[sisyphus] p7 hasher

[sisyphus] p7 hasher

[Starodumoff Ilya]

Пытаюсь собрать образ на tmpfs (без tmpfs аналогично)
На t6 нормально собирается
Настройки hasher-priv аналогичные

ln: failed to create hard link 
'/home/u/hasher/m/mz/.work/chroot/.image/.fakedata' => 
'/home/u/hasher/m/mz/.work/chroot/.fakedata': Operation not permitted

в dmesg
type=1702 audit(1368498201.405:2): op=linkat action=denied pid=23814 
comm="ln" path="/home/u/hasher/m/installer/.work/chroot/.fakedata" 
dev="tmpfs" ino=701040

nosuid нигде нет

В какую сторону покопать ?

Re: [sisyphus] p7 hasher

[Starodumoff Ilya]

14.05.2013 09:15, Starodumoff Ilya пишет:
> Пытаюсь собрать образ на tmpfs (без tmpfs аналогично)
> На t6 нормально собирается
> Настройки hasher-priv аналогичные
>
> ln: failed to create hard link 
> '/home/u/hasher/m/mz/.work/chroot/.image/.fakedata' => 
> '/home/u/hasher/m/mz/.work/chroot/.fakedata': Operation not permitted
>
> в dmesg
> type=1702 audit(1368498201.405:2): op=linkat action=denied pid=23814 
> comm="ln" path="/home/u/hasher/m/installer/.work/chroot/.fakedata" 
> dev="tmpfs" ino=701040
>
> nosuid нигде нет
>
> В какую сторону покопать ?
>
помогло

fs.protected_hardlinks = 0
fs.protected_symlinks = 0

Re: [sisyphus] p7 hasher

[Mike Lykov]

> помогло
>
> fs.protected_hardlinks = 0
> fs.protected_symlinks = 0

видимо, это связано с 
http://www.spinics.net/lists/linux-doc/msg03954.html

fs: hardlink creation restrictions

и версией ядра. у вас какое? (не systemd опять виноват, на который стараются все повесить ;)

mkimage, выходит, полагался на небезопасную технику линкования. устанавливать  fs.protected_hardlinks = 0  в таком случае не выход (а временный обход).

-- 
Mike

Re: [sisyphus] p7 hasher

[Starodumoff Ilya]

14.05.2013 10:12, Mike Lykov пишет:
>> помогло
>>
>> fs.protected_hardlinks = 0
>> fs.protected_symlinks = 0
> видимо, это связано с
> http://www.spinics.net/lists/linux-doc/msg03954.html
угу 
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=800179c9b8a1e796e441674776d11cd4c05d61d7 

>
> fs: hardlink creation restrictions
>
> и версией ядра. у вас какое? (не systemd опять виноват, на который стараются все повесить ;)
3.8.13-std-def-alt1
> mkimage, выходит, полагался на небезопасную технику линкования. устанавливать  fs.protected_hardlinks = 0  в таком случае не выход (а временный обход).
>

Re: [sisyphus] p7 hasher

[Дмитрий Ханжин]

14.05.2013 08:12, Mike Lykov пишет:
>> помогло
>>
>> fs.protected_hardlinks = 0
>> fs.protected_symlinks = 0
>
> видимо, это связано с
> http://www.spinics.net/lists/linux-doc/msg03954.html
>
> fs: hardlink creation restrictions
>
> и версией ядра. у вас какое? (не systemd опять виноват, на который стараются все повесить ;)
>
> mkimage, выходит, полагался на небезопасную технику линкования. устанавливать  fs.protected_hardlinks = 0  в таком случае не выход (а временный обход).
>

Интересно.
Тогда получается, что systemd сработал правильно, установив
fs.protected_hardlinks и fs.protected_symlinks равными 1,
а при загрузке с SysVinit они установлены в 0.
А?

WBR.

Re: [sisyphus] /lib/sysctl.d/50-default.conf vs /etc/sysctl.conf

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 406 bytes --]

On Tue, May 14, 2013 at 08:43:13PM +0400, Дмитрий Ханжин wrote:
[...]
> Интересно.
> Тогда получается, что systemd сработал 
> правильно, установив
> fs.protected_hardlinks и fs.protected_symlinks равными 1,
> а при загрузке с SysVinit они установлены в 0.
> А?

Надо, видимо, объединить systemd'шный /lib/sysctl.d/50-default.conf со
startup'овским /etc/sysctl.conf в нечто общее.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] p7 hasher

[Дмитрий Ханжин]

14.05.2013 07:15, Starodumoff Ilya пишет:
> Пытаюсь собрать образ на tmpfs (без tmpfs аналогично)
> На t6 нормально собирается
> Настройки hasher-priv аналогичные
>
> ln: failed to create hard link
> '/home/u/hasher/m/mz/.work/chroot/.image/.fakedata' =>
> '/home/u/hasher/m/mz/.work/chroot/.fakedata': Operation not permitted
>
> в dmesg
> type=1702 audit(1368498201.405:2): op=linkat action=denied pid=23814
> comm="ln" path="/home/u/hasher/m/installer/.work/chroot/.fakedata"
> dev="tmpfs" ino=701040
>
> nosuid нигде нет
>
> В какую сторону покопать ?

Если у Вас systemd- то это оно.
Я тоже это поймал, но не успел написать.
Перевод системы не SysVinit поможет, как и, видимо откат systemd до 198.
Некогда повесить внятную багу.

WBR.

Re: [sisyphus] mkimage and fs.protected_hardlinks

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 988 bytes --]

On Tue, May 14, 2013 at 07:55:31AM +0400, Дмитрий Ханжин wrote:
> 14.05.2013 07:15, Starodumoff Ilya пишет:
> >Пытаюсь собрать образ на tmpfs (без tmpfs 
> >аналогично)
> >На t6 нормально собирается
> >Настройки hasher-priv аналогичные
> >
> >ln: failed to create hard link
> >'/home/u/hasher/m/mz/.work/chroot/.image/.fakedata' =>
> >'/home/u/hasher/m/mz/.work/chroot/.fakedata': Operation not permitted
> >
> >в dmesg
> >type=1702 audit(1368498201.405:2): op=linkat action=denied pid=23814
> >comm="ln" path="/home/u/hasher/m/installer/.work/chroot/.fakedata"
> >dev="tmpfs" ino=701040
> >
> >nosuid нигде нет
> >
> >В какую сторону покопать ?
> 
> Если у Вас systemd- то это оно.
> Я тоже это поймал, но не успел написать.
> Перевод системы не SysVinit поможет, как и, 
> видимо откат systemd до 198.
> Некогда повесить внятную багу.

Скорее всего, на mkimage:
HEAD:tools/mki-image-prepare:ln -- "$chroot"/.fakedata "$chroot"/.image/.fakedata


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] mkimage and fs.protected_hardlinks

[Michael Shigorin]

On Tue, May 14, 2013 at 08:01:00AM +0400, Dmitry V. Levin wrote:
> > >Пытаюсь собрать образ на tmpfs (без tmpfs аналогично)
> > >На t6 нормально собирается
> > >Настройки hasher-priv аналогичные
> > >
> > >ln: failed to create hard link
> > >'/home/u/hasher/m/mz/.work/chroot/.image/.fakedata' =>
> > >'/home/u/hasher/m/mz/.work/chroot/.fakedata': Operation not permitted
> > >
> > >в dmesg
> > >type=1702 audit(1368498201.405:2): op=linkat action=denied pid=23814
> > >comm="ln" path="/home/u/hasher/m/installer/.work/chroot/.fakedata"
> > >dev="tmpfs" ino=701040
> > >
> > >nosuid нигде нет
> > >
> > >В какую сторону покопать ?
> > Если у Вас systemd- то это оно.  Я тоже это поймал, но не
> > успел написать.  Перевод системы не SysVinit поможет, как и,
> > видимо откат systemd до 198.  Некогда повесить внятную багу.
> Скорее всего, на mkimage:
> HEAD:tools/mki-image-prepare:ln -- "$chroot"/.fakedata "$chroot"/.image/.fakedata

С учётом логики выше этой строчки не совсем понятно, какая замена
нужна и уместно ли cp с заменой контроля одинаковости inode
на контроль одинаковости, например, md5sum.

Размер .fakedata относительно невелик, ~260k для ve/bare.tar в m-p.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] mkimage and fs.protected_hardlinks

[Дмитрий Ханжин]

16.08.2013 22:02, Michael Shigorin пишет:
> On Tue, May 14, 2013 at 08:01:00AM +0400, Dmitry V. Levin wrote:
>>>> Пытаюсь собрать образ на tmpfs (без tmpfs аналогично)
>>>> На t6 нормально собирается
>>>> Настройки hasher-priv аналогичные
>>>>
>>>> ln: failed to create hard link
>>>> '/home/u/hasher/m/mz/.work/chroot/.image/.fakedata' =>
>>>> '/home/u/hasher/m/mz/.work/chroot/.fakedata': Operation not permitted
>>>>
>>>> в dmesg
>>>> type=1702 audit(1368498201.405:2): op=linkat action=denied pid=23814
>>>> comm="ln" path="/home/u/hasher/m/installer/.work/chroot/.fakedata"
>>>> dev="tmpfs" ino=701040
>>>>
>>>> nosuid нигде нет
>>>>
>>>> В какую сторону покопать ?
>>> Если у Вас systemd- то это оно.  Я тоже это поймал, но не
>>> успел написать.  Перевод системы не SysVinit поможет, как и,
>>> видимо откат systemd до 198.  Некогда повесить внятную багу.
>> Скорее всего, на mkimage:
>> HEAD:tools/mki-image-prepare:ln -- "$chroot"/.fakedata "$chroot"/.image/.fakedata
>
> С учётом логики выше этой строчки не совсем понятно, какая замена
> нужна и уместно ли cp с заменой контроля одинаковости inode
> на контроль одинаковости, например, md5sum.
>
> Размер .fakedata относительно невелик, ~260k для ve/bare.tar в m-p.
>
Возможно, cp -p, хотя и с просто cp работает.
И я нашел еще несколько мест, где из-за создания хардлинков возникает
ошибка:
http://git.altlinux.org/people/jinn/packages/?p=mkimage.git;a=commitdiff;h=34785c081adbc6fb97911eba9a89ddc3ed28121c

-- 
WBR, Дмитрий

Re: [sisyphus] mkimage and fs.protected_hardlinks

[Alexey Gladkov]

14.05.2013 08:01, Dmitry V. Levin wrote:
> Скорее всего, на mkimage:
> HEAD:tools/mki-image-prepare:ln -- "$chroot"/.fakedata "$chroot"/.image/.fakedata

Те проблемы для решения которых предназначен protected_hardlinks не
касаются mkimage. Ошибка возникает лишь тогда, когда пользователь,
запустивший mkimage, делает линк на данные псевдопользователей.
Он создаёт хардлинки для экономии места и ускорения сборки.

В качестве решения может быть выдача прав пользователю на эти файлы.

-- 
Rgrds, legion

Re: [sisyphus] mkimage and fs.protected_hardlinks

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 691 bytes --]

On Mon, Aug 19, 2013 at 10:01:29AM +0400, Alexey Gladkov wrote:
> 14.05.2013 08:01, Dmitry V. Levin wrote:
> > Скорее всего, на mkimage:
> > HEAD:tools/mki-image-prepare:ln -- "$chroot"/.fakedata "$chroot"/.image/.fakedata
> 
> Те проблемы для решения которых предназначен protected_hardlinks не
> касаются mkimage. Ошибка возникает лишь тогда, когда пользователь,
> запустивший mkimage, делает линк на данные псевдопользователей.
> Он создаёт хардлинки для экономии места и ускорения сборки.
> 
> В качестве решения может быть выдача прав пользователю на эти файлы.

Это как бы внутренняя кухня mkimage, и хорошо бы пользователю mkimage
ничего про нее не знать.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [sisyphus] mkimage and fs.protected_hardlinks

[Alexey Gladkov]

19.08.2013 11:20, Dmitry V. Levin wrote:
> On Mon, Aug 19, 2013 at 10:01:29AM +0400, Alexey Gladkov wrote:
>> 14.05.2013 08:01, Dmitry V. Levin wrote:
>>> Скорее всего, на mkimage:
>>> HEAD:tools/mki-image-prepare:ln -- "$chroot"/.fakedata "$chroot"/.image/.fakedata
>>
>> Те проблемы для решения которых предназначен protected_hardlinks не
>> касаются mkimage. Ошибка возникает лишь тогда, когда пользователь,
>> запустивший mkimage, делает линк на данные псевдопользователей.
>> Он создаёт хардлинки для экономии места и ускорения сборки.
>>
>> В качестве решения может быть выдача прав пользователю на эти файлы.
> 
> Это как бы внутренняя кухня mkimage, и хорошо бы пользователю mkimage
> ничего про нее не знать.

Не понял твоего комментария. Поясни пожалуйста.

Но в любом случае этот инструмент никогда не был для обычных
пользователей:

http://git.altlinux.org/gears/m/mkimage.git?p=mkimage.git;a=blob;f=doc/README.ru;h=f311da51d56601a364edd5fea8aeb0d3d217ea25;hb=24b71bf3c7922c8dccd86f3b676fd589b845d3a5#l10

-- 
Rgrds, legion

Re: [sisyphus] mkimage and fs.protected_hardlinks

[Anton V. Boyarshinov]

Добрый день

В Mon, 19 Aug 2013 10:01:29 +0400
Alexey Gladkov <legion@altlinux.ru> пишет:

> 14.05.2013 08:01, Dmitry V. Levin wrote:
> > Скорее всего, на mkimage:
> > HEAD:tools/mki-image-prepare:ln -- "$chroot"/.fakedata
> > "$chroot"/.image/.fakedata
> 
> Те проблемы для решения которых предназначен protected_hardlinks не
> касаются mkimage. Ошибка возникает лишь тогда, когда пользователь,
> запустивший mkimage, делает линк на данные псевдопользователей.
> Он создаёт хардлинки для экономии места и ускорения сборки.
Проблема, неожиданно (видимо, в результате обновления сборочного
сервера), проявилась иначе:
---------------------------
mki-copy-our2out: has started executing.
'./altinst' ->
'/tmp/.private/boyarsh/mkimage.install2.vy7BXMMwq/.out/altinst' cp:
cannot create hard link
'/tmp/.private/boyarsh/mkimage.install2.vy7BXMMwq/.out/altinst' to
'./altinst': Operation not permitted
---------------------------
Видимо, надо добавить в get_copy_args проверку состояния
fs.protected_hardlinks

Антон

Re: [sisyphus] mkimage and fs.protected_hardlinks

[Anton Farygin]

On 16.04.2014 10:55, Anton V. Boyarshinov wrote:
> Добрый день
>
> В Mon, 19 Aug 2013 10:01:29 +0400
> Alexey Gladkov <legion@altlinux.ru> пишет:
>
>> 14.05.2013 08:01, Dmitry V. Levin wrote:
>>> Скорее всего, на mkimage:
>>> HEAD:tools/mki-image-prepare:ln -- "$chroot"/.fakedata
>>> "$chroot"/.image/.fakedata
>>
>> Те проблемы для решения которых предназначен protected_hardlinks не
>> касаются mkimage. Ошибка возникает лишь тогда, когда пользователь,
>> запустивший mkimage, делает линк на данные псевдопользователей.
>> Он создаёт хардлинки для экономии места и ускорения сборки.
> Проблема, неожиданно (видимо, в результате обновления сборочного
> сервера), проявилась иначе:
> ---------------------------
> mki-copy-our2out: has started executing.
> './altinst' ->
> '/tmp/.private/boyarsh/mkimage.install2.vy7BXMMwq/.out/altinst' cp:
> cannot create hard link
> '/tmp/.private/boyarsh/mkimage.install2.vy7BXMMwq/.out/altinst' to
> './altinst': Operation not permitted
> ---------------------------
> Видимо, надо добавить в get_copy_args проверку состояния
> fs.protected_hardlinks

Хех, я уже давно на это нарвался.

cat /etc/sysctl.d/mkimage.conf
fs.protected_hardlinks = 0

Re: [sisyphus] mkimage and fs.protected_hardlinks

[Michael Shigorin]

On Wed, Apr 16, 2014 at 10:55:02AM +0400, Anton V. Boyarshinov wrote:
> Проблема, неожиданно (видимо, в результате обновления
> сборочного сервера), проявилась иначе:
> ---------------------------
> mki-copy-our2out: has started executing.
> './altinst' ->
> '/tmp/.private/boyarsh/mkimage.install2.vy7BXMMwq/.out/altinst' cp:
> cannot create hard link
> '/tmp/.private/boyarsh/mkimage.install2.vy7BXMMwq/.out/altinst' to
> './altinst': Operation not permitted
> ---------------------------
> Видимо, надо добавить в get_copy_args проверку состояния
> fs.protected_hardlinks

Или смержить mkimage-preinstall в mkimage, т.к. обходных
вариантов меньшей кровью обнаружено не было (могу выдать
патчи на предмет отката поведения с хардлинков на копии,
если кому интересно -- я уже согласился с legion@,
что для дела не годится).

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [sisyphus] mkimage and fs.protected_hardlinks

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1430 bytes --]

On Tue, May 14, 2013 at 08:01:00AM +0400, Dmitry V. Levin wrote:
> On Tue, May 14, 2013 at 07:55:31AM +0400, Дмитрий Ханжин wrote:
> > 14.05.2013 07:15, Starodumoff Ilya пишет:
> > >Пытаюсь собрать образ на tmpfs (без tmpfs 
> > >аналогично)
> > >На t6 нормально собирается
> > >Настройки hasher-priv аналогичные
> > >
> > >ln: failed to create hard link
> > >'/home/u/hasher/m/mz/.work/chroot/.image/.fakedata' =>
> > >'/home/u/hasher/m/mz/.work/chroot/.fakedata': Operation not permitted
> > >
> > >в dmesg
> > >type=1702 audit(1368498201.405:2): op=linkat action=denied pid=23814
> > >comm="ln" path="/home/u/hasher/m/installer/.work/chroot/.fakedata"
> > >dev="tmpfs" ino=701040
> > >
> > >nosuid нигде нет
> > >
> > >В какую сторону покопать ?
> > 
> > Если у Вас systemd- то это оно.
> > Я тоже это поймал, но не успел написать.
> > Перевод системы не SysVinit поможет, как и, 
> > видимо откат systemd до 198.
> > Некогда повесить внятную багу.
> 
> Скорее всего, на mkimage:
> HEAD:tools/mki-image-prepare:ln -- "$chroot"/.fakedata "$chroot"/.image/.fakedata

Рекомендация для mkimage и другого софта, использующего hasher.

Операцию вида "ln hasher/chroot/.out/file somewhere/file", которую
не позволяет fs.protected_hardlinks, можно безболезненно заменить
на операцию вида "hsh-run hasher ln /.out/file /.out/file.link &&
mv hasher/chroot/.out/file.link somewhere/file"


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]