Ошибка установки deb пакета "The product was installed with a non-zero security label. Reinstallation required."

[Anton69]

Добрый день!
При установке deb пакета на astra 1.7.4 столкнулись со следующей ошибкой: "The product was installed with a non-zero security label. Reinstallation required."

root@astra-1:/home/administrator# dpkg -i /tmp/package.deb
(Reading database ... 72504 files and directories currently installed.)
Preparing to unpack .../package.deb ...
Try `pdp-id --help' for more information.
Try `pdp-id --help' for more information.
The product was installed with a non-zero security label. Reinstallation required.
dpkg: error processing archive /tmp/package.deb (--install):
new package package pre-installation script subprocess returned error exit status 1
Post-remove script started
Post-remove script finished successfully
Errors were encountered while processing:
/tmp/package.deb
root@astra-1:/home/administrator# pdp-id
Level=0(Уровень_0), ILevel=0(Low), Categories=0x0(Нет)
Roles=()

Подскажите, пожалуйста, как исправить данную проблему?

 

[ALSE_User]

У Вас разблокирован root ?

 

[ALSE_User]

У пользователя из-под которого Вы пытаетесь устанавливать пакет есть какие либо установленные уровни конфиденциальности ?

 

[Anton69]

- У Вас разблокирован root ?
Да, он разблокирован.
administrator@astra-1:~$ su -l
Password:
root@astra-1:~# passwd -S root
root P 07/28/2023 0 99999 7 -1
Также отмечу, что другой пакет устанавливается успешно.

- У пользователя из-под которого Вы пытаетесь устанавливать пакет есть какие либо установленные уровни конфиденциальности ?
На сколько понимаю, нет. Подскажите, пожалуйста, как это правильно проверить ?

 

[ALSE_User]

- У Вас разблокирован root ?
Да, он разблокирован.
administrator@astra-1:~$ su -l
Password:
root@astra-1:~# passwd -S root
root P 07/28/2023 0 99999 7 -1
Также отмечу, что другой пакет устанавливается успешно.

- У пользователя из-под которого Вы пытаетесь устанавливать пакет есть какие либо установленные уровни конфиденциальности ?
На сколько понимаю, нет. Подскажите, пожалуйста, как это правильно проверить ?

pdpl-user <user_name> или через "Политику безопасности"

Разблокировка root плохая практика, лучше работать от имени администратора с уровнем мандатного контроля целостности равным 63 (Высоким) через команду sudo. А кстати, у root какой уровень МКЦ?

 

[Anton69]

- pdpl-user <user_name> или через "Политику безопасности"
root@astra-1:~# pdpl-user root
минимальная метка: Уровень_0:Низкий:Нет:0x0
0:0:0x0:0x0
максимальная метка: Уровень_0:Низкий:Нет:0x0
0:0:0x0:0x0

- Разблокировка root плохая практика, лучше работать от имени администратора с уровнем мандатного контроля целостности равным 63 (Высоким) через команду sudo. А кстати, у root какой уровень МКЦ?
Это тестовая машинка для воспроизведения проблемы. Подскажите, пожалуйста, а как проверить уровень МКЦ у root?

 

[ALSE_User]

Так может быть у Вас и МКЦ выключен ? Проверить:
sudo astra-mic-control status

Добавление роли администратора пользователю:
sudo gpasswd -a <имя_пользователя> astra-admin
sudo pdpl-user -i 63 <имя_пользователя>

 

[ALSE_User]

Если у Вас есть пользователь-администратор созданный при установке системы, работайте от его имени через команду sudo.
А root заблокируйте обратно
И не назначайте администратору НИКАКИХ уровней и категорий конфиденциальности, у него они ВСЕГДА должны быть равны 0. А уровень МКЦ должен быть 63

 

[Anton69]

- Так может быть у Вас и МКЦ выключен ? Проверить:
sudo astra-mic-control status
administrator@astra-1:~$ sudo astra-mic-control status
НЕАКТИВНО

Выполнение команды установки из под администратора с sudo заканчивается такой же ошибкой.
The product was installed with a non-zero security label. Reinstallation required.

administrator@astra-1:~$ pdp-id
Level=0(Уровень_0), ILevel=0(Low), Categories=0x0(Нет)
Roles=()

administrator@astra-1:~$ sudo gpasswd -a administrator astra-admin
Adding user administrator to group astra-admin

administrator@astra-1:~$ sudo pdpl-user -i 63 administrator
minimal pdpl: Уровень_0:Low:Нет:0x0
0:0:0x0:0x0
maximal pdpl: Уровень_0:63:Нет:0x0
0:63:0x0:0x0

administrator@astra-1:~$ pdp-id
Level=0(Уровень_0), ILevel=0(Low), Categories=0x0(Нет)
Roles=()

При установке c sudo снова ошибка The product was installed with a non-zero security label. Reinstallation required.

 

[ALSE_User]

Так у Вас профиль защиты базовый - "Орел" ? В этом случае обсуждать МКЦ нет смысла он выключен.

Ошибка: Продукт БЫЛ установлен с ненулевой меткой безопасности. ???? Что за продукт Вы пытаетесь ставить ?

 

[Anton69]

- Так у Вас профиль защиты базовый - "Орел" ? В этом случае обсуждать МКЦ нет смысла он выключен.
"Смоленск"

Ошибка: Продукт БЫЛ установлен с ненулевой меткой безопасности. ???? Что за продукт Вы пытаетесь ставить ?
- Да, тоже смущает формулировка ошибки, но у меня ошибка встречается при первой установке продукта на машину.
Подчеркну, что этот же деб пакет без проблем устанавливается на Астру 1.7.3 с точно такими же настройками ОС.
Подскажите, пожалуйста, что еще можно попробовать? Может быть, где-то есть логи системы, которая выбрасывает данную ошибку?

 

[ALSE_User]

Если профиль защиты "Смоленск", то почему выключен МКЦ ? Странно ! Он должен быть включен. Сами выключали ?
Вполне возможно что в 1.7.4 где-то ужесточили проверки и зависимости от профиля защиты.

И возвращаясь к формулировке ошибки - наводит на мысль, что система ставилась в профиле "Смоленск", а затем Вы ее перевели в профиль "Орел".
Что говорит команда sudo astra-modeswitch getname ?

 

[Anton69]

- Что говорит команда sudo astra-modeswitch getname ?
Тут похоже, я ошибся.
administrator@astra-1:~$ sudo astra-modeswitch getname
base(orel)
И это объясняет почему МКЦ выключен, но совсем не объясняет ошибку.
Подскажите, пожалуйста, как получить дополнительную информацию по ошибке? Мб информация пишется в какой-нибудь лог файл?

 

[ALSE_User]

Попробуйте поискать по названию пакета в /var/log включая подкаталоги.
Ну и в техподдержку можно, если она есть

 

[Anton69]

- Попробуйте поискать по названию пакета в /var/log включая подкаталоги.
К сожалению, пусто.

- Ну и в техподдержку можно, если она есть
Вы имеете в виду техподдержку устанавливаемого пакета?

Подчеркну, что пакет устанавливается без ошибок на Astra 1.7.3.

P. S. проблема пока так и осталась, но большое спасибо Вам за помощь

 

[Anton69]

Также добавлю, что при установке профиля защиты "Смоленск", проблема сохраняется.

 

[ALSE_User]

- Попробуйте поискать по названию пакета в /var/log включая подкаталоги.
К сожалению, пусто.

- Ну и в техподдержку можно, если она есть
Вы имеете в виду техподдержку устанавливаемого пакета?

Подчеркну, что пакет устанавливается без ошибок на Astra 1.7.3.

P. S. проблема пока так и осталась, но большое спасибо Вам за помощь

Я имел ввиду ТП Астралинукса. А приложение не из состава дистрибутива?
Тогда вопрос может быть и с ним. Судя по всему в 1.7.4 Что-то поменяли в системе защиты. Я бы обратился в ТП.

 

[Anton69]

Оказалось, что сам пакет валил такую ошибку. Спасибо за помощь!

 

[daimon]

Столкнулся с такой же проблемой при установке web-консоли для Kaspersky Security Center 14 на AstraLinux 1.7 в конфигурации "Орел", при том тестовая установка этого же пакета в AstraLinux 2.12 выполнилась успешно. Таки решения пока нет?

 

[daimon]

В общем данная проблема обсуждалась на форуме касперского: https://forum.kaspersky.com/topic/ksc-web-console-142-34771/ , единственное что добавлю что нашел исходную проблему, там же где лежит скрипт posinst в deb-пакете web-консоли KSC14 имеется скрипт preinst, и именно он выдает эту ошибку "non-zero security label" (и именно в нем касяк), в скрипте проводится проверка посредством утилиты pdp-id - в которую в скрипте добавлены лишние опции - т.е. скрипт не правильно отрабатывается (по крайней мере в AstraLinux 1.7.4).