE, насколько с ней совместимы общедоступно выкатываемые обновления + новые ядра (то же 5.10), не имею ни малейшего понятия...
Ну и да, основной косяк и в вашем случае, и в случае тов. Zeus - это некорректная работа функции pdpl_get (по идее, определение расширенных атрибутов тех или иных файлов и модулей и при автоматическом режиме работы - передача их подсистеме parsec). Что там может идти не так, каковы причины сбоя - боюсь, тут без привлечения РБТ не скажешь. И анализировать простыни логов в поисках ответов - нехай их техподдержка занимается. В случае тов. Zeus я зацепился за наиболее явный вариант (тем более, что drweb-firewall реально лишний компонент в случае ALSE)...
 

Zeus

New member
Сообщения
5
#5
Primo, проблема может быть в модуле drweb-firewall. Так что имеет смысл обратиться и к ним, скинув логи. Весьма вероятно, что ответ получите быстрее, ага...
Secundo, большой вопрос, какая версия DrWeb совместима с ALSE 1.6 и какая установлена у вас. Также какие обновления ALSE 1.6 у вас установлены (судя по 5.4.0 ядру, они однозначно имеются). И с какими обновлениями используемая у вас версия DrWeb тоже совместима. Особенно в случае активации ЗПС в ALSE и использовании неподписанных модулей DrWeb...
Tertio, вообще не вижу смысла в firewall от DrWeb на ALSE. В общем случае, сертификатов по МЭ нет ни у ALSE, ни у DrWeb. А межсетевое экранирование (если оно вообще нужно в вашем случае) куда проще настроить средствами iptables/netfilter, чем сторонними механизмами...
Last, судя по всему, у вас классическое "АРМ в защищенном исполнении" made by Aquarius. И, если поставка была централизованная и в нее не вносились никем изменения, то имеет смысл обратиться к поставщику. Знаем мы этих любителей "напихать СЗИ по самую крышку - а там хоть трава не расти"...
Спасибо Вам за участие уважаемый колега!
Ошибки pdpl_get идут по разным сервисам и время их наступления вообще непонятны может проработать сутки а может и через 6 часов упасть. Мои логи с системы после upd10. отключил drweb совсем. наблюдаю.
P.S. Накопал что что-то было похожее в 1.5
https://bdu.fstec.ru/vul/2019-02619
 

Zeus

New member
Сообщения
5
#6
У меня та же проблема, и у Zeus ругается не только на drweb-firewall, но и на zabbix-server, и на apache2... У меня, например, система зависает после случайного периода времени, и тут нет привязки к отдельному процессу, эти сообщения летят от разных процессов системы. При этом у нас нет модуля drweb-firewall, стоит kesl c выключенным МЭ. Возможно, проблема в fanotify, как было упомянуто в ветке https://forum.astralinux.ru/threads/589/. Я отправил запрос в ТП с логами, пока что разбираются, но советуют обновиться до up10 (на данный момент у меня стоит up9).
Буду признателен, если Вы сообщите результат ответа от ТП.
 

san4ez1008

New member
Сообщения
4
#7
Буду признателен, если Вы сообщите результат ответа от ТП.
как только что-то скажут, сообщу сюда, а так пока что советуют попробовать отключить МКЦ или проверить воспроизведение проблемы с ядром 4.15.3-141-generic.
 

san4ez1008

New member
Сообщения
4
#9
Астра прислала пакеты для обновления linux-image и linux-astra-modules ядра 5.10, вчера установил, жду воспроизведения проблемы.
 

san4ez1008

New member
Сообщения
4
#10
Так, ну если кому интересно. После установки пакетов, присланных астрой, полет нормальный. Но, как оказалось, через 20 с лишним дней даже без касперского на борту появилась такая же фигня с высером в логи. Ощущение, что виноваты контейнеры или внутренний сбой в ядрах. Но на другой железке проблем нет.
 

lisco2002

New member
Сообщения
50
#11
Так, ну если кому интересно. После установки пакетов, присланных астрой, полет нормальный. Но, как оказалось, через 20 с лишним дней даже без касперского на борту появилась такая же фигня с высером в логи. Ощущение, что виноваты контейнеры или внутренний сбой в ядрах. Но на другой железке проблем нет.
А у вас какие модули ядра?

Похожая ошибка, появляется в логах, работает дня 3, потом связь пропадает и фризится.
Astra 1.7.1
Linux astra14 5.10.0-1045-generic #astra5+ci9 SMP Mon Nov 22 11:43:01 UTC 2021 x86_64 GNU/Linux
ASSERTION(atomic_read(&l->ucnt) > 0) failed in pdpl_get() file: /opt/astra/linux-astra-modules-5.10/linux-astra-modules-5.10-5.10.0/debian/build/build-generic/parsec/dp/pdp_common.c, line: 45
 

koshak83

New member
Сообщения
41
#12
А у вас какие модули ядра?

Похожая ошибка, появляется в логах, работает дня 3, потом связь пропадает и фризится.
Astra 1.7.1
Linux astra14 5.10.0-1045-generic #astra5+ci9 SMP Mon Nov 22 11:43:01 UTC 2021 x86_64 GNU/Linux
ASSERTION(atomic_read(&l->ucnt) > 0) failed in pdpl_get() file: /opt/astra/linux-astra-modules-5.10/linux-astra-modules-5.10-5.10.0/debian/build/build-generic/parsec/dp/pdp_common.c, line: 45
Parsec думаю, иногда даже Касперскому и Dr.Web мешает работать. Я бы обновился, всё таки 1.7.5.9
 

lisco2002

New member
Сообщения
50
#13
1.7.5 есть в репозитории, а что за 9?

Понял откуда 9.
main_update-1.7.5.9-16.10.23_16.58.iso
 
Последнее редактирование:

koshak83

New member
Сообщения
41
#14
1.7.5 есть в репозитории, а что за 9?

Понял откуда 9.
main_update-1.7.5.9-16.10.23_16.58.iso
9-тка думаю версия сборки обновления 1.7.5. По мимо комулятивных обновлений там по мелочи еще выходили заплатки.
В /etc/apt/sources.list пропишите сетевые репозитории и обновляйте штатной обновлялкой в Панель управления- Система- Установка обновлений- Экспертный режим с включенными пунктами "Автоматическое обновление приложения" и "Установка обновлений из репозиториев /etc/apt/sources.list" допустим ежемесячно (для x86-64 ПК):

Код:
#Astra Linux repository description https://wiki.astralinux.ru/x/0oLiC

#deb cdrom:[OS Astra Linux 1.7.5 1.7_x86-64 DVD ]/ 1.7_x86-64 main contrib non-free

deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free
deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-update/ 1.7_x86-64 main contrib non-free
deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free
deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free
 
Последнее редактирование:

lisco2002

New member
Сообщения
50
#15
Обновляю обычно
sudo apt upgrade
Стало
cat /etc/astra_version
1.7.5

После обновления при старте ядра стало такое:
Kernel not compiled with retpoline; no mitigation available
 

ALSE_User

New member
Сообщения
534
#16
Обновляю обычно
sudo apt upgrade
Стало
cat /etc/astra_version
1.7.5

После обновления при старте ядра стало такое:
Kernel not compiled with retpoline; no mitigation available
Т.е. легенду к обновлению с инструкцией Вы не читаете ? Зря...
Обновлять лучше утилитой astra-update (в 1.7 устанавливается по умолчанию) или sudo apt dist-upgrade...
 

koshak83

New member
Сообщения
41
#18
Обновляю обычно
sudo apt upgrade
Стало
cat /etc/astra_version
1.7.5

После обновления при старте ядра стало такое:
Kernel not compiled with retpoline; no mitigation available
Не надо так делать. Не используйте для обновления команду apt upgrade. Она очень часть ломает зависимости. Если любите обновляться через терминал, то используйте только apt full-upgrade (ранее apt dist-upgrade) и то очень осторожно смотрите что сносит и ставит на замену. Это всё на свой страх и риск. И так-же не используйте для обновления Synaptic, только для установки пакетов и программ.
Астра настоятельно рекомендует использовать только встроенную в систему обновлялку "fly-astra-update". Её можно запустить как через Панель управления во вкладке Система, так и через терминал. (Не забудьте в обновлялке переключится в режим "Экспертный", чтобы указать sources.list в качестве источника обновлений). Только через неё гарантированно нормальное обновление с нужными параметрами. Скрины что к чему прикрепил.
 

Вложения

Последнее редактирование:

msi4ik

New member
Сообщения
1
#19
Коллеги, появилась подобная проблема на:
Astra 1.7.1
Linux astra14 5.10.0-1045-generic

Помогло обновление до 1.7.5?