* Re: [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1
@ 2009-10-14 12:02 ` Denis Smirnov
2009-10-14 12:45 ` Dmitry V. Levin
2009-10-14 14:02 ` Alexey I. Froloff
0 siblings, 2 replies; 9+ messages in thread
From: Denis Smirnov @ 2009-10-14 12:02 UTC (permalink / raw)
To: ALT Devel discussion list
А теперь ошибка куда интереснее и необычнее :)
On Wed, Oct 14, 2009 at 3:59 PM, Girar Builder robot
<girar-builder@altlinux.org> wrote:
> http://git.altlinux.org/tasks/14254/task/log.7
>
> 2009-Oct-14 15:50:03 :: task #14254 for sisyphus resumed:
> #1 build 1.3.41rusPL30.23-alt8 from /people/mithraen/packages/apache.git
> #2 removed
> #3 removed
> #4 removed
> #5 removed
> #6 removed
> #7 build 2.8.31-alt2.1 from /people/mithraen/packages/mod_ssl.git
> 2009-Oct-14 15:50:28 :: created build repo
> 2009-Oct-14 15:50:32 :: [i586] apache.git 1.3.41rusPL30.23-alt8: build start
> 2009-Oct-14 15:50:32 :: [x86_64] apache.git 1.3.41rusPL30.23-alt8: build start
> 2009-Oct-14 15:51:27 :: [x86_64] apache.git 1.3.41rusPL30.23-alt8: remote: no need to rebuild
> 2009-Oct-14 15:51:28 :: [i586] apache.git 1.3.41rusPL30.23-alt8: remote: no need to rebuild
> 2009-Oct-14 15:51:28 :: [x86_64] apache.git 1.3.41rusPL30.23-alt8: build OK
> 2009-Oct-14 15:51:28 :: [x86_64] mod_ssl.git 2.8.31-alt2.1: build start
> 2009-Oct-14 15:51:29 :: [i586] apache.git 1.3.41rusPL30.23-alt8: build OK
> 2009-Oct-14 15:51:29 :: [i586] mod_ssl.git 2.8.31-alt2.1: build start
> 2009-Oct-14 15:52:25 :: [x86_64] mod_ssl.git 2.8.31-alt2.1: build OK
> 2009-Oct-14 15:52:25 :: [i586] mod_ssl.git 2.8.31-alt2.1: build OK
> 2009-Oct-14 15:52:45 :: build check OK
> 2009-Oct-14 15:52:47 :: plan OK
> 2009-Oct-14 15:52:47 :: version check OK
> 2009-Oct-14 15:53:03 :: created test repo
> 2009-Oct-14 15:53:09 :: dependencies check OK
> 2009-Oct-14 15:54:29 :: ELF symbols check OK
> x86_64: mod_ssl=2.8.31-alt2.1 post-install filelist check failed:
> realpath: /var/lib/ssl/certs/66035007.0: No such file or directory
> realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> i586: mod_ssl=2.8.31-alt2.1 post-install filelist check failed:
> realpath: /var/lib/ssl/certs/a8b46979.0: No such file or directory
> realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> x86_64: mod_ssl-sxnet=2.8.31-alt2.1 post-install filelist check failed:
> realpath: /var/lib/ssl/certs/66035007.0: No such file or directory
> realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> i586: mod_ssl-sxnet=2.8.31-alt2.1 post-install filelist check failed:
> realpath: /var/lib/ssl/certs/a8b46979.0: No such file or directory
> realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> 2009-Oct-14 15:59:05 :: [x86_64] install check FAILED
> 2009-Oct-14 15:59:11 :: [i586] install check FAILED
> 2009-Oct-14 15:59:11 :: task #14254 for sisyphus FAILED
>
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1
2009-10-14 12:02 ` [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1 Denis Smirnov
@ 2009-10-14 12:45 ` Dmitry V. Levin
2009-10-14 14:40 ` Денис Смирнов
2009-10-14 14:02 ` Alexey I. Froloff
1 sibling, 1 reply; 9+ messages in thread
From: Dmitry V. Levin @ 2009-10-14 12:45 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1899 bytes --]
On Wed, Oct 14, 2009 at 04:02:54PM +0400, Denis Smirnov wrote:
> On Wed, Oct 14, 2009 at 3:59 PM, Girar Builder robot wrote:
> > http://git.altlinux.org/tasks/14254/task/log.7
[...]
> > 2009-Oct-14 15:51:28 :: [x86_64] mod_ssl.git 2.8.31-alt2.1: build start
> > 2009-Oct-14 15:51:29 :: [i586] mod_ssl.git 2.8.31-alt2.1: build start
> > 2009-Oct-14 15:52:25 :: [x86_64] mod_ssl.git 2.8.31-alt2.1: build OK
> > 2009-Oct-14 15:52:25 :: [i586] mod_ssl.git 2.8.31-alt2.1: build OK
> > 2009-Oct-14 15:52:45 :: build check OK
> > 2009-Oct-14 15:52:47 :: plan OK
> > 2009-Oct-14 15:52:47 :: version check OK
> > 2009-Oct-14 15:53:03 :: created test repo
> > 2009-Oct-14 15:53:09 :: dependencies check OK
> > 2009-Oct-14 15:54:29 :: ELF symbols check OK
> > x86_64: mod_ssl=2.8.31-alt2.1 post-install filelist check failed:
> > realpath: /var/lib/ssl/certs/66035007.0: No such file or directory
> > realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> > i586: mod_ssl=2.8.31-alt2.1 post-install filelist check failed:
> > realpath: /var/lib/ssl/certs/a8b46979.0: No such file or directory
> > realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> > x86_64: mod_ssl-sxnet=2.8.31-alt2.1 post-install filelist check failed:
> > realpath: /var/lib/ssl/certs/66035007.0: No such file or directory
> > realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> > i586: mod_ssl-sxnet=2.8.31-alt2.1 post-install filelist check failed:
> > realpath: /var/lib/ssl/certs/a8b46979.0: No such file or directory
> > realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> > 2009-Oct-14 15:59:05 :: [x86_64] install check FAILED
Just built mod_ssl and mod_ssl-sxnet binary packages failed to pass
install test, because mod_ssl %post script generate a self-signed
certificate -- AWAIR the thing you are trying to avoid.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1
2009-10-14 12:02 ` [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1 Denis Smirnov
2009-10-14 12:45 ` Dmitry V. Levin
@ 2009-10-14 14:02 ` Alexey I. Froloff
2009-10-14 14:42 ` Денис Смирнов
1 sibling, 1 reply; 9+ messages in thread
From: Alexey I. Froloff @ 2009-10-14 14:02 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 613 bytes --]
On Wed, Oct 14, 2009 at 04:02:54PM +0400, Denis Smirnov wrote:
> А теперь ошибка куда интереснее и необычнее :)
224 ssl_generate "server"
...
228 mv -f "$SSL_CERTDIR"/server.cert %apache_confdir/ssl/server.crt ||:
229 mv -f "$SSL_CERTDIR"/server.csr %apache_confdir/ssl/ ||:
230 mv -f "$SSL_KEYDIR"/server.key %apache_confdir/ssl/ ||:
231 chmod 0600 %apache_confdir/ssl/server.{crt,csr,key} ||:
Кроме .cert, .csr и .key пакет cert-sh-functions создаёт ещё много интересных
файлов. В общем не надо так делать никогда-никогда.
--
Regards,
Sir Raorn.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1
2009-10-14 12:45 ` Dmitry V. Levin
@ 2009-10-14 14:40 ` Денис Смирнов
2009-10-14 19:40 ` Michael Shigorin
2009-10-14 20:27 ` Dmitry V. Levin
0 siblings, 2 replies; 9+ messages in thread
From: Денис Смирнов @ 2009-10-14 14:40 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 2164 bytes --]
On Wed, Oct 14, 2009 at 04:45:29PM +0400, Dmitry V. Levin wrote:
> > > x86_64: mod_ssl=2.8.31-alt2.1 post-install filelist check failed:
> > > realpath: /var/lib/ssl/certs/66035007.0: No such file or directory
> > > realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> > > i586: mod_ssl=2.8.31-alt2.1 post-install filelist check failed:
> > > realpath: /var/lib/ssl/certs/a8b46979.0: No such file or directory
> > > realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> > > x86_64: mod_ssl-sxnet=2.8.31-alt2.1 post-install filelist check failed:
> > > realpath: /var/lib/ssl/certs/66035007.0: No such file or directory
> > > realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> > > i586: mod_ssl-sxnet=2.8.31-alt2.1 post-install filelist check failed:
> > > realpath: /var/lib/ssl/certs/a8b46979.0: No such file or directory
> > > realpath: /var/lib/ssl/certs/server.pem: No such file or directory
> > > 2009-Oct-14 15:59:05 :: [x86_64] install check FAILED
DVL> Just built mod_ssl and mod_ssl-sxnet binary packages failed to pass
DVL> install test, because mod_ssl %post script generate a self-signed
DVL> certificate -- AWAIR the thing you are trying to avoid.
Дело оказалось в следующем.
Если установлен mod_ssl, то он меняет конфиг апача.
Если после этого сертификатов нет -- апач склеивает ласты, т.е. не
проходит даже проверку конфигов.
По крайней мере mod_php5, как оказалось, при установке выполняет нечто,
что просит апача проверить конфиги.
Результат: apt-get install mod_ssl mod_php5 обламывается.
Варианта есть два:
- найти везде где проверяется конфиг апача до собственно запуска апача, и
оторвать это нафиг;
- таки создавать эти ключики и в %post тоже, но в профилях mkve с помощью
hook'а их удалять;
Первый вариант мне показался чрезмерно трудоемким. Второй -- хоть и крайне
некрасивый с моей точки зрения, но будет работать и не будет иметь
security граблей.
Вопрос -- как теперь заставить mod_ssl проходить тесты?
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1
2009-10-14 14:02 ` Alexey I. Froloff
@ 2009-10-14 14:42 ` Денис Смирнов
0 siblings, 0 replies; 9+ messages in thread
From: Денис Смирнов @ 2009-10-14 14:42 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 736 bytes --]
On Wed, Oct 14, 2009 at 06:02:37PM +0400, Alexey I. Froloff wrote:
AIF> 228 mv -f "$SSL_CERTDIR"/server.cert %apache_confdir/ssl/server.crt ||:
AIF> 229 mv -f "$SSL_CERTDIR"/server.csr %apache_confdir/ssl/ ||:
AIF> 230 mv -f "$SSL_KEYDIR"/server.key %apache_confdir/ssl/ ||:
AIF> 231 chmod 0600 %apache_confdir/ssl/server.{crt,csr,key} ||:
AIF> Кроме .cert, .csr и .key пакет cert-sh-functions создаёт ещё много интересных
AIF> файлов. В общем не надо так делать никогда-никогда.
Увы, изначальный код написан не мной.
Чувствую я что придется патчить много больше чем хотел изначально...
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1
2009-10-14 14:40 ` Денис Смирнов
@ 2009-10-14 19:40 ` Michael Shigorin
2009-10-15 12:00 ` Денис Смирнов
2009-10-14 20:27 ` Dmitry V. Levin
1 sibling, 1 reply; 9+ messages in thread
From: Michael Shigorin @ 2009-10-14 19:40 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Wed, Oct 14, 2009 at 06:40:34PM +0400, Денис Смирнов wrote:
> Варианта есть два:
> - найти везде где проверяется конфиг апача до собственно
> запуска апача, и оторвать это нафиг;
Если до (пере)запуска, то лучше бы не отрывать.
Помнишь, как прикручивали nginx -t?
> - таки создавать эти ключики и в %post тоже, но в профилях mkve
> с помощью hook'а их удалять;
>
> Первый вариант мне показался чрезмерно трудоемким. Второй --
> хоть и крайне некрасивый с моей точки зрения, но будет работать
> и не будет иметь security граблей.
Возможно, такие хуки стоит забросить в какой /usr/share
и дёргать оттуда. Возможно, даже придумав более общий
механизм.
> Вопрос -- как теперь заставить mod_ssl проходить тесты?
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1
2009-10-14 14:40 ` Денис Смирнов
2009-10-14 19:40 ` Michael Shigorin
@ 2009-10-14 20:27 ` Dmitry V. Levin
2009-10-15 12:02 ` Денис Смирнов
1 sibling, 1 reply; 9+ messages in thread
From: Dmitry V. Levin @ 2009-10-14 20:27 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 1158 bytes --]
On Wed, Oct 14, 2009 at 06:40:34PM +0400, Денис Смирнов wrote:
[...]
> Если установлен mod_ssl, то он меняет конфиг апача.
> Если после этого сертификатов нет -- апач склеивает ласты, т.е. не
> проходит даже проверку конфигов.
>
> По крайней мере mod_php5, как оказалось, при установке выполняет нечто,
> что просит апача проверить конфиги.
>
> Результат: apt-get install mod_ssl mod_php5 обламывается.
>
> Варианта есть два:
> - найти везде где проверяется конфиг апача до собственно запуска апача, и
> оторвать это нафиг;
> - таки создавать эти ключики и в %post тоже, но в профилях mkve с помощью
> hook'а их удалять;
To ensure that necessary certificates are created before these config
checks, I'd suggest to extend the code that checks apache configs.
For example, just call an external program that generates certificates.
BTW, your change to httpd.init.2_3 does exactly that: you added
appropriate calls to conftest() and start(). But you said that
mod_php5 still does not work. Why does it happen? Looks like
mod_php5 uses own method to check apache configuration and
bypasses the code you added.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1
2009-10-14 19:40 ` Michael Shigorin
@ 2009-10-15 12:00 ` Денис Смирнов
0 siblings, 0 replies; 9+ messages in thread
From: Денис Смирнов @ 2009-10-15 12:00 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 1374 bytes --]
On Wed, Oct 14, 2009 at 10:40:30PM +0300, Michael Shigorin wrote:
MS> Если до (пере)запуска, то лучше бы не отрывать.
MS> Помнишь, как прикручивали nginx -t?
Все, я разобрался. mod_php5 просто вызывает косвенно conftest. Цепочку по
которой это происходит я не нашел.
Соответственно тот код что я добавил в apache чтобы ssl-ключики
создавались перед condrestart -- работает. С чистой совестью выкинул
создание ssl-ключиков из apache.
Увы, это не избавляет от необходимости в hook'е. По-хорошему надо бы
понять откуда вызывается conftest при установке mod_php5, ибо вызываться
должен только condrestart (который при отсутствии lock-файла не должен
ничего делать (судя по коду).
Разбираться до конца с этим мне уже лень, hook меня дальш спасет :)
Теперь следующая грабля -- все-таки mv -f из /var/lib/ssl это
совсем-совсем неправильно. Но как это пофиксить не сломав обновление -- я
ллохо себе представляю.
MS> Возможно, такие хуки стоит забросить в какой /usr/share
MS> и дёргать оттуда. Возможно, даже придумав более общий
MS> механизм.
Я уже думал о том, что некоторые хуки надо бы вызывать все равно для всех
VE, и почему бы их не объединить в один скрипт. Но сил на такие подвиги у
меня сейчас нет :)
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1
2009-10-14 20:27 ` Dmitry V. Levin
@ 2009-10-15 12:02 ` Денис Смирнов
0 siblings, 0 replies; 9+ messages in thread
From: Денис Смирнов @ 2009-10-15 12:02 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 940 bytes --]
On Thu, Oct 15, 2009 at 12:27:15AM +0400, Dmitry V. Levin wrote:
DVL> To ensure that necessary certificates are created before these config
DVL> checks, I'd suggest to extend the code that checks apache configs.
DVL> For example, just call an external program that generates certificates.
DVL> BTW, your change to httpd.init.2_3 does exactly that: you added
DVL> appropriate calls to conftest() and start(). But you said that
DVL> mod_php5 still does not work. Why does it happen? Looks like
DVL> mod_php5 uses own method to check apache configuration and
DVL> bypasses the code you added.
Все проще, оказалось что я не проверил mod_php5 со сборкой apache где было
это последнее исправление. Сегодняшнее тестирование на трезвую и
выспавшуюся голову показало что теперь все должно работать.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2009-10-15 12:02 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-10-14 12:02 ` [devel] [#14254] FAILED (try 7) apache.git=1.3.41rusPL30.23-alt8 mod_ssl.git=2.8.31-alt2.1 Denis Smirnov
2009-10-14 12:45 ` Dmitry V. Levin
2009-10-14 14:40 ` Денис Смирнов
2009-10-14 19:40 ` Michael Shigorin
2009-10-15 12:00 ` Денис Смирнов
2009-10-14 20:27 ` Dmitry V. Levin
2009-10-15 12:02 ` Денис Смирнов
2009-10-14 14:02 ` Alexey I. Froloff
2009-10-14 14:42 ` Денис Смирнов
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git