Re: couldn't be accessed by user '_apt'

[Михаил Касаджиков]

D. Himro  писал(а) в своём письме Mon, 30 Oct 2017 05:18:13 
+0300:


On 29/10/17 08:44 PM, Михаил Касаджиков wrote:

D. Himro  писал(а) в своём письме Mon, 30 Oct 2017

Недавно появилась такая проблема. Свежеуставновленный lxc при запуске
apt-get update выдаёт такое вот.

W: Download is performed unsandboxed as root as file


'/var/lib/apt/lists/partial/ftp.debian.org_debian_dists_stretch_InRelease'


couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Permission
denied)


Установленные ранее контейнеры таким не страдают.

Куда копать?


А подробнее можно? Это в какой момент происходит? В контейнере, или в
хост-системе? Если в контейнере, то в привилегированном, или нет?


Внутри контейнера. О привигилированности если я правильно понял то - да.
Контейнер привегилированный.

# cat /etc/lxc/default.conf
lxc.network.type = veth
lxc.network.link = br0
lxc.network.flags = up
lxc.network.hwaddr = 00:16:3e:xx:xx:xx
lxc.start.auto = 1

# lxc-create --name NAME --template debian

Другие настройки не трогались.


Все контейнеры создавались таким образом, отличаясь только именем. Те
что были созданы несколько месяцев назад этой проблемы не имеют (с тех
пор, как помню, apt обновлялся), хост система тоже проблем не имеет.

/var/cache/lxc/ на всякий случай чистил.

внутри проблемного контейнера
# ls -al /var/lib/apt/lists/partial
total 8
drwx-- 2 _apt root 4096 Oct 29 23:43 .
drwxr-xr-x 3 root root 4096 Oct 29 23:43 ..
# cat /etc/passwd| grep _apt
_apt:x:104:65534::/nonexistent:/bin/false

хост система
/# ls -al /var/lib/apt/lists/partial/
total 8
drwx-- 2 _apt root 4096 Oct 29 19:03 .
drwxr-xr-x 3 root root 4096 Oct 29 18:45 ..
# cat /etc/passwd| grep _apt
_apt:x:100:65534::/nonexistent:/bin/false

не проблемный контейнер той-же хост системы
# ls -al /var/lib/apt/lists/partial/
total 8
drwx-- 2 _apt root 4096 Oct 29 03:15 .
drwxr-xr-x 3 root root 4096 Oct 29 03:15 ..
# cat /etc/passwd| grep _apt
_apt:x:104:65534::/nonexistent:/bin/false


Создал контейнер и посмотрел какие права на каталоги в нём:

root@deb:~# apt-get update
Пол:1 http://security.debian.org stretch/updates InRelease [62,9 kB]
Игн:2 http://cdn-fastly.deb.debian.org/debian stretch InRelease
Пол:4 http://security.debian.org stretch/updates/main amd64 Packages [186 kB]
Сущ:3 http://cdn-fastly.deb.debian.org/debian stretch Release
Пол:5 http://security.debian.org stretch/updates/main Translation-en [87,2 kB]
Пол:7 http://cdn-fastly.deb.debian.org/debian stretch/main Translation-en [5 
395 kB]
Пол:8 http://cdn-fastly.deb.debian.org/debian stretch/main Translation-ru [487 
kB]
Получено 6 218 kБ за 5с (1 192 kБ/c)
Чтение списков пакетов… Готово

root@deb:~# ls -lhFd /var
drwxr-xr-x 11 root root 4,0K окт 30 13:02 /var/
root@deb:~# ls -lhFd /var/lib
drwxr-xr-x 9 root root 4,0K окт 30 13:04 /var/lib/
root@deb:~# ls -lhFd /var/lib/apt
drwxr-xr-x 5 root root 4,0K окт 30 13:04 /var/lib/apt/
root@deb:~# ls -lhFd /var/lib/apt/lists
drwxr-xr-x 3 root root 4,0K окт 30 13:07 /var/lib/apt/lists/
root@deb:~# ls -lhFd /var/lib/apt/lists/partial
drwx-- 2 _apt root 4,0K окт 30 13:07 /var/lib/apt/lists/partial/

root@deb:~# ls -lhFA /var/lib/apt/lists/
итого 67M
-rw-r--r-- 1 root root  38M окт  7 09:04 
httpredir.debian.org_debian_dists_stretch_main_binary-amd64_Packages
-rw-r--r-- 1 root root  26M окт  7 09:04 
httpredir.debian.org_debian_dists_stretch_main_i18n_Translation-en
-rw-r--r-- 1 root root 2,9M июн 16 04:06 
httpredir.debian.org_debian_dists_stretch_main_i18n_Translation-ru
-rw-r--r-- 1 root root 116K окт  7 09:46 
httpredir.debian.org_debian_dists_stretch_Release
-rw-r--r-- 1 root root 2,5K окт  7 09:52 
httpredir.debian.org_debian_dists_stretch_Release.gpg
-rw-r- 1 root root0 окт 30 13:07 lock
drwx-- 2 _apt root 4,0K окт 30 13:07 partial/
-rw-r--r-- 1 root root  62K окт 30 08:51 
security.debian.org_dists_stretch_updates_InRelease
-rw-r--r-- 1 root root 951K окт 30 07:32 
security.debian.org_dists_stretch_updates_main_binary-amd64_Packages
-rw-r--r-- 1 root root 553K окт 30 07:32 
security.debian.org_dists_stretch_updates_main_i18n_Translation-en

root@deb:~# ls -lhFA /var/lib/apt/lists/partial/
итого 0

Посмотрите что у вас, в debian-user упоминают о world-readable для родительских 
каталогов:
http://debian.2.n7.nabble.com/problems-with-apt-user-privileges-in-upgrading-from-Jessie-to-Stretch-solved-td4132376.html

Systemd и lxc у меня такие:

||/ Имя  Версия Архитектура
+++--==-===
ii  libpam-systemd:amd64 230-7~bpo8+2.1 amd64
ii  libsystemd0:amd64230-7~bpo8+2.1 amd64
ii  libsystemd0:i386 230-7~bpo8+2.1 i386
ii  systemd  230-7~bpo8+2.1 amd64
ii  systemd-container230-7~bpo8+2.1 amd64
ii  systemd-sysv 230-7~bpo8+2.1 amd64

||/ Имя  Версия   Архитектура
+++-=-===
ii  liblxc1  1:2.0.7-2~bpo8+1 amd64
ii  lxc  1:2.0.7-2~bpo8+1 amd64
ii  lxcfs 

Как пропатчить wi-fi (wpa-supplicant) в антикварных версиях Debian?

[Pavel]

Доброго всем времени суток. 

Есть несколько машин с Debian 6 (squeeze) и ранним wheezy (ок. 2013). 
И тут началась истерия с кряком wi-fi и требуют его залатать. 

Вопрос: имеет ли смысл бэкпортить патч wpa-supplicant
http://w1.security/2017-1/ на старинные версии, или уже бэкпортить весь
wpa-supplicant из свежей версии (допустим, stretch). 

Реально ли это? Кто нибудь уже пробовал?


-- Pavel A.

Re: Как пропатчить wi-fi (wpa-supplicant) в антикварных версиях Debian?

[Victor Wagner]

On Mon, 30 Oct 2017 15:57:47 +0200
Pavel  wrote:

> Доброго всем времени суток. 
> 
> Есть несколько машин с Debian 6 (squeeze) и ранним wheezy (ок. 2013). 
> И тут началась истерия с кряком wi-fi и требуют его залатать. 
> 
> Вопрос: имеет ли смысл бэкпортить патч wpa-supplicant
> http://w1.security/2017-1/ на старинные версии, или уже бэкпортить
> весь wpa-supplicant из свежей версии (допустим, stretch). 
> 
> Реально ли это? Кто нибудь уже пробовал?

По-моему, сбэкпортить весь wpa-supplicant проще. Помнится, было дело я
уже бэкпортил из stretch в jessie (правда по совсем другим причинам -
пытался, безуспешно, добиться нормальной поддержки bananapi в hostapd).


--

Re: Как пропатчить wi-fi (wpa-supplicant) в антикварных версиях Debian?

[Hleb Valoshka]

On 10/30/17, Pavel  wrote:

> Есть несколько машин с Debian 6 (squeeze) и ранним wheezy (ок. 2013).
> И тут началась истерия с кряком wi-fi и требуют его залатать.

6-ка уже не поддерживается, но 7-ка ещё должна в рамках debian-lts,
так что просто стоит обновиться оттуда.

https://wiki.debian.org/LTS/Using

Re: couldn't be accessed by user '_apt'

[D. Himro]

On 30/10/17 08:20 AM, Михаил Касаджиков wrote:
> 
> Посмотрите что у вас, в debian-user упоминают о world-readable для
> родительских каталогов:
> http://debian.2.n7.nabble.com/problems-with-apt-user-privileges-in-upgrading-from-Jessie-to-Stretch-solved-td4132376.html

Спасибо. По сути оно. Руту в .profile прописал umask 022, больше
проблема не возникает.

deborphan

[sergio]

А кто-нить знает, что заставляет сабж на стейбле, на котором ежедневно
происходит apt update (но не dist-upgrade), менять свои показания?

Вчера было пусто, сегодня:

% deborphan
libapache2-mpm-itk

-- 
sergio

Re: deborphan

[sergio]

On 31/10/17 07:20, sergio wrote:

> % deborphan
> libapache2-mpm-itk

% apt-mark showmanual libapache2-mpm-itk
libapache2-mpm-itk

% aptitude show libapache2-mpm-itk | grep -i auto
Automatically installed: no



А на другом сиде, внезапно:

% deborphan
gnupg-agent

и тоже:

% apt-mark showmanual gnupg-agent
gnupg-agent

% aptitude show gnupg-agent | grep -i auto
Automatically installed: no


-- 
sergio

Re: deborphan

[Artem Chuprina]

sergio -> debian-russian@lists.debian.org  @ Tue, 31 Oct 2017 07:29:51 +0300:

 >> % deborphan
 >> libapache2-mpm-itk

 > % apt-mark showmanual libapache2-mpm-itk
 > libapache2-mpm-itk

 > % aptitude show libapache2-mpm-itk | grep -i auto
 > Automatically installed: no



 > А на другом сиде, внезапно:

 > % deborphan
 > gnupg-agent

 > и тоже:

 > % apt-mark showmanual gnupg-agent
 > gnupg-agent

 > % aptitude show gnupg-agent | grep -i auto
 > Automatically installed: no

Сколь я помню, deborphan исторически был раньше, чем метка "установлено
автоматически", и смотрел не на метку, которой тогда не было, а на свои
эмпирики. Возможно, он и сейчас так делает, ибо посмотреть на метку
можно и штатными средствами.