Chromium gost astra linux установка

Настройка веб-приложения для работы в браузере Chromium-Gost

Браузер Chromium-Gost поддерживает криптографические алгоритмы шифрования ГОСТ.

Примечание . Настройка веб-приложения для работы в браузере Chromium-Gost доступна только в Astra Linux SE 1.7.

Для работы веб-приложения в браузере Chromium-Gost выполните шаги, указанные ниже.

Рассмотрим использование удостоверяющего центра на примере тестового удостоверяющего центра КриптоПро. Для этого предварительно установите КриптоПро CSP.

Шаг 1. Добавление закрытого ключа и сертификата

Закрытый ключ и сертификат, использующий алгоритмы шифрования ГОСТ, генерируются в форматах PEM и CER при помощи специальных программных средств, например, OpenSSL. Для установки OpenSSL выполните команду:

sudo apt-get install openssl

По умолчанию в операционной системе установлена и настроена библиотека libgost-astra для поддержки алгоритмов шифрования ГОСТ.

Для добавления закрытого ключа и сертификата:

openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out seckey.pem

openssl req -key seckey.pem -new -out domain.csr

1. Отправьте содержимое domain.csr без заголовков из полученного запроса в службу сертификации.
2. Сохраните полученный сертификат в формате base64.

После выполнения действий в каталоге /etc/apache2/ssl будут содержаться файлы:

• seckey.pem . Закрытый ключ;
• certnew.cer . Сертификат, использующий алгоритмы шифрования ГОСТ.

Шаг 2. Настройка Apache2 с использованием сертификата

Для настройки Apache2 с использованием сертификата:

1. Удалите все файлы, кроме default-ssl.conf, в каталоге /etc/apache2/sites-enabled.
2. Откройте файл /etc/apache2/sites-enabled/default-ssl.conf и выполните следующие действия:
   • укажите закрытый ключ и сертификат:

SSLCertificateFile «ssl/certnew.cer»
SSLCertificateKeyFile «ssl/seckey.pem»

SSLProtocol TLSv1 +TLSv1.1 +TLSv1.2

sudo systemctl restart apache2

После выполнения действий в браузере Chromium-Gost будет отображаться сертификат, использующий алгоритмы шифрования ГОСТ.

Шаг 3. Настройка работы веб-приложения по протоколу HTTPS

Для настройки работы веб-приложения по протоколу HTTPS, поддерживающему шифрование:

sudo systemctl disable apache2-fp10.x
sudo systemctl disable apache2-fp10.x-web

1. Скопируйте файлы конфигурации BI-сервера fp10.x-biserver.conf, fp10.x-biserver.load из каталога /etc/apache2-fp10.x/mods-available в папку установки Apache2 /etc/apache2/mods-available:

sudo cp /etc/apache2-fp10.x/mods-available/fp10.x-biserver.conf /etc/apache2/mods-available/fp10.x-biserver.conf
sudo cp /etc/apache2-fp10.x/mods-available/fp10.x-biserver.load /etc/apache2/mods-available/fp10.x-biserver.load

1. Создайте символьные ссылки файлов конфигурации fp10.x-biserver.conf, fp10.x-biserver.load в каталоге /etc/apache2/mods-enabled:

sudo ln -s /etc/apache2/mods-available/fp10.x-biserver.conf /etc/apache2/mods-enabled/fp10.x-biserver.conf
sudo ln -s /etc/apache2/mods-available/fp10.x-biserver.load /etc/apache2/mods-enabled/fp10.x-biserver.load

1. Переключите Apache2 в режим worker:
   1. Удалите файлы:
      • /etc/apache2/mods-enabled/mpm_prefork.load;
      • /etc/apache2/mods-enabled/mpm_prefork.conf.
   2. Создайте символьные ссылки файлов mpm_worker.conf, mpm_worker.load в каталоге /etc/apache2/mods-enabled:

   sudo ln -s /etc/apache2/mods-available/mpm_worker.conf /etc/apache2/mods-enabled/mpm_worker.conf
   sudo ln -s /etc/apache2/mods-available/mpm_worker.load /etc/apache2/mods-enabled/mpm_worker.load

   
   MaxSpareThreads 64
   StartServers 1
   ThreadsPerChild 64
   MaxRequestWorkers 64
   MinSpareThreads 32
   MaxConnectionsPerChild 0
   ServerLimit 1
   

   1. Настройте механизм CORS для повышения безопасности системы при обмене данными между разными доменами:
      1. Откройте файл /etc/apache2/apache2.conf.

      
      SetEnvIf Origin ^(< разрешённый домен >)$ CORS_ALLOW_ORIGIN=$1
      Header always set Access-Control-Allow-Origin %e env=CORS_ALLOW_ORIGIN
      Header merge Vary «Origin»
      Header always set Access-Control-Allow-Methods «POST, OPTIONS, < методы HTTP-запросов >»
      Header always set Access-Control-Allow-Headers «get-ppbi-time, content-type, soapaction, accept-language, cache-control, Authorization, < заголовки HTTP-запросов >»
      
      RewriteEngine On
      RewriteCond % OPTIONS
      RewriteRule ^(.*)$ $1 [R=200,L]

      • < разрешённый домен > . Укажите домен, для которого будет разрешено получение запросов, в виде регулярного выражения. Например, регулярное выражение для домена example.com:

      Данная настройка включает использование механизма CORS на родительском и дочерних ему доменах, а также динамически устанавливается на текущий протокол, домен, порт без использования правил перезаписи;

      • < методы HTTP-запросов > . Укажите дополнительные методы для доступа к ресурсу. Методы POST, OPTIONS являются обязательными;
      • < заголовки HTTP-запросов > . Укажите заголовки, которые используются ресурсом. Заголовки get-ppbi-time,content-type, soapaction, accept-language, cache-control, Authorization являются обязательными.

      Примечание . Убедитесь, что указанные параметры механизма CORS соответствуют требованиям используемого ресурса.

      sudo a2enmod headers rewrite

      1. Создайте файл envvars с переменными окружения для работы веб-приложения в каталоге /etc/opt/foresight:

      DISPLAY=:987
      PP_LOG=1
      PP_RETMEM=1
      MALLOC_MMAP_THRESHOLD_=8192
      PP_RETMEM_CO=1
      PATH_TO_WEB=/opt/foresight/fp10.x-webserver
      PP_SOM=https://< BI-сервер >/ fp BI_App_v10.x/axis2/services/PP.SOM.Som
      APACHE_LOG_DIR=logs

      В подстановке < BI-сервер > укажите IP-адрес или DNS-имя сервера, на котором установлен BI-сервер.

      1. Укажите путь до файла /etc/opt/foresight/envvars в файле настроек сервиса Apache2 /usr/lib/systemd/system/apache2.service после параметра Environment:

      
      ErrorLog $/error.log
      CustomLog $/access.log combined
      Alias /fp10.x/app/ $/app/
      Alias /fp10.x/build/ $/build/
      Alias /fp10.x/dashboard/ $/dashboard/
      Alias /fp10.x/resources/ $/resources/
      Alias /fp10.x/index.html $/index.html
      Alias /fp10.x/libs/ $/libs/
      Alias /fp10.x/ $/
      RewriteEngine On
      RewriteCond % (.*(?:^|&))cache(=1)?((?:&|$).*)
      RewriteRule .* — [env=CACHEABLE]
      KeepAlive Off
      
      Options Indexes
      AllowOverride All
      Require all granted
      FileETag None
      SetEnv no-gzip 1
      SetEnv dont-vary 1
      
      Header set Cache-Control «public, max-age=31536000» env=CACHEABLE
      Header unset Pragma
      Header unset ETag
      UnsetEnv CACHEABLE
      
      
      Header set Cache-Control «public, max-age=31536000»
      
      
      

      sudo systemctl restart apache2

      После выполнения действий работа веб-приложения будет выполняться через HTTPS.

      Источник

      Как установить браузер Chromium browser 72?

      Ну хорошо, делаем вывод, что у товарища получилось с Chromium browser 72. Первый вопрос- а где его взять-то? В статье ни ссылки, ничего нет. Но мы-то помним, что в астралинуксе откуда попало ставить нельзя, это не другая плохая ось, где максимум, на что ты рискуешь нарваться это просто неудачная установка.

      Поэтому ставить будет откуда надо.
      На дисках астралинукс chromium отродясь не было.

      user@astra:~$ user@astra:~$ dpkg -l | grep chromium ii chromium 37.0.2062.120-1~deb7u1 amd64 Google's open source chromium web browser ii chromium-browser 37.0.2062.120-1~deb7u1 all Chromium browser - transitional dummy package ii chromium-browser-dbg 37.0.2062.120-1~deb7u1 all chromium-browser debug symbols transitional dummy package ii chromium-browser-inspector 37.0.2062.120-1~deb7u1 all page inspector for the chromium-browser - transitional dummy package ii chromium-browser-l10n 37.0.2062.120-1~deb7u1 all chromium-browser language packages - transitional dummy package ii chromium-bsu 0.9.15-1 amd64 fast paced, arcade-style, scrolling space shooter ii chromium-bsu-data 0.9.15-1 all data pack for the Chromium B.S.U. game ii chromium-dbg 37.0.2062.120-1~deb7u1 amd64 Debugging symbols for the chromium web browser ii chromium-inspector 37.0.2062.120-1~deb7u1 all page inspector for the chromium browser ii chromium-l10n 37.0.2062.120-1~deb7u1 all chromium-browser language packages user@astra:~$

      Так это убожество ПРОСТО ЕСТЬ. Ни тебе размера изменить, ни выйти никуда. Каждый раз такая вот вкладка появляется и всё. Ни закрыть толком (крестик отсутствует в правом верхнем углу). Мля, даже версии посмотреть нельзя, ибо при тыкании в настройках на «o Chromium» опять на такую вот вкладку перекидывает и всё. В общем, всё что, есть- возможность создавать одинаковые вкладки. Госуслуги, говорите.

      В общем, знает ли кто-нибудь как установить браузер Chromium browser 72? Ну и где его взять, конечно.

      Где wheezy не упоминается вообще. А мы помним, что астралинукс Смоленск 1.5 SE это именно wheezy, а не что иное.
      Заранее спасибо. Прошу считать открытым запросом в техподдержку.
      P.S. Зато игра какая-то дебильная скачалась.

      Источник

      Chromium gost astra linux установка

      

      Неофициальная инструкция по установке Chromium-Gost в Linux

      Веб браузер Chromium-Gost служит для просмотра веб-сайтов, использующих криптографию ГОСТ Р 34.10-2012.

      Установка Chroimum-Gost в ОС Linux

      

      2) Прокрутите страницу вниз и нажмите ссылку «Скачать«.

      3) Из раздела Assets загрузите файл, соответствующий версии операционной системы:

      

      • *.DEB — для Debian, Ubuntu, Linux Mint
      • *.RPM — для Fedora Linux, CentOS и т.д.

      4) После загрузки, закройте браузер (выйдите из него).

      5) Удалите пакет chromium, если он был установлен, так как он конфликтует с пакетом chromium-gost-stable

      6) Удалите ярлык запуска (desktop-файл) старой программы chromium

      rm ~/.local/share/applications/chromium-browser.desktop

      7) В проводнике в папке «Downloads» или «Загрузки» двойным щелчком мыши запустите установку пакета программы.

      8) Для установки Chromium-Gost нажмите «Установить пакет».

      

      Ярлык для запуска приложения находится в разделе меню Пуск — Интернет, имеет имя «Chromium-Gost».

      Примечание: для работы с сайтами, использующими криптографическую защиту TLS одного лишь браузера Chroimum-Gost может оказаться недостаточно. Для включения шифрования по ГОСТу нужно загрузить установить с сайта cryptopro.ru и установить дополнительные компоненты.

      Настройка Linux для включения шифрования ГОСТ

      Для работы на сайтах РФ с шифрованием ГОСТ необходимо установить компоненты:

      1. Криптопровайдер КриптоПро CSP (ознакомительная версия на 90 дней, платный) — скачать linux-amd64_deb.tgz, распаковать архив, запустить командный файл sudo sh install_gui.sh . Настройки мастера — по умолчанию (нажмите «Далее»). Пункт «Копировать корневые сертификаты из ОС в КриптоПро» выбирать не нужно.
      2. Пакет cprocsp-pki-cades из архива плагина (см. пункт 3).
      3. Пакет cprocsp-pki-pluginCades — плагин (Криптопро браузер плагин — бесплатный)
      4. Корневой сертификат Russian Trusted Root CA
         openssl x509 -in rootca_ssl_rsa2022.cer -out rootca.cer -outform PEM
         sudo cp rootca.cer /usr/local/share/ca-certificates/ && sudo update-ca-certificates -v
      5. Корневой сертификат Минкомсвязи — Главного удостоверяющего центра ГОСТ Р 34.10-2012
         openssl x509 -inform der -outform pem -in guts_2012.cer -out guts2012.cer
         sudo cp guts2012.cer /usr/local/share/ca-certificates/ && sudo update-ca-certificates -v
      6. Корневой сертификат Минцифры — Главного удостоверяющего центра 2022 GUTS_2022.CER
         openssl x509 -inform der -outform pem -in Kornevoy_sertifikat_GUTS_2022.CER -out guts.cer
         sudo cp guts.cer /usr/local/share/ca-certificates/ && sudo update-ca-certificates -v
      7. Корневой сертификат Федерального казначейства
         openssl x509 -in Sertifikat-udostoveryayushchego-tsentra-Federalnogo-kaznacheystva-2023.CER -out fed.cer -outform PEM
         sudo cp fed.cer /usr/local/share/ca-certificates/ && sudo update-ca-certificates -v
      8. Плагин Госуслуг IFCPlugin-x86_64.deb
      9. Личный сертификат физического или юридического лица, установленный в КриптоПро
      10. Сертификат удостоверяющего центра, выдавшего сертификат физ. / юр. лицу.
          openssl x509 -in tensorca-2023_gost2012.cer -out tensor.cer -outform PEM
          sudo cp tensor.cer /usr/local/share/ca-certificates/ && sudo update-ca-certificates -v

      Проверка шифрования соединений TLS по ГОСТ

      Тестовая страница — «Госуслуги»: https://gosuslugi.ru/
      См. свойства безопасного подключения: Безопасное подключение — Действительный сертификат.

      • если действительный сертификат GlobalSign RSA OV SSL CA, то браузер клиента не поддерживает ГОСТ TLS;
      • если действительный сертификат от Минцифры России (выдан Минкомсвязь России), то браузер поддерживает и использует ГОСТ TLS.

      

      Если необходимо, удаление Chromium-Gost в Ubuntu или Linux Mint можно выполнить из Терминала:

      sudo dpkg -r chromium-gost-stable

      Для удаления КриптоПро запустите снова sudo sh install_gui.sh и выберите удаление. После удаления КриптоПро, шифрование TLS по ГОСТ станет недоступным.

      Шифрование ГОСТ без КриптоПро не работает!

      Источник

      Читайте также:  Linux quiet command line