Смоленск 1.5 KES 10 for Linux v.10.1.0.6024

kdewyz

New member
Сообщения
40
#1
На сайте Касперского есть упоминание о сертифицированной версии KES, заточенной под Астру (https://certifiedbuilds.kaspersky.ru)
Скачать её можно по ссылке - http://certifiedbuilds.s.kaspersky-...urity_10_for_linux/10.1.0.6024/multilanguage/

В отличие от других версий ставится, действительно, лучше, но...

Я прогонял KES на двух машинах - сначала пробовал на виртуальной, затем уже на реальной
На виртуальной всё встало ровно. На реальной работает всё, кроме постоянной защиты файлов (file monitoring). В описании ошибки причиной указана ошибка драйвера перехватчика.
Никто не знает, что за зверь, и как его приручить?
 

FrostSrg

New member
Сообщения
13
#2
Тестировал и на виртуальных машинах, и на реальном железе. Проблем с постоянной защитой не заметил. На реальном железе наблюдаю проблемы с остановкой сервиса kesl-supervisor при выключении компьютера.
 

kdewyz

New member
Сообщения
40
#3
v.10.1.0.6024 не идет на Астре 1.5, увы. Предназначена для Астры 1.6.
к тому же сертификата на неё пока нет
пришлось ставить 8.0.4.312
 
Сообщения
13
#4
v.10.1.0.6024 не идет на Астре 1.5, увы. Предназначена для Астры 1.6.
к тому же сертификата на неё пока нет
пришлось ставить 8.0.4.312
Ядро при загрузке поменяйте на стандарт, так как вы наверняка устанавливали билютень безопасности. Проверте, что ядро грузится стандартное, и в путь. Проверено на 1.5 se
 

aav

New member
Сообщения
3
#5
Ядро при загрузке поменяйте на стандарт, так как вы наверняка устанавливали билютень безопасности. Проверте, что ядро грузится стандартное, и в путь. Проверено на 1.5 se
У меня, при стандартном ядре при запуске kesl-supervisor виснет напрочь система. Так же заметил что виснет Управление сервисами в ОС.
 

cogniter

Moderator
Team Astra Linux
Сообщения
538
#6
насколько мне известно, Лаборатория Касперского работает над улучшением совместимости
 

aav

New member
Сообщения
3
#7
Постоянная защита запускается на KES 5960 и обновленном ядре, но у меня при запуске автоматически не стартует kesl-supervisor, Ben! I need HELP.)
 

makc

New member
Сообщения
7
#8
Судя по всему проблема кроется в подсистеме parsec, которую приводит в состояние дедлока механизм fanotify, используемый в KESL 10. По существу получается, что из-за невозможности корректного завершения работы процесса kesl во время принудительного завершения всех незавершенных процессов и происходит эта мертвая блокировка:
Максим Деднев, [04.06.19 14:33]
[ 242.614711] INFO: task kesl_launcher.s:4973 blocked for more than 120 seconds.
[ 242.622783] Tainted: G O 4.2.0-23-generic #28astra39
[ 242.629981] "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" disables this message.
[ 242.638712] kesl_launcher.s D ffff88022ec132c0 0 4973 4971 0x00000000
[ 242.646414] ffff8800ca21f940 0000000000000082 ffffffff81c75a80 ffff8800ca35b480
[ 242.654719] 0000000000000246 ffff8800ca35bde8 ffff8800ca226680 ffff8800345cc800
[ 242.663075] ffff8800345cc8d8 0000000000000000 ffff8800ca21f960 ffffffff81789267
[ 242.671412] Call Trace:
[ 242.674242] [<ffffffff81789267>] schedule+0x37/0x80
[ 242.679704] [<ffffffff8122aeee>] fanotify_handle_event+0x22e/0x340
[ 242.686536] [<ffffffffc01f07a0>] ? pdpml_conf_permission+0x40/0x60 [parsec]
[ 242.694231] [<ffffffff810b4160>] ? finish_wait+0x80/0x80
[ 242.700221] [<ffffffff8122744f>] fsnotify+0x2ef/0x490
[ 242.705897] [<ffffffffc01eaee4>] ? parsec_inode_permission+0xc4/0x160 [parsec]
[ 242.714129] [<ffffffff81311e13>] security_file_open+0x93/0xa0
[ 242.720562] [<ffffffff811e4806>] do_dentry_open+0xc6/0x320
[ 242.726737] [<ffffffff811e59c7>] vfs_open+0x57/0x60
[ 242.732279] [<ffffffff811f5a91>] path_openat+0x291/0x1210
[ 242.738294] [<ffffffff8117a222>] ? get_page_from_freelist+0x3f2/0x9d0
[ 242.745446] [<ffffffff811f6a93>] do_filp_open+0x83/0xe0
[ 242.751288] [<ffffffff8118d983>] ? kmemdup+0x43/0x60
[ 242.756871] [<ffffffffc01e5659>] ? parsec_cred_sec_cpy+0x49/0xb0 [parsec]
[ 242.764420] [<ffffffff811ab18e>] ? page_add_file_rmap+0x2e/0x60
[ 242.770976] [<ffffffff811ed744>] do_open_execat+0x74/0x1a0
[ 242.777120] [<ffffffff811ee505>] do_execveat_common.isra.30+0x1b5/0x6f0
[ 242.784444] [<ffffffffc01eba07>] ? parsec_fn_pre+0x77/0x280 [parsec]
[ 242.791476] [<ffffffff811eea6c>] do_execve_original+0x2c/0x30
[ 242.797845] [<ffffffff8131bda4>] do_execve+0xa4/0x160
[ 242.803499] [<ffffffff811f532a>] ? getname_flags+0x7a/0x1f0
[ 242.809679] [<ffffffff81060797>] ? __do_page_fault+0x1c7/0x440
[ 242.816192] [<ffffffff811eecce>] SyS_execve+0x2e/0x40
[ 242.821859] [<ffffffff8178ce25>] stub_execve+0x5/0x5
[ 242.827391] [<ffffffff8178caf6>] ? entry_SYSCALL_64_fastpath+0x16/0x79

Решений есть два: первое и самое простое, но не самое правильное - создать файл /etc/init.d/.legacy-bootordering для переключения на legacy-режим запуска скриптов, при котором по моему опыту скрипт остановки KESL отрабатывает штатно.
Второе решение: воспользоваться пропатченными скриптами KESL из приложенных архивов и после перезаписи файлов из них выполнить команду update-rc.d kesl-supervisor disable и потом update-rc.d kesl-supervisor enable для обновления файлов-описателей зависимостей запуска в /etc/init.d
После этого перезагрузившись (возможно принудительно), на следующей перезагрузке/выключении все должно стать нормально. Зависания должны прекратиться.
 

Вложения

Последнее редактирование:

aav

New member
Сообщения
3
#9
Вышла новая версия Касперского, там все работает нормально
 

makc

New member
Сообщения
7
#10
Если речь идет о 6421, то с ней наблюдаются точно те же самые эффекты, т.к. судя по скриптам ничего в них не изменилось.
Я говорю про остановку работы системы, а не про запуск.
 

CrashBldash

New member
Сообщения
252
#11
На Орле к 6421 претензий нет. Полет нормальный. Для Смоленска есть отдельная версия на сайте каспера.
Ссылка
 

makc

New member
Сообщения
7
#12
На Орле к 6421 претензий нет. Полет нормальный.
Орлов много разных, если Вы о свежей версии, то я практически не сомневаюсь, что так и есть, все работает штатно. Но в заголовке темы написано "Смоленск 1.5" и поэтому причем здесь свежий Орел?

Для Смоленска есть отдельная версия на сайте каспера.
Ссылка
Если я правильно понимаю, то эта версия в первую очередь ориентирована на Смоленск 1.6, а мы все же говорим про 1.5.

Поэтому у меня простой вопрос: Вы ее тестировали на Смоленске 1.5? Сколько раз получилось штатно завершить работу или перезагрузиться?
 

CrashBldash

New member
Сообщения
252
#13
Смоленском к сожалению не располагаю. Где то в организации есть 1.5, но мимо меня. Считаю необходимым зондировать почву для обновления Смоленска до актуальной версии. Скорее всего в старые версии как обычно пойдут только обновления безопасности. А весь новый функционал только в новые.
 

makc

New member
Сообщения
7
#14
Для Смоленска есть отдельная версия на сайте каспера.
Ссылка
Сравнил ее с общей сборкой версии 6421. Оптимизация под Астру заключается в выпиливании исходников модуля ядра, добавлении предсобранного модуля ядра для версии ядра 3.16.0-16-(generic||pax) и запуске процесса мониторинга файлов через exеcaps "${WDSERVER_BIN}" ${WDSERVER_FLAGS} -e /usr/sbin/execaps -c 0x300 -- "${PRODUCT_BIN}", т.е. с capability PARSEC PARSEC_CAP_PRIV_SOCK и PARSEC_CAP_READSEARCH для игнорирования мандатных меток при доступе к файлам на чтение, что логично и необходимо. В остальном все то же самое в отношении описанных мною ранее проблем в скриптах.
 

makc

New member
Сообщения
7
#16
Уже написал, жду реакции.

Небольшое обновление, может быть кому-нибудь будет полезно: в приложенном архиве доработанные файлы скриптов для kesl-astra_10.1.1-6421_amd64 и версий для простых Linux'ов.
 

Вложения

Последнее редактирование:
Сообщения
3
#17
Кто-нибудь знает как её заставить работать в режиме замкнутой программной среды в Смоленске? Пробовал и 6024, и 6421. Ставил из папки Astra официального диска. При запуске выдаёт что файлы не подписаны.
В формуляре написано что в работает и в обычном режиме, и в ЗПС, как в 1.5, так и в 1.6. Но больше никакой информации о ЗПС в документации или форумах Каспера нет.
 

Hokku San

New member
Сообщения
31
#18
Но больше никакой информации о ЗПС в документации или форумах Каспера нет.
Неправда - https://forum.kaspersky.com/index.php?/topic/381390-антивирусное-средство-для-специальных-ос/

В состав публично выложенной сборки Касперского 6421 не входят ключи для ЗПС, соответственно нужно обращаться в службу поддержки.

В догонку - https://xn--80ac3cm.xn--p1ai/wiki/Astra_Linux.Справка.Открытые_ключи_GPG_для_подписи_ПО

Можешь попробовать "Kaspersky public key" - https://stor.rusbitech.ru/data/public/476b3f.php
 
Последнее редактирование:
Сообщения
3
#19
Неправда - https://forum.kaspersky.com/index.php?/topic/381390-антивирусное-средство-для-специальных-ос/

В состав публично выложенной сборки Касперского 6421 не входят ключи для ЗПС, соответственно нужно обращаться в службу поддержки.

В догонку - https://xn--80ac3cm.xn--p1ai/wiki/Astra_Linux.Справка.Открытые_ключи_GPG_для_подписи_ПО

Можешь попробовать "Kaspersky public key" - https://stor.rusbitech.ru/data/public/476b3f.php
Спасибо за помощь. С "Kaspersky public key" запустилась 6024 в ЗПС, 6421 пока не пробовал.
Не понимаю что им мешало положить публичный ключ на официальный диск.