[РЕШЕНО] Скрипт *.rules не отрабатывает ни в какую события.

А что в скрипте? Как ты понимаешь, что он не выполняется?

Попробуй перезагрузить правила: udevadm control --reload.

Нужно содержимое срипта. Как вариант:

cron, bash и tar

по средству

Тебе токен не по средствам.

Содержание скрипта rutoken-inserted.sh:

/opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov

Добавляет все сертификаты из переносного хранилища КриптоПРО в личное. Дело в том, что сам скрипт работает. Вывод терминала ниже:

administrator@WS2208-B18:/usr/bin$ sudo chmod +x rutoken-inserted.sh 
[sudo] пароль для administrator: 
administrator@WS2208-B18:/usr/bin$ bash rutoken-inserted.sh 
Match: SCARD\rutoken_lt_404465b1\0A00\A4A8
OK.
Total: SYS: 0,050 sec USR: 0,200 sec UTC: 0,990 sec
[ErrorCode: 0x00000000]
administrator@WS2208-B18:/usr/bin$

Как ты понимаешь, что он не выполняется?

Вывожу список ранее установленных сертификатов при помощи /opt/cprocsp/bin/amd64/certmgr -list

После выполнения команды, что прописана в скрипте - появляется ранее установленный сертификат. После инициализации токена не отрабатывает скрипт - нет информации о ранее установленном сертификате

попробуйте изменить скрипт на:

cd /opt/cprocsp/bin/amd64 && ./csptestf -absorb -certs -autoprov

Благодарю за идею. Попробовал, но, к сожалению, результат тот же:

administrator@WS2208-B18:/usr/bin$ cat rutoken-inserted.sh 
#!/bin/bash
cd /opt/cprocsp/bin/amd64 && ./csptestf -absorb -certs -autoprov

Установил рутокен. Проверяю список сертификатов:

administrator@WS2208-B18:/usr/bin$ /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2021.
Программа для работы с сертификатами, CRL и хранилищами.
=============================================================================
Список сертификатов пуст

Требуемый сертификат не существует. 

Заранее обновил правила, рестартнул udev.

ты запускаешь скрипт от юзера, udev же запускает от рута

ты запускаешь скрипт от юзера, udev же запускает от рута

кстати, да

Тогда можно попробовать :

sudo -u administrator cd /opt/cprocsp/bin/amd64 && ./csptestf -absorb -certs -autoprov

К сожалению, и это не помогло

administrator@WS2208-B18:/etc/udev/rules.d$ cat 90-rutoken.rules
SUBSYSTEM=="usb", ACTION=="add", ENV{ID_VENDOR_ID}=="0a89", RUN+="/usr/bin/rutoken-inserted.sh"
SUBSYSTEM=="usb", ACTION=="remove", ENV{PRODUCT}=="a89/25/100", RUN+="/usr/bin/rutoken-removed.sh"
administrator@WS2208-B18:/etc/udev/rules.d$ cat /usr/bin/rutoken-inserted.sh 
#!/bin/bash
sudo -u administrator /opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov

Поменял в rutoken-inserted.shс Вашего варианта не тот, что был у меня, посколько интерпретатор ругался:

administrator@WS2208-B18:/usr/bin$ cat rutoken-inserted.sh 
#!/bin/bash
sudo -u administrator cd /opt/cprocsp/bin/amd64 && ./csptestf -absorb -certs -autoprov

administrator@WS2208-B18:/usr/bin$ ./rutoken-inserted.sh 
sudo: cd: command not found

Нужно убедиться, что пакет sudo установлен, и в скрипте прописать абсолютный путь, который выдаст:

which sudo

sudo установлен.

в скрипте прописать абсолютный путь

Имеете в виду

/usr/bin/sudo -u administrator cd /opt/cprocsp/bin/amd64 && ./csptestf -absorb -certs -autoprov

?

да

Опять жертвы sudo. Один не понимает разницы между рутом и юзером, другой советует ему заведомо нерабочие команды.

Автор, sudo это плохая прога, приводящая к слабоумию её использующих, а её официальный сайт располагается в любимом домене спамеров ws, забудь про неё а лучше вообще снеси.

Для запуска команды из под заданного юзера есть стандартная unix-утилита su. Синтаксис такой:

su -c "команда" имя_юзера

В чём проблема команды «sudo»?

Она дефективна во всех аспектах, как в самой её идеологии так и в реализации.

По нормальному, должно быть чёткое понимание: есть некий пользователь, и есть пользователь root - это системный администратор компьютера. Это разные аккаунты, с разными задачами и доступами, которые не должны перемешиваться. sudo же имитирует виндузятное «повысим права юзеру», создавая кашу в голове у этого самого юзера и в итоге скорее всего и в правах доступа к файлам.

Отдельно стоит упомянуть и файл sudoers, где права выдаются методом текстового анализа команды регулярками - совершеннейший бред и одна большая дыра, при том что sudo позиционируется как утилита для безопасности.

Да, если пользователь грамотен и захочет потратить время, то весь этот бред можно настроить так, чтобы он работал вменяемо (это если не надётся дыра в самом коде sudo, а они там иногда находятся). Но зачем возиться с этой помойкой, когда можно сделать нормально? По итогу в большинстве систем sudo настроено на выдачу первому юзеру системы доступа к логину за root-а без ограничений, что практически полностью убивает смысл разделения прав вообще.

При этом практически всё, что она может сделать нормального - уже есть в стандартной unix-утилите su, которой и надо пользоваться для этих целей.

Если я правильно понял вывод теста, то скрипт запускается. Может, проблема вовсе не в его запуске, а в том, что в момент запуска носитель ещё не инициализировался? Добавь в скрипт создание какого-нибудь файла в /tmp, например. Вставь ключ и посмотри, создался ли файл.

Спасибо большое за разъяснение. С Вашей помощью всё заработало, но возникла другая проблема - удаление сертификата из личного хранилища отрабатывает без проблем, а добавление сертификата из переносного носителя в личное хранилище работает 1 раз только после рестарта udev (service udev restart) и/или повторного перечисления правил (udevadm control --reload-rules).

В общей сложности имеется 2 файла правил:

1. Правило по подключению рутокена;
2. Правило по отключению рутокена.

И 2 сценария:

1. Добавление всех сертификатов в личное хранилище;
2. Удаление всех сертификатов из личного хранилища.

И получается так, что при ручном добавлении сертификата и при «вытаскивании» рутокена - он удаляет сертификаты всегда, но само добавление в личное хранилище срабатывает только один раз.

Да, создание файла/директории работает хорошо, запуск сценария - целая проблема, которую помог решить firkax

Думаю стоит заменить команду ещё раз на что-нить типа такого:

su -c "/home/имя_юзера/token_insert_hook.sh" имя_юзера

и создать файл /home/имя_юзера/token_insert_hook.sh, сделать его исполняемым (chmod +x) и внутрь такое содержимое:

#!/bin/sh -e

echo `date` script called >> /home/имя_юзера/token_insert_hook.log
cd /opt/cprocsp/bin/amd64
./csptestf -absorb -certs -autoprov >> /home/имя_юзера/token_insert_hook.log 2>&1
echo `date` script finished >> /home/имя_юзера/token_insert_hook.log

После этого в файл /home/имя_юзера/token_insert_hook.log будет писаться отчёт о работе этого скрипта, может что интересное найдётся.

Если аноним прав и дело действительно в том что токен не успел запуститься - придётся в скрипт в начало какое-то sleep подставить чтобы чуть подождать.

Благодарю! Завтра утром попробую.

Здравствуйте! Сделал то, как Вы указали. Всё работает хорошо, только возникает интересная ситуация (возможно далее знающий человек подумает, что я пишу бред, к сожалению, пока что в конфигурировании linux я ещё «зелёный».):

1. Я установил рутокен в usb порт, индикаторы на токене замигали - сертификат перенесён в личное хранилище;
2. Вытащил рутокен из usb - удалён сертификат из личного хранилища;
3. Устанавливаю второй раз уже другой токен - не устанавливается уже.

Решил вытащить токен и подождать. В общем пришёл к выводу, что нужно 60 секунд для того, чтобы обновить сессию udev. То есть только после 60 секунд работают сценарии, которые были прописаны. Возможно ли как-нибудь уменьшить время обновления udev, чтобы можно было добавлять и удалять из хранилища сертификаты без времени ожидания? Может в скрипте дополнительно прописать что-то типо:

su -c "udevadm control --reload" administrator?

В лог-файле то что? Скрипт вообще не запускается или может запускается и ошибки пишет?

Лог-файл:

Ср дек 27 12:07:18 MSK 2023 script called
Match: SCARD\rutoken_lt_404465b1\0A00\A4A8
OK.
Ср дек 27 12:08:19 MSK 2023 script finished
Ср дек 27 12:08:27 MSK 2023 script called
No containers.
Total: SYS: 0,020 sec USR: 0,080 sec UTC: 0,140 sec
[ErrorCode: 0x00000000]
Ср дек 27 12:08:27 MSK 2023 script finished
Ср дек 27 12:09:39 MSK 2023 script called
Match: SCARD\rutoken_lt_404465b1\0A00\A4A8
OK.
Total: SYS: 0,040 sec USR: 0,220 sec UTC: 1,220 sec
[ErrorCode: 0x00000000]

Вот тут в логах выше видно, что если через 8 секунд вставлять токен - показывает No containers., а если через 72 секунды относительно статуса No containers. - уже записывает в хранилище.

А причём тут тогда udev? Наверно если правило udev убрать и вручную команду запускать с такими же интервалами времени - тоже напишет No containers. (проверь)

Единственное:

добавление сертификата из переносного носителя в личное хранилище работает 1 раз только после рестарта udev (service udev restart) и/или повторного перечисления правил (udevadm control --reload-rules).

Вот это выглядит странно, может там просто больше 1 минуты прошло пока ты команды вводил?

А ещё не может второй скрипт (на удаление) как-то по времени пересекаться и что-то портить?

А причём тут тогда udev? Наверно если правило udev убрать и вручную комагду запускать с такими же интервалами времени - тоже напишет No containers. (проверь)

Я почему и написал про udev, потому что если в ручную прописывать то, что автоматизированно - работает сразу, без каких-либо ожиданий

Вот это выглядит странно, можно там просто больше 1 минуты прошло пока ты команды вводил?

Сценарий, что я делал

1. Установил рутокен в usb порт;
2. Проверил с помощью команды /opt/cprocsp/bin/amd64/certmgr -list наличие сертификата - появился (изначально не было);
3. Вытащил рутокен из usb и проверил с помощью той же команды наличие сертификата - выдало, что сертификат не существует => удалился;
4. Устанавливаю снова с интервалом 5-7 секунд в тот же порт и проверяю - выдаёт, что сертификат не существует;
5. Решил засечь время. Через 30 секунд устанавливаю, проверяю - нет сертификата; через 60 секунд устанавливаю проверяю - ура, появился. Провёл пару тестов системы на разных токенах (разные как по наличию сертификатов там, так и по разному типу токена) - то же поведение. Записывает в хранилище почему-то только через 60 секунд.

На основании вот такого поведения и сделал вывод, что udev’у словно нужно 60 секунд для обновления сессии или ещё чего, что я не понимаю

А ещё не может второй скрипт (на удаление) как-то по времени пересекаться и что-то портить?

Сперва там было прописано по той же логике, что и изначально (без Вашего варианта с записью логов в файл) - было также.

Решил удаление токена реализовать точно также, только с другой командой и записью логов в отдельный файл - тоже самое. На всякий случай скидываю содержание файлов /usr/bin/rutoken-removed.sh:

su -c "/home/administrator/token_remove_hook.sh" administrator

и сам token_remove_hook.sh:

#!/bin/sh -e

echo `date` script called >> /home/administrator/token_remove_hook.log
cd /opt/cprocsp/bin/amd64
./certmgr -delete -store uMy  -all >> /home/administrator/token_remove_hook.log 2>&1
echo `date` script finished >> /home/administrator/token_remove_hook.log

Команда удаления сертификатов взята из вики астра линукс, работа с криптопро.

А не может ли это быть связано с самим криптопро? Может, оно само не даёт часто обновлять сертификаты?

Если без правила udev подключить токен, обновить руками сертификат, вытащить токен, удалить руками сертификат. И тут же повторить первую часть операции, сертификат появится в хранилище?

Всё сделал в ручную - всё работает без каких-либо ожиданий. Тоже сперва подумал, что может ограничения у КриптоПРО, но нет :(

А если в начало скрипта добавления дописать sleep 1 или sleep 10 ? А то с udev-ом разница что скрипт запускается мгновенно после вставки, а руками явно не мгновенно.

Попробуй посмотреть с помощью udevadm monitor, что происходит при подключении токена. Возможно, надо в правило добавить допусловия, если оно запускает скрипт слишком рано.

Со слипами вовсе отказывает работать. 2 минуты ждал - не иницилизирует :(

Вот тут я подключал/отключал токен. Информации как-то мало. Может с какими-то доп параметрами запустить монитор?

UDEV  [103395.990051] add      /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
UDEV  [103398.323117] add      /devices/pci0000:00/0000:00:14.0/usb1/1-1/1-1:1.0 (usb)
UDEV  [103398.351720] bind     /devices/pci0000:00/0000:00:14.0/usb1/1-1 (usb)
UDEV  [103399.500155] remove   /devices/pci0000:00/0000:00:14.0/usb1/1-1/1-1:1.0 (usb)
UDEV  [103399.506333] unbind   /devices/pci0000:00/0000:00:14.0/usb1/1-1 (usb)
UDEV  [103400.649477] remove   /devices/pci0000:00/0000:00:14.0/usb1/1-1 (usb)
UDEV  [103406.293554] add      /devices/pci0000:00/0000:00:14.0/usb1/1-2/1-2:1.0 (usb)
UDEV  [103406.317337] bind     /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
UDEV  [103407.467208] remove   /devices/pci0000:00/0000:00:14.0/usb1/1-2/1-2:1.0 (usb)
UDEV  [103407.471947] unbind   /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
UDEV  [103408.600752] remove   /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
KERNEL[103432.820654] add      /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
KERNEL[103432.829780] add      /devices/pci0000:00/0000:00:14.0/usb1/1-2/1-2:1.0 (usb)
KERNEL[103432.829982] bind     /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
KERNEL[103437.260568] remove   /devices/pci0000:00/0000:00:14.0/usb1/1-2/1-2:1.0 (usb)
KERNEL[103437.266026] unbind   /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
KERNEL[103437.266668] remove   /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
UDEV  [103443.102321] add      /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
UDEV  [103453.409230] add      /devices/pci0000:00/0000:00:14.0/usb1/1-2/1-2:1.0 (usb)
UDEV  [103453.416271] bind     /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
UDEV  [103454.554012] remove   /devices/pci0000:00/0000:00:14.0/usb1/1-2/1-2:1.0 (usb)
UDEV  [103454.558121] unbind   /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
UDEV  [103455.719109] remove   /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
KERNEL[103531.662474] add      /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
KERNEL[103531.665249] add      /devices/pci0000:00/0000:00:14.0/usb1/1-2/1-2:1.0 (usb)
KERNEL[103531.665396] bind     /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
UDEV  [103543.142010] add      /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
UDEV  [103554.154214] add      /devices/pci0000:00/0000:00:14.0/usb1/1-2/1-2:1.0 (usb)
UDEV  [103554.220624] bind     /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)

Что значит отказывается? В логе что? И скрипт как выглядит со sleep-ом?

Попробуй запустить что-то вроде udevadm monitor --property --udev

https://voa45.ru/priciny-ignorirovaniya-komandy-sleep-pri-vyzove-skripta-iz-udev-pravila/

Как вариант, можно написать службу systemd, которая будет запускаться при вставке токена, куда воткнуть sleep, но, как по мне, это будет выглядеть костыльно. Хотя, там можно прописать запуск от требуемого пользователя. Но я не знаю, будет ли она останавливаться, при вытаскивании токена.

Советую в теги темы добавить udev. С текущими тегами разбирающиеся люди могут игнорировать тему. Может, даже целенаправленно.

Что это за спамерский сайт с бредом?

Отказывается в плане не записывает вообще в личное хранилище сертификат. Добавил sleep 1 сюда:

#!/bin/sh -e
sleep 1
echo `date` script called >> /home/administrator/token_insert_hook.log
cd /opt/cprocsp/bin/amd64
./certmgr -delete -store uMy  -all >> /home/administrator/token_insert_hook.log 2>&1
echo `date` script finished >> /home/administrator/token_insert_hook.log

со sleep 10 аналогично в логах всё также: No containers.

Без понятия. Что поисковик выдал первым по теме, то и принёс.

Во многих местах пишут, что sleep не будет работать в скрипте, который вызывается udev-правилом. Если надо вставить слип, то делают что-то типа такого:

KERNEL=="sdc", ACTION=="add", ATTRS{product}=="Cybook", RUN+="/usr/bin/at -M -f /home/nap/Scripts/Wallabag.sh now"

Про systemd думал, попробую написать конечно. Вообще необходимо в учетной записи guest развернуть это всё. Суть такая - Многопоток клиентов, каждый со своими ЭЦП. Устанавливают токен в usb -> запись в хранилище -> вход на те же гос услуги или сбербанк аст. Если костыль будет работать - почему бы не попробовать :) Главное, чтобы нужные скрипты отрабатывал

./certmgr -delete -store uMy -all

Так это другая команда.

sleep может быть (не проверял) не работает в RUN, если указать не полный путь до бинарника, но в шелл-скрипте он работать обязан. А по твоей ссылке вообще бред, то ли «копирайтерами» сочинённый то ли чатгпт. Надо ж было посмотреть хоть её перед тем как присылать сюда.

Да, это команда удаления сертификатов из личного хранилища, когда вытаскиваю токен из usb порта.

Я просто редактировал файл, который был отправил в топике и поменял место отправки логов. Просто взял из другого скрипта, поменял пути для Вашего понимания, а команду поменять забыл. Вот и получилось, что команда удаления сертификатов, а логи выгружаются в файл инсёрта. В общем там ошибок нет в самих скриптах, что на компьютере, просто отвечая Вам ошибся.

по средству

Тебе токен не по средствам.

Во приоре.

#!/bin/sh -e

echo `date` script called >> /home/имя_юзера/token_insert_hook.log
sleep 1
echo `date` sleep done >> /home/имя_юзера/token_insert_hook.log
cd /opt/cprocsp/bin/amd64
./csptestf -absorb -certs -autoprov >> /home/имя_юзера/token_insert_hook.log 2>&1
echo `date` script finished >> /home/имя_юзера/token_insert_hook.log

вот такой скрипт?

Может у csptestf есть какой-то отладочный флаг чтоб он больше логов писал?

Programs started by udev will block further events from that device, and any tasks spawned from a udev rule will be killed after event handling is completed. If you need to spawn a long-running process with udev, you can use at (e.g. your_command | at now, or batch), or create a systemd unit which can be triggered directly from a udev rule

https://wiki.archlinux.org/title/Udev

И при чём тут sleep?

Хотя с учётом того что хук на вставку токена кажется хочет работать долго - вынос его обработки куда-то наружу и правда имеет смысл. Но не из-за sleep-а.

Я не очень в английском, но мне кажется что вот эта часть говорит, что все задачи, запущенные через правило udev будут грохнуты, когда udev обработает событие: «and any tasks spawned from a udev rule will be killed after event handling is completed». И, если скрипт ждёт завершения sleep, а udev закончил обрабатывать событие, скрипту привет.

Обрабатывание события udev-ом как раз и заключается в запуске скриптов. То есть обработка закончится когда скрипт доделается. А убъёт он фоновые процессы, если скрипт их после себя оставит. Поэтому фоновые процессы надо запускать так, чтобы udev не смог их отследить по цепочке форков - через ipc сообщать ещё кому-то (at или systemd) чтоб их запустили как будто независимо.