feat(admin): копирование контейнеров КриптоПро с флешки в HDIMAGE + уточнение PKI по докам НРД
Сканирование смонтированных USB-носителей (/run/media/$USER, /media, /mnt) на папки вида name.000 с *.key — это «контейнер КриптоПро на флешке». В шаге 3 wizard'а и в /admin/setup появилась таблица найденных контейнеров с кнопкой «Скопировать в локальное хранилище» (копирует папку в /var/opt/cprocsp/keys/$USER/, после чего контейнер виден как \\.\HDIMAGE\name и работает без вставленной флешки). Дедуп по AlreadyImported — если папка уже есть в HDIMAGE, кнопка не показывается. Сертификат из контейнера импортируется отдельно через certmgr -inst -cont (это пока вне UI, подсказка в текст flash-сообщения). Кроме того — переписан help-блок в шаге 3 wizard'a на основании «Инструккия M2M.pdf» (стр. 11, 16-19): явно расписано, что в режиме ИШ подписывает сам ИШ (наш ключ в ИШ), а в режиме прямого ONYX — bj-server. Таблица «что куда грузить»: УЦ МБ в mroot, УЦ НРД в mroot+uRoot, наш сертификат в uMy только если без ИШ. Сертификаты с Рутокена явно отмечены как «не грузить — сами появятся».
This commit is contained in:
fontvielle
@@ -0,0 +1,190 @@
|
||||
package lkgateway
|
||||
|
||||
import (
|
||||
"context"
|
||||
"fmt"
|
||||
"io"
|
||||
"net/http"
|
||||
"os"
|
||||
"os/user"
|
||||
"path/filepath"
|
||||
"strings"
|
||||
"time"
|
||||
)
|
||||
|
||||
// FlashContainer — найденный на смонтированной флешке контейнер КриптоПро.
|
||||
// КриптоПро CSP под Linux ожидает контейнер в виде папки <name>.000 с
|
||||
// файлами header.key/masks.key/name.key/primary.key/primary2.key.
|
||||
type FlashContainer struct {
|
||||
// Mountpoint — путь смонтированной флешки, например /run/media/user/USB.
|
||||
Mountpoint string
|
||||
// Path — полный путь до папки <name>.000.
|
||||
Path string
|
||||
// Name — имя контейнера (без суффикса .000).
|
||||
Name string
|
||||
// Files — список файлов в контейнере (для дисплея).
|
||||
Files []string
|
||||
// AlreadyImported — true, если папка <name>.000 уже есть в локальном
|
||||
// хранилище /var/opt/cprocsp/keys/<user>/.
|
||||
AlreadyImported bool
|
||||
}
|
||||
|
||||
// scanFlashContainers ищет контейнеры формата <name>.000 на типичных
|
||||
// точках монтирования USB-носителей в Linux: /run/media/<user>/* и
|
||||
// /media/<user>/* и /media/*. Возвращает список найденных контейнеров.
|
||||
func scanFlashContainers() []FlashContainer {
|
||||
u, err := user.Current()
|
||||
if err != nil {
|
||||
return nil
|
||||
}
|
||||
roots := []string{
|
||||
filepath.Join("/run/media", u.Username),
|
||||
filepath.Join("/media", u.Username),
|
||||
"/media",
|
||||
"/mnt",
|
||||
}
|
||||
localKeysDir := filepath.Join("/var/opt/cprocsp/keys", u.Username)
|
||||
|
||||
var out []FlashContainer
|
||||
for _, root := range roots {
|
||||
entries, err := os.ReadDir(root)
|
||||
if err != nil {
|
||||
continue
|
||||
}
|
||||
for _, e := range entries {
|
||||
if !e.IsDir() {
|
||||
continue
|
||||
}
|
||||
mountpoint := filepath.Join(root, e.Name())
|
||||
out = append(out, findContainersAt(mountpoint, localKeysDir)...)
|
||||
}
|
||||
}
|
||||
return out
|
||||
}
|
||||
|
||||
func findContainersAt(mountpoint, localKeysDir string) []FlashContainer {
|
||||
var out []FlashContainer
|
||||
// Ищем папки <name>.000 на верхнем уровне и на 1 уровне вглубь.
|
||||
_ = filepath.Walk(mountpoint, func(p string, info os.FileInfo, err error) error {
|
||||
if err != nil {
|
||||
return nil
|
||||
}
|
||||
// Глубже 2 уровней не лезем (на флешке могут быть личные папки).
|
||||
rel, _ := filepath.Rel(mountpoint, p)
|
||||
if strings.Count(rel, string(filepath.Separator)) > 2 {
|
||||
return filepath.SkipDir
|
||||
}
|
||||
if !info.IsDir() || !strings.HasSuffix(strings.ToLower(p), ".000") {
|
||||
return nil
|
||||
}
|
||||
// Проверяем, что внутри лежат файлы вида *.key.
|
||||
entries, _ := os.ReadDir(p)
|
||||
var files []string
|
||||
hasKey := false
|
||||
for _, ent := range entries {
|
||||
files = append(files, ent.Name())
|
||||
if strings.HasSuffix(strings.ToLower(ent.Name()), ".key") {
|
||||
hasKey = true
|
||||
}
|
||||
}
|
||||
if !hasKey {
|
||||
return nil
|
||||
}
|
||||
name := strings.TrimSuffix(filepath.Base(p), ".000")
|
||||
fc := FlashContainer{
|
||||
Mountpoint: mountpoint,
|
||||
Path: p,
|
||||
Name: name,
|
||||
Files: files,
|
||||
}
|
||||
// Проверка: уже скопирован в локальное хранилище?
|
||||
if _, err := os.Stat(filepath.Join(localKeysDir, name+".000")); err == nil {
|
||||
fc.AlreadyImported = true
|
||||
}
|
||||
out = append(out, fc)
|
||||
return filepath.SkipDir
|
||||
})
|
||||
return out
|
||||
}
|
||||
|
||||
// copyContainerToLocal копирует папку <name>.000 с флешки в локальное
|
||||
// хранилище КриптоПро /var/opt/cprocsp/keys/<user>/<name>.000. После
|
||||
// этого контейнер виден как \\.\HDIMAGE\<name> и работает даже без
|
||||
// вставленной флешки.
|
||||
func copyContainerToLocal(srcDir string) (string, error) {
|
||||
u, err := user.Current()
|
||||
if err != nil {
|
||||
return "", err
|
||||
}
|
||||
localKeysDir := filepath.Join("/var/opt/cprocsp/keys", u.Username)
|
||||
if err := os.MkdirAll(localKeysDir, 0o700); err != nil {
|
||||
return "", fmt.Errorf("создать %s: %w", localKeysDir, err)
|
||||
}
|
||||
base := filepath.Base(srcDir)
|
||||
dstDir := filepath.Join(localKeysDir, base)
|
||||
if _, err := os.Stat(dstDir); err == nil {
|
||||
return "", fmt.Errorf("контейнер %s уже существует в локальном хранилище", dstDir)
|
||||
}
|
||||
if err := os.MkdirAll(dstDir, 0o700); err != nil {
|
||||
return "", fmt.Errorf("создать %s: %w", dstDir, err)
|
||||
}
|
||||
entries, err := os.ReadDir(srcDir)
|
||||
if err != nil {
|
||||
return "", err
|
||||
}
|
||||
for _, e := range entries {
|
||||
if e.IsDir() {
|
||||
continue
|
||||
}
|
||||
src, err := os.Open(filepath.Join(srcDir, e.Name()))
|
||||
if err != nil {
|
||||
return "", err
|
||||
}
|
||||
dst, err := os.OpenFile(filepath.Join(dstDir, e.Name()),
|
||||
os.O_WRONLY|os.O_CREATE|os.O_TRUNC, 0o600)
|
||||
if err != nil {
|
||||
src.Close()
|
||||
return "", err
|
||||
}
|
||||
if _, err := io.Copy(dst, src); err != nil {
|
||||
src.Close()
|
||||
dst.Close()
|
||||
return "", err
|
||||
}
|
||||
src.Close()
|
||||
dst.Close()
|
||||
}
|
||||
return dstDir, nil
|
||||
}
|
||||
|
||||
// copyContainer — POST /admin/setup/crypto/copy-container.
|
||||
// Параметр src — путь до папки <name>.000 на флешке.
|
||||
func (h *setupHandlers) copyContainer(w http.ResponseWriter, r *http.Request) {
|
||||
if r.Method != http.MethodPost {
|
||||
http.Error(w, "method", http.StatusMethodNotAllowed)
|
||||
return
|
||||
}
|
||||
src := strings.TrimSpace(r.FormValue("src"))
|
||||
if src == "" {
|
||||
setupFlash(w, r, "Копирование контейнера: не указан путь")
|
||||
return
|
||||
}
|
||||
// Минимальная защита: ожидаем .000 в конце пути.
|
||||
if !strings.HasSuffix(strings.ToLower(src), ".000") {
|
||||
setupFlash(w, r, "Копирование контейнера: путь должен заканчиваться на .000")
|
||||
return
|
||||
}
|
||||
if _, err := os.Stat(src); err != nil {
|
||||
setupFlash(w, r, "Копирование контейнера: исходная папка недоступна: "+err.Error())
|
||||
return
|
||||
}
|
||||
dst, err := copyContainerToLocal(src)
|
||||
if err != nil {
|
||||
setupFlash(w, r, "Копирование контейнера: "+err.Error())
|
||||
return
|
||||
}
|
||||
// Дадим CSP несколько мс «заметить» новый контейнер (не критично).
|
||||
_, cancel := context.WithTimeout(r.Context(), 100*time.Millisecond)
|
||||
cancel()
|
||||
setupFlash(w, r, "Контейнер скопирован в "+dst+". Теперь он виден как \\\\.\\HDIMAGE\\"+strings.TrimSuffix(filepath.Base(dst), ".000")+" и работает без вставленной флешки. Импортируйте сертификат: certmgr -inst -cont '\\\\.\\HDIMAGE\\"+strings.TrimSuffix(filepath.Base(dst), ".000")+"' -store uMy.")
|
||||
}
|
||||
Reference in New Issue
Block a user