25 ответов в этой теме

[magrif]

cat /etc/astra_version и dpkg -l

 

Смоленск 1.5

 

 

Это какой-то local misconfiguration у конкретного пользователя

 

Верно. Создал доменного юзера и локального - под обоими запускается. Интересно, в чем причина. Юзер, из под которого не работает, астра-админ, созданный при установке.

Прикрепленные файлы:

•  bin_list.txt   5,22К   0 Скачано раз
•  dpkg_list.txt   210,43К   0 Скачано раз

[Dmitry Mikhirev]

Покажите, что скажут под проблемным пользователем команды:

id -u
id -ru
id -g
id -rg
LD_SHOW_AUXV=1 sleep 1

[magrif]

id -u
id -ru
id -g
id -rg

userc@client:~$ id -u

1000

userc@client:~$ id -ru

1000

userc@client:~$ id -g

1000

userc@client:~$ id -rg

1000

LD_SHOW_AUXV=1 sleep 1

Ничего не вывело. 

[Dmitry Mikhirev]

По-прежнему ничего не понятно. Вот что сказано в man ld-linux.so:

   Secure-execution mode
       For  security  reasons,  the  effects of some environment variables are
       voided or modified if the dynamic linker  determines  that  the  binary
       should  be run in secure-execution mode.  This determination is made by
       checking whether the AT_SECURE  entry  in  the  auxiliary  vector  (see
       getauxval(3)) has a nonzero value.  This entry may have a nonzero value
       for various reasons, including:

       *  The process's real and effective user IDs differ, or  the  real  and
          effective  group  IDs  differ.  This typically occurs as a result of
          executing a set-user-ID or set-group-ID program.

       *  A process with a non-root user ID executed a binary  that  conferred
          permitted or effective capabilities.

       *  A nonzero value may have been set by a Linux Security Module.

Не исключено, что в Астре намутили что-то с LSM.

[Jorik]

Не исключено, что в Астре намутили что-то с LSM.

 

Понимаю, что с тех прошло немало лет, но совсем недавно столкнулись с подобной ситуацией. Мы с ней разобрались, но пришлось покопаться... Возможно кому-то понадобится...

 

Причиной такого поведения - особенность Astrta Linux 1.5, описанная в документе РКСЗ (руководство по комплексу средств защиты) часть 1, раздел 3.2.

 

 

Все привилегии пользователя наследуются запущенными от имени его учетной записи процессами. При запуске процесса с установленными привилегиями загрузчик динамических библиотек осуществляет сброс переменных среды окружения, позволяющих осуществлять загрузку динамических библиотек из нестандартных каталогов LD_LIBRARY_PATH и LD_PRELOAD. Таким образом, установка Linux-привилегий для пользователя может привести к невозможности запуска приложений, использующих динамическую загрузку библиотек из нестандартных каталогов (например, Firefox, Thunderbird, LibreOffice, fly-scan).

 

 

 

1. Вкратце, если пользователю добавляли дополнительные Linux-привилегии (capabilities), то параметр LD_LIBRARY_PATH игнорируется и используется системная библиотека.

2. В Astra Linux 1.5 список поддерживаемых GLIBCXX системной библиотеки можно узнать командой:

 

 

 

В то же время, библиотеки из дистрибутива DrWeb:

 

 

 

В итоге: отключаем пользователю Linux-привилегии и все работает. Ну или удалить системную библиотеку и создать символическую ссылку на DrWeb-овскую, но так делать не стоит.

Могу еще отметить, что PARSEC-привилегии не влияют на загрузчика динамических библиотек применительно к текущей проблеме.

Прикрепленные файлы:

•  1_alse.jpg   99,92К   0 Скачано раз
•  2_alse.jpg   114,66К   0 Скачано раз

Сообщение было изменено Jorik: 15 Апрель 2025 - 16:01

[Afalin]

Ну или удалить системную библиотеку и создать символическую ссылку на DrWeb-овскую, но так делать не стоит.

Того же самого несколько безопаснее добиваться действиями вида echo /opt/drweb.com/lib64/ldwrap/gcc >> /etc/ld.so.conf.d/99drweb.com.conf && ldconfig

Хотя тоже нарваться можно.