Re: Chroot debian / Bacula-sd
Le Wednesday 25 June 2008 20:25:23 Sylvain Sauvage, vous avez écrit : Haji Kader, mercredi 25 juin 2008, 13:51:29 CEST […] strace /usr/sbin/bacula-sd execve(/usr/sbin/bacula-sd, [/usr/sbin/bacula-sd], [/* 17 vars */]) = 0 […] futex(0xbfe20030, 0x81 /* FUTEX_??? */, 1) = -1 ENOSYS (Function not implemented) Hmm, un appel qui échoue. 0x81 n’est pas une valeur « connue » (API accessible, la page de man ou futex.h) pour un futex, mais c’est une valeur habituelle dans un strace. Et, d’habitude, ça passe. Je ne sais pas ce que ce signifie le fait que ça coince ici… rt_sigaction(SIGRTMIN, {0xb7e792c0, [], SA_SIGINFO}, NULL, 8) = 0 rt_sigaction(SIGRT_1, {0xb7e79340, [], SA_RESTART|SA_SIGINFO}, NULL, 8) = 0 rt_sigprocmask(SIG_UNBLOCK, [RTMIN RT_1], NULL, 8) = 0 Quelques détournements de signaux… getrlimit(RLIMIT_STACK, {rlim_cur=8192*1024, rlim_max=RLIM_INFINITY}) = 0 Demande la taille de la pile. --- SIGSEGV (Segmentation fault) @ 0 (0) --- +++ killed by SIGSEGV +++ Process 26836 detached Et pouf, un SIGSEGV. Ça peut venir du déréférencement d’un pointeur invalide (nul) ou d’un débordement de pile… Donc, à part le futex qui échoue, ce qui n’a peut-être rien à voir, pas vraiment d’indication du pourquoi ça segfaulte. Bon, strace n’affiche que les appels système, ça ne dit pas ce qu’il se passe entre le getrlimit et le segfault. (Le getrlimit se faisant sur la taille de la pile, c’est peut-être une récursion infinie, mais le système n’a pas besoin de faire un getrlimit pour segfaulter dans ce cas-là, donc ça n’a peut-être rien à voir.) En tout cas, on ne voit pas de tentative d’ouverture de fichier qui échouerait. En fait, il n’y en a pas en dehors des bibliothèques. Donc ça n’est pas un fichier qui manque. Il n’y a pas un log ? Non malheureusement. Il faudrait utiliser gdb, mais les binaires debian sont strip-és ; donc pas d’info de déboguage ; donc faudrait recompiler… Bon, je suppose que ça fonctionne en dehors du chroot, hein ? Tu as essayé dchroot ou schroot ? En dehors du chroot, celà fonctionne parfaitement, je l'ai même mis en place en production et aucun problème. Je l'ai même testé dans un environnement chroot constuit via de debootstap et il fonctionne aussi parfaitement. Bonjour à tous, Je reviens pour donner des nouvelles sur l'environnement chroot du storage daemon Bacula car j'ai un peu avancé et donc le problème était quelques librairies prisent en compte via des mauvais chemins. Une fois celle-ci remise au bon endroit, tout va beaucoup mieux au niveau du segfault mais reste une petite problématique. Mon bacula ne me sort aucune erreur mais normalement dés que je le lance je devrais le voir apparaître parmis les processus de mon environnement non chrooté, hors là rien, aucune trace. Par contre, avec le chroot via deboostrap, quand je lance mon bacula, je vois bien le processus associé: sshd 12532 0.0 0.6 22572 1732 ?Ssl 18:11 0:00 /usr/sbin/bacula-sd -c /etc/bacula/bacula-sd.conf -u bacula -g tape Au passage, je ne comprends pas trop pourquoi, à la fin du strace, j'ai ceci: open(/dev/null, O_RDONLY|O_LARGEFILE) = 3 close(3)= 0 stat64(/var/lib/bacula, {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0 clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb7beca28) = 12498 --- SIGCHLD (Child exited) @ 0 (0) --- sigreturn() = ? (mask now []) exit_group(0) = ? Process 12497 detached Merci, -- Cordialement. Kader HAJI signature.asc Description: This is a digitally signed message part.
Re: Chroot debian / Bacula-sd
Haji Kader, mardi 24 juin 2008, 21:22:31 CEST […] Donc pas de message d’erreur ici (à part ceux que j’ai coupés et qui concernaient la recherche de la bibliothèque dans tous les répertoires possibles). Merci pour les commentaires, parfait mais le problème, c'est que même si les librairies sont trouvées, il me sort à la fin un segmentation fault? Et ? Il faut qu’on devine pourquoi sans autre information ? Le bout de strace que tu nous donnes ne montre aucune erreur fatale, aucun segfault. C’est Debian, pas Devin. -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Chroot debian / Bacula-sd
Le Wednesday 25 June 2008 12:31:21 Sylvain Sauvage, vous avez écrit : Haji Kader, mardi 24 juin 2008, 21:22:31 CEST […] Donc pas de message d’erreur ici (à part ceux que j’ai coupés et qui concernaient la recherche de la bibliothèque dans tous les répertoires possibles). Merci pour les commentaires, parfait mais le problème, c'est que même si les librairies sont trouvées, il me sort à la fin un segmentation fault? Et ? Il faut qu’on devine pourquoi sans autre information ? Le bout de strace que tu nous donnes ne montre aucune erreur fatale, aucun segfault. C’est Debian, pas Devin. Voici mon strace en entier, et c'est bien une Debian 4.0r3 (etch). Concernant les infos que j'ai mis tout ce que je savais et fait. code strace /usr/sbin/bacula-sd execve(/usr/sbin/bacula-sd, [/usr/sbin/bacula-sd], [/* 17 vars */]) = 0 uname({sys=Linux, node=balder, ...}) = 0 brk(0) = 0x80bd000 access(/etc/ld.so.nohwcap, F_OK) = -1 ENOENT (No such file or directory) mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7fc6000 access(/etc/ld.so.preload, R_OK) = -1 ENOENT (No such file or directory) mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7fc5000 open(/etc/ld.so.cache, O_RDONLY) = -1 ENOENT (No such file or directory) open(/lib/tls/i686/cmov/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/tls/i686/cmov, {st_mode=S_IFDIR|0700, st_size=4096, ...}) = 0 open(/lib/tls/i686/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/tls/i686, {st_mode=S_IFDIR|0700, st_size=4096, ...}) = 0 open(/lib/tls/cmov/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/tls/cmov, 0xbfe1f868) = -1 ENOENT (No such file or directory) open(/lib/tls/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/tls, {st_mode=S_IFDIR|0700, st_size=4096, ...}) = 0 open(/lib/i686/cmov/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/i686/cmov, {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0 open(/lib/i686/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/i686, {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0 open(/lib/cmov/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/cmov, 0xbfe1f868) = -1 ENOENT (No such file or directory) open(/lib/libacl.so.1, O_RDONLY) = 3 read(3, \177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\320\23..., 512) = 512 fstat64(3, {st_mode=S_IFREG|0644, st_size=22156, ...}) = 0 mmap2(NULL, 20980, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7fbf000 mmap2(0xb7fc4000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED| MAP_DENYWRITE, 3, 0x5) = 0xb7fc4000 close(3)= 0 open(/lib/tls/i686/cmov/libz.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) open(/lib/tls/i686/libz.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) open(/lib/tls/libz.so.1, O_RDONLY)= -1 ENOENT (No such file or directory) open(/lib/i686/cmov/libz.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) open(/lib/i686/libz.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) open(/lib/libz.so.1, O_RDONLY)= -1 ENOENT (No such file or directory) open(/usr/lib/tls/i686/cmov/libz.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/usr/lib/tls/i686/cmov, 0xbfe1f84c) = -1 ENOENT (No such file or directory) open(/usr/lib/tls/i686/libz.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/usr/lib/tls/i686, 0xbfe1f84c) = -1 ENOENT (No such file or directory) open(/usr/lib/tls/cmov/libz.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/usr/lib/tls/cmov, 0xbfe1f84c) = -1 ENOENT (No such file or directory) open(/usr/lib/tls/libz.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/usr/lib/tls, 0xbfe1f84c) = -1 ENOENT (No such file or directory) open(/usr/lib/i686/cmov/libz.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/usr/lib/i686/cmov, {st_mode=S_IFDIR|0700, st_size=4096, ...}) = 0 open(/usr/lib/i686/libz.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/usr/lib/i686, {st_mode=S_IFDIR|0700, st_size=4096, ...}) = 0 open(/usr/lib/cmov/libz.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/usr/lib/cmov, 0xbfe1f84c) = -1 ENOENT (No such file or directory) open(/usr/lib/libz.so.1, O_RDONLY)= 3 read(3, \177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\300\30..., 512) = 512 fstat64(3, {st_mode=S_IFREG|0644, st_size=81012, ...}) = 0 mmap2(NULL, 83740, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7faa000 mmap2(0xb7fbe000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED| MAP_DENYWRITE, 3, 0x13) = 0xb7fbe000 close(3)= 0 open(/lib/tls/i686/cmov/libpython2.4.so.1.0, O_RDONLY) = -1 ENOENT
Re: Chroot debian / Bacula-sd
Haji Kader, mercredi 25 juin 2008, 13:51:29 CEST […] strace /usr/sbin/bacula-sd execve(/usr/sbin/bacula-sd, [/usr/sbin/bacula-sd], [/* 17 vars */]) = 0 […] futex(0xbfe20030, 0x81 /* FUTEX_??? */, 1) = -1 ENOSYS (Function not implemented) Hmm, un appel qui échoue. 0x81 n’est pas une valeur « connue » (API accessible, la page de man ou futex.h) pour un futex, mais c’est une valeur habituelle dans un strace. Et, d’habitude, ça passe. Je ne sais pas ce que ce signifie le fait que ça coince ici… rt_sigaction(SIGRTMIN, {0xb7e792c0, [], SA_SIGINFO}, NULL, 8) = 0 rt_sigaction(SIGRT_1, {0xb7e79340, [], SA_RESTART|SA_SIGINFO}, NULL, 8) = 0 rt_sigprocmask(SIG_UNBLOCK, [RTMIN RT_1], NULL, 8) = 0 Quelques détournements de signaux… getrlimit(RLIMIT_STACK, {rlim_cur=8192*1024, rlim_max=RLIM_INFINITY}) = 0 Demande la taille de la pile. --- SIGSEGV (Segmentation fault) @ 0 (0) --- +++ killed by SIGSEGV +++ Process 26836 detached Et pouf, un SIGSEGV. Ça peut venir du déréférencement d’un pointeur invalide (nul) ou d’un débordement de pile… Donc, à part le futex qui échoue, ce qui n’a peut-être rien à voir, pas vraiment d’indication du pourquoi ça segfaulte. Bon, strace n’affiche que les appels système, ça ne dit pas ce qu’il se passe entre le getrlimit et le segfault. (Le getrlimit se faisant sur la taille de la pile, c’est peut-être une récursion infinie, mais le système n’a pas besoin de faire un getrlimit pour segfaulter dans ce cas-là, donc ça n’a peut-être rien à voir.) En tout cas, on ne voit pas de tentative d’ouverture de fichier qui échouerait. En fait, il n’y en a pas en dehors des bibliothèques. Donc ça n’est pas un fichier qui manque. Il n’y a pas un log ? Il faudrait utiliser gdb, mais les binaires debian sont strip-és ; donc pas d’info de déboguage ; donc faudrait recompiler… Bon, je suppose que ça fonctionne en dehors du chroot, hein ? Tu as essayé dchroot ou schroot ? -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Chroot debian / Bacula-sd
Le Wednesday 25 June 2008 20:25:23 Sylvain Sauvage, vous avez écrit : Haji Kader, mercredi 25 juin 2008, 13:51:29 CEST […] strace /usr/sbin/bacula-sd execve(/usr/sbin/bacula-sd, [/usr/sbin/bacula-sd], [/* 17 vars */]) = 0 […] futex(0xbfe20030, 0x81 /* FUTEX_??? */, 1) = -1 ENOSYS (Function not implemented) Hmm, un appel qui échoue. 0x81 n’est pas une valeur « connue » (API accessible, la page de man ou futex.h) pour un futex, mais c’est une valeur habituelle dans un strace. Et, d’habitude, ça passe. Je ne sais pas ce que ce signifie le fait que ça coince ici… rt_sigaction(SIGRTMIN, {0xb7e792c0, [], SA_SIGINFO}, NULL, 8) = 0 rt_sigaction(SIGRT_1, {0xb7e79340, [], SA_RESTART|SA_SIGINFO}, NULL, 8) = 0 rt_sigprocmask(SIG_UNBLOCK, [RTMIN RT_1], NULL, 8) = 0 Quelques détournements de signaux… getrlimit(RLIMIT_STACK, {rlim_cur=8192*1024, rlim_max=RLIM_INFINITY}) = 0 Demande la taille de la pile. --- SIGSEGV (Segmentation fault) @ 0 (0) --- +++ killed by SIGSEGV +++ Process 26836 detached Et pouf, un SIGSEGV. Ça peut venir du déréférencement d’un pointeur invalide (nul) ou d’un débordement de pile… Donc, à part le futex qui échoue, ce qui n’a peut-être rien à voir, pas vraiment d’indication du pourquoi ça segfaulte. Bon, strace n’affiche que les appels système, ça ne dit pas ce qu’il se passe entre le getrlimit et le segfault. (Le getrlimit se faisant sur la taille de la pile, c’est peut-être une récursion infinie, mais le système n’a pas besoin de faire un getrlimit pour segfaulter dans ce cas-là, donc ça n’a peut-être rien à voir.) En tout cas, on ne voit pas de tentative d’ouverture de fichier qui échouerait. En fait, il n’y en a pas en dehors des bibliothèques. Donc ça n’est pas un fichier qui manque. Il n’y a pas un log ? Non malheureusement. Il faudrait utiliser gdb, mais les binaires debian sont strip-és ; donc pas d’info de déboguage ; donc faudrait recompiler… Bon, je suppose que ça fonctionne en dehors du chroot, hein ? Tu as essayé dchroot ou schroot ? Non je n'ai pas essayé dchroot ou schroot mais je ne vois pas ce que celà pourrait changer??? J'avais pensé à la compilation mais bon si je pouvais faire sans, se serait bien mieux mais je crois que c'est ce qui me reste à faire. Merci à tous, dés que ça avance je tiens au courant, -- Cordialement. Kader HAJI signature.asc Description: This is a digitally signed message part.
Re: Chroot debian / Bacula-sd
Haji Kader, mercredi 25 juin 2008, 23:22:55 CEST […] Bon, je suppose que ça fonctionne en dehors du chroot, hein ? Tu as essayé dchroot ou schroot ? Non je n'ai pas essayé dchroot ou schroot mais je ne vois pas ce que celà pourrait changer??? Mettre chroot hors de cause (la mise en œuvre, pas le principe). C’est le b-a-ba de la méthode scientifique : pour éliminer une hypothèse possible, remplacer sa cause. L’hypothèse étant « chroot est la cause du segfault », si dchroot et schroot font la même chose, c’est que c’est voulu par le principe du changement de root, et donc pas un bogue de chroot (ou alors un bogue de chroot, dchroot et schroot, ce qui est moins probable). -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Chroot debian / Bacula-sd
Haji Kader, lundi 23 juin 2008, 16:27:37 CEST Bonjour, ’jour, Peut-être HS mais je me lance quand même en étant désolé par avance si ça l'est. Ben, ça parle d’utiliser Debian, en français. Donc debian-user-french est la bonne liste. J'ai comme projet de mettre en place un environnement chroot pour le daemon storage daemon de l'application Bacula (sauvegarde réseau) Le contexte est que l'environnemnt chroot est déjà mise en place, donc je l'ai téléchargé en locale, pour les tests. Une fois celui-ci mise en place, j'ai copié toutes les dépendances liées à daemon (ldd puis cp...), la partition /proc est bien dans le /etc/fstab. Hmm, je subodore des tripatouillages hérétiques. Comment est-ce que tu mets en place ton chroot ? Tu ne sembles pas utiliser les paquets Debian pour Bacula. Pourquoi ? Oh, à moins que tu essaies de faire un chroot minimal ? Et c’est pour cela que tu copies tous les binaires un à un ? Ça expliquerait qu’il manque des bouts du lieur… -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Chroot debian / Bacula-sd
Le Tuesday 24 June 2008 11:15:20 Sylvain Sauvage, vous avez écrit : Haji Kader, lundi 23 juin 2008, 16:27:37 CEST Bonjour, ’jour, Peut-être HS mais je me lance quand même en étant désolé par avance si ça l'est. Ben, ça parle d’utiliser Debian, en français. Donc debian-user-french est la bonne liste. J'ai comme projet de mettre en place un environnement chroot pour le daemon storage daemon de l'application Bacula (sauvegarde réseau) Le contexte est que l'environnemnt chroot est déjà mise en place, donc je l'ai téléchargé en locale, pour les tests. Une fois celui-ci mise en place, j'ai copié toutes les dépendances liées à daemon (ldd puis cp...), la partition /proc est bien dans le /etc/fstab. Hmm, je subodore des tripatouillages hérétiques. ??? Comment est-ce que tu mets en place ton chroot ? Il était déjà mis en place. Tu ne sembles pas utiliser les paquets Debian pour Bacula. Pourquoi ? Oh, à moins que tu essaies de faire un chroot minimal ? Et c’est pour cela que tu copies tous les binaires un à un ? Ça expliquerait qu’il manque des bouts du lieur… Effectivement le chroot est minimale (récupérer via rsync car hébergé en externe), pour des raisons de sécurité. Les pacquets sont bien ceux de debian (etch) , et la version de bacula est la 1.38. La copie des binaires, librairies... se fait bien copiés à la main un à un. -- Cordialement. Kader HAJI signature.asc Description: This is a digitally signed message part.
Re: Chroot debian / Bacula-sd
Haji Kader, mardi 24 juin 2008, 11:50:59 CEST […] Hmm, je subodore des tripatouillages hérétiques. ??? Hérétique : en contradiction des formes prescrites par la doctrine. La doctrine d’une distribution : utiliser les outils de la distribution (paquets notamment). […] Effectivement le chroot est minimale (récupérer via rsync car hébergé en externe), pour des raisons de sécurité. Ben la question était surtout s’il avait été fait par debootstrap. Les pacquets sont bien ceux de debian (etch) , et la version de bacula est la 1.38. La copie des binaires, librairies... se fait bien copiés à la main un à un. Donc il faut continuer à chercher les fichiers nécessaires : ldd sur chaque binaire, chaque bibliothèque, etc. Bon courage… Question ouverte : finalement, est-ce que ce boulot n’est pas plus pénible et pas plus sûr qu’un debootstrap ? (système minimal : env. 150 Mio ; un simple debootstrap, un nettoyage du système et l’installation de ce que l’on veut via aptitude ; temps passé : 15 min…) -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Chroot debian / Bacula-sd
Le Tuesday 24 June 2008 13:27:43 Sylvain Sauvage, vous avez écrit : Haji Kader, mardi 24 juin 2008, 11:50:59 CEST […] Hmm, je subodore des tripatouillages hérétiques. ??? Hérétique : en contradiction des formes prescrites par la doctrine. La doctrine d’une distribution : utiliser les outils de la distribution (paquets notamment). […] Effectivement le chroot est minimale (récupérer via rsync car hébergé en externe), pour des raisons de sécurité. Ben la question était surtout s’il avait été fait par debootstrap. Les pacquets sont bien ceux de debian (etch) , et la version de bacula est la 1.38. La copie des binaires, librairies... se fait bien copiés à la main un à un. Donc il faut continuer à chercher les fichiers nécessaires : ldd sur chaque binaire, chaque bibliothèque, etc. Bon courage… Je pense que ceci est fait mais peut-être qu'il manque quelque chose. A voir mais bon toutes les librairies, binaires... collectées via ldd /usr/(s)bin... ont été effectuées donc je sèche un peu à ce niveau là. Question ouverte : finalement, est-ce que ce boulot n’est pas plus pénible et pas plus sûr qu’un debootstrap ? (système minimal : env. 150 Mio ; un simple debootstrap, un nettoyage du système et l’installation de ce que l’on veut via aptitude ; temps passé : 15 min…) Je suis d'accord avec toi, d'ailleurs c'est comme ça que j'avais commencé à le faire mais disons que les conditions (environnement restreint, strict minimum de services : ssh, rsync, cd, ps...commande de base quoi) sont arrivé aprés. Et vu que c'est pour mettre le tout en production, toutes les conditions doivent être respectées. -- Sylvain Sauvage -- Cordialement. Kader HAJI signature.asc Description: This is a digitally signed message part.
Re: Chroot debian / Bacula-sd
Haji Kader, mardi 24 juin 2008, 14:21:07 CEST […] Donc il faut continuer à chercher les fichiers nécessaires : ldd sur chaque binaire, chaque bibliothèque, etc. Bon courage… Je pense que ceci est fait mais peut-être qu'il manque quelque chose. A voir mais bon toutes les librairies, binaires... collectées via ldd /usr/(s)bin... ont été effectuées donc je sèche un peu à ce niveau là. Tu as aussi passé ldd sur les bibliothèques ? Tu peux nous donner les messages d’erreur ? Un bout de strace ? -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Chroot debian / Bacula-sd
Le Tuesday 24 June 2008 14:33:48 Sylvain Sauvage, vous avez écrit : Haji Kader, mardi 24 juin 2008, 14:21:07 CEST […] Donc il faut continuer à chercher les fichiers nécessaires : ldd sur chaque binaire, chaque bibliothèque, etc. Bon courage… Je pense que ceci est fait mais peut-être qu'il manque quelque chose. A voir mais bon toutes les librairies, binaires... collectées via ldd /usr/(s)bin... ont été effectuées donc je sèche un peu à ce niveau là. Tu as aussi passé ldd sur les bibliothèques ? Tu peux nous donner les messages d’erreur ? Un bout de strace ? -- Sylvain Sauvage Voici un petit bout de strace comme exemple d'erreur. [EMAIL PROTECTED]:/]$ strace /usr/sbin/bacula-sd execve(/usr/sbin/bacula-sd, [/usr/sbin/bacula-sd], [/* 17 vars */]) = 0 uname({sys=Linux, node=balder, ...}) = 0 brk(0) = 0x80bd000 access(/etc/ld.so.nohwcap, F_OK) = -1 ENOENT (No such file or directory) mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7fc6000 access(/etc/ld.so.preload, R_OK) = -1 ENOENT (No such file or directory) mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7fc5000 open(/etc/ld.so.cache, O_RDONLY) = -1 ENOENT (No such file or directory) open(/lib/tls/i686/cmov/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/tls/i686/cmov, {st_mode=S_IFDIR|0700, st_size=4096, ...}) = 0 open(/lib/tls/i686/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/tls/i686, {st_mode=S_IFDIR|0700, st_size=4096, ...}) = 0 open(/lib/tls/cmov/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/tls/cmov, 0xbfe1f868) = -1 ENOENT (No such file or directory) open(/lib/tls/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/tls, {st_mode=S_IFDIR|0700, st_size=4096, ...}) = 0 open(/lib/i686/cmov/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/i686/cmov, {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0 open(/lib/i686/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/i686, {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0 open(/lib/cmov/libacl.so.1, O_RDONLY) = -1 ENOENT (No such file or directory) stat64(/lib/cmov, 0xbfe1f868) = -1 ENOENT (No such file or directory) open(/lib/libacl.so.1, O_RDONLY) = 3 read(3, \177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\320\23..., 512) = 512 fstat64(3, {st_mode=S_IFREG|0644, st_size=22156, ...}) = 0 mmap2(NULL, 20980, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7fbf000 mmap2(0xb7fc4000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED| MAP_DENYWRITE, 3, 0x5) = 0xb7fc4000 close(3)= 0 -- Cordialement. Kader HAJI signature.asc Description: This is a digitally signed message part.
Re: Chroot debian / Bacula-sd
Haji Kader, mardi 24 juin 2008, 15:52:12 CEST […] Voici un petit bout de strace comme exemple d'erreur. [EMAIL PROTECTED]:/]$ strace /usr/sbin/bacula-sd execve(/usr/sbin/bacula-sd, […] open(/lib/libacl.so.1, O_RDONLY) = 3 Et ben, il finit par la trouver, la bibliothèque… read(3, \177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\320\23..., 512) = 512 Il en lit un bout (512 octets), même, et c’est bien du ELF… fstat64(3, {st_mode=S_IFREG|0644, st_size=22156, ...}) = 0 Encore quelques infos (sûrement pour la taille)… mmap2(NULL, 20980, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7fbf000 On la colle en mémoire pour pouvoir l’exécuter… mmap2(0xb7fc4000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED| MAP_DENYWRITE, 3, 0x5) = 0xb7fc4000 On en colle un autre bout en mémoire (4 kio à l’offset 20 kio). close(3)= 0 Ça y est. Plus besoin du fichier. Donc pas de message d’erreur ici (à part ceux que j’ai coupés et qui concernaient la recherche de la bibliothèque dans tous les répertoires possibles). -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Chroot debian / Bacula-sd
Le Tuesday 24 June 2008 20:25:37 Sylvain Sauvage, vous avez écrit : Haji Kader, mardi 24 juin 2008, 15:52:12 CEST […] Voici un petit bout de strace comme exemple d'erreur. [EMAIL PROTECTED]:/]$ strace /usr/sbin/bacula-sd execve(/usr/sbin/bacula-sd, […] open(/lib/libacl.so.1, O_RDONLY) = 3 Et ben, il finit par la trouver, la bibliothèque… read(3, \177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\320\23..., 512) = 512 Il en lit un bout (512 octets), même, et c’est bien du ELF… fstat64(3, {st_mode=S_IFREG|0644, st_size=22156, ...}) = 0 Encore quelques infos (sûrement pour la taille)… mmap2(NULL, 20980, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7fbf000 On la colle en mémoire pour pouvoir l’exécuter… mmap2(0xb7fc4000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED| MAP_DENYWRITE, 3, 0x5) = 0xb7fc4000 On en colle un autre bout en mémoire (4 kio à l’offset 20 kio). close(3)= 0 Ça y est. Plus besoin du fichier. Donc pas de message d’erreur ici (à part ceux que j’ai coupés et qui concernaient la recherche de la bibliothèque dans tous les répertoires possibles). -- Sylvain Sauvage Merci pour les commentaires, parfait mais le problème, c'est que même si les librairies sont trouvées, il me sort à la fin un segmentation fault? -- Cordialement. Kader HAJI signature.asc Description: This is a digitally signed message part.
Re: Chroot Debian
on Sun, Oct 03, 2004 at 08:22:12PM +0100, Pigeon ([EMAIL PROTECTED]) wrote: On Sat, Oct 02, 2004 at 07:44:02PM -0700, Karsten M. Self wrote: While I find chroot _installs_ of Debian, as a way of getting the distro onto a computer, useful, I wouldn't run a production system as a whole in chroot mode. Specific services (e.g.: bind), sure, but that's a specialized subcase. I see this referred to a lot, and it puzzles me. Bind is a DNS server, right? Why is a DNS server such a security risk that it should be run in a chroot jail? Is bind - the most widely used name server software on the Internet - really that buggy? Or have I got the wrong end of the stick? There's a long history of bugs and security compromises with BIND. It's a service which accepts data from many different locations, and provides data to many different locations. The data transmission is stateless (UDP), which opens up a number of issues. Among them is that you can't _effectively_ block queries by source because packets can spoof origin. This is rather different from, say, email (SMTP), in which case the connection is both stateful and (if following spec) requires a request/response exchange. While source spoofing is theoretically possible, actual instances of this seem to be pretty rare (possibly speaking more to the ready access to pink-contract, compromised or open proxy/relay systems). There's also a whole class of errors associated with the fundament issue of trusting the data provided by DNS. Think about it: you've got a very efficient, highly cooperative, system, in which a query rarely if ever is answered by an authoritative server, but instead comes from the cache of some arbitary intermediate server. And that's when things are working well. Domain hijacks, spoofs, and just plain typosquatting are possible (and occur with some frequency). The reason for the chroot configuration, though, is a belt-and-suspenders mentality. You've got a tool with a history of buffer overflows. Given that it's still fundamentally vulnerable to these, even if the obvious exploits are avoided and the system as a whole is rearchitected, BIND run as a non-root user in a chroot jail provides limited system access should a successful attack be made. As for what 'sploits there are, Googling bind vulnerability OR vulnerabilities should provide a good night's reading. Peace. -- Karsten M. Self [EMAIL PROTECTED]http://kmself.home.netcom.com/ What Part of Gestalt don't you understand? user-agent considered harmful. Encourage W3M standards: http://twiki.iwethey.org/Main/UserContentString signature.asc Description: Digital signature
Re: Chroot Debian
On Sat, Oct 02, 2004 at 07:44:02PM -0700, Karsten M. Self wrote: While I find chroot _installs_ of Debian, as a way of getting the distro onto a computer, useful, I wouldn't run a production system as a whole in chroot mode. Specific services (e.g.: bind), sure, but that's a specialized subcase. I see this referred to a lot, and it puzzles me. Bind is a DNS server, right? Why is a DNS server such a security risk that it should be run in a chroot jail? Is bind - the most widely used name server software on the Internet - really that buggy? Or have I got the wrong end of the stick? -- Pigeon Be kind to pigeons Get my GPG key here: http://pgp.mit.edu:11371/pks/lookup?op=getsearch=0x21C61F7F signature.asc Description: Digital signature
Re: Chroot Debian
on Fri, Oct 01, 2004 at 04:45:21PM -0700, Dean Montgomery ([EMAIL PROTECTED]) wrote: We are currently managing around 50 Terminal Servers, each terminal server is running RedHat. The terminal servers have been heavily customized and hacked. Each of the 50 Terminal Servers can have anywhere from 30 to 60 thin clients attached. We decided to install Debian in a chroot environment on each of these servers in order to minimize disruptions. We chose debian because it is relatively easy to keep up-to-date. What will be the easiest way to keep all 50 Debian Chroot environments up-to-date? Are you doing chroot _installs_, or actually running the systems live in chroot mode? There's a difference. Chroot is useful for some stuff because it lets you keep multiple environments around. However, the systems are _not_ autonomous, and share resources, particularly relating to networking process space, and the like. It's possible in circumstances to break out of chroot jails. While I find chroot _installs_ of Debian, as a way of getting the distro onto a computer, useful, I wouldn't run a production system as a whole in chroot mode. Specific services (e.g.: bind), sure, but that's a specialized subcase. Chroots can also be useful for build environments in which resources, libraries, directory trees, and the rest, need to be arranged a certain way. But the system as a whole really isn't used outside of build and test requirements. A better solution, if you plan on keeping RH on the systems, would be to run the Debian installs via UML (user-mode linux), or similar. Should we create a base image then copy that image to the remote servers? A lot of folks build new Debian boxes by tarring across an existing build and tweaking a few files (fstab, hostname, networking). Is there a way to set a cron job to auto-update the chroot environments? apt-get update aptitude -dy dist-upgrade ...will update and download packages. Still better to manually commit the updates than to run them automatically. Is there a way to have one aptitude type interface that will interact with all 50 servers simultaniously? If you've named your hosts appropriately, you can approximate this by several means. SSH can do some neat stuff: for host in $( seq 50 ); do ssh server-${host} 'run commands'; done ...for example. Another option would be to create a set of minimal boot environments, or use something like the LTSP, where you can centrally manage a single server, and not deal with the desktops at all. In other words what will be the easiest and most efficient way to maintain these Debian chroot environments. I wiould like to try to avoid manually logging in and running aptitude 50 times at each school inorder to install/upgrade packages. If you schedule things, even desktop-specific updates can be done. There are tools to assist in this though I'm not personally familiar with them. FAI is the grand-daddy, not sure of the others. Peace. -- Karsten M. Self [EMAIL PROTECTED]http://kmself.home.netcom.com/ What Part of Gestalt don't you understand? Bush: All we have to sell is fear itself. signature.asc Description: Digital signature
RE: chroot debian mandrake
Peut etre USerMode Linux pourrait aider? Ce n'est pas un chroot, mais c'est mieux :-) Paquets debian (sid en tous cas) : uml-utilities, kernel-patch-uml, umlrun, user-mode-line, user-mode-linux-doc Vincent -Original Message- From: Raphael Hertzog [mailto:[EMAIL PROTECTED] Sent: Tuesday 11 March 2003 20:56 To: Georges Mariano Cc: debian-user-french@lists.debian.org Subject: Re: chroot debian mandrake Le Tue, Mar 11, 2003 at 06:12:18PM +0100, Georges Mariano écrivait: Drapeau blanc : Je, soussigné [EMAIL PROTECTED], certifie avoir essayé de trouver la solution sur google en entrant les mots clés suivants chroot debian mandrake sans être satisfaisant des réponses. Est-ce que quelqu'un sait faire un chroot d'une Mandrake dans une Debian (dans cet ordre ... ;-) Si j'étais confronté à ce problème, je pense que j'essaierai d'installer une Mandrake depuis le CD dans une machine virtuelle (avec bochs par exemple ou le célèbre mais non-libre vmware). Je pourrai préciser que cette démarche n'a rien de spécifique à Debian, j'aurai pu faire la même chose sur une RedHat. Mais je ne vais pas t'accuser en plus d'être hors-sujet, ca serait trop pour la journée. ;-) rancunier ET taquin :) et moi un peu joueur ... :) A+ -- Raphaël Hertzog -+- http://www.ouaza.com Formation Linux et logiciel libre : http://www.logidee.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: chroot debian mandrake
Georges Mariano a écrit, mardi 11 mars 2003, à 18:12 : Bonsoir, bonjour. [...] Est-ce que quelqu'un sait faire un chroot d'une Mandrake dans une Debian (dans cet ordre ... ;-) Je vois bien une solution rustique qui consiste à installer une Mandrake sur une partition distincte puis à se construire le chroot par montage adéquat de cette partition mais ... si j'ai pas de partition libre ?? Ben, tu auras besoin de l'espace correspondant, de toutes façons ? Tant qu'à trouver 2 ou 3 Gigas de libres dans un coin, autant retailler si besoin une partition dédiée et utiliser la méthode bourrin, qui marche (avec une RH, mais bon). Y'a pas plus subtil ? Quelles sont les contraintes ? -- Jacques L'helgoualc'h
Re: chroot debian mandrake
On Wed, 12 Mar 2003 11:36:04 +0100 Jacques L'helgoualc'h [EMAIL PROTECTED] wrote: besoin une partition dédiée et utiliser la méthode bourrin, qui marche(avec une RH, mais bon). mais la seule méthode bourrin que je connaisse c'est debootstrap ... vu que c'est la seule que je sais appliquer :) Y'a pas plus subtil ? Quelles sont les contraintes ? Éviter d'aller rechercher une nième application sophistiquée (style bochs and co justement). Ça ajoute une variable à mon problème.[en particulier, je devrais reporter d'un mois la moindre question ici] Le problème étant d'héberger des applis commerciales souvent prévues pour RH/Mandrake sans pour autant avoir à gérer l'intégralité d'une RH-like en gardant le potentiel d'administration d'une debian. Soit en reconditionnant une debian déjà dispo, soit en achetant une nouvelle machine (sans qu'elle soit RH-uniquement) Donc, en m'inspirant de debootstrap, qui ne demande pour être utiliser qu'un répertoire (+ place env. 80Mo) et la récupération d'une image de départ. Je me demande qu'elle peut-être l'image de départ dans le cas d'une mandrake... Mais bon, ça confine à l'exercice de style... Tel Ponce Pilate, je peux filer le bébé à notre admin système ;-) A+ -- mailto:[EMAIL PROTECTED] tel: (33) 03 20 43 84 06 INRETS, 20 rue Élisée Reclus fax: (33) 03 20 43 83 59 BP 317 -- 59666 Villeneuve d'Ascq http://www3.inrets.fr/estas/mariano
Re: chroot debian mandrake
Le Tue, Mar 11, 2003 at 06:12:18PM +0100, Georges Mariano écrivait: Drapeau blanc : Je, soussigné [EMAIL PROTECTED], certifie avoir essayé de trouver la solution sur google en entrant les mots clés suivants chroot debian mandrake sans être satisfaisant des réponses. Est-ce que quelqu'un sait faire un chroot d'une Mandrake dans une Debian (dans cet ordre ... ;-) Si j'étais confronté à ce problème, je pense que j'essaierai d'installer une Mandrake depuis le CD dans une machine virtuelle (avec bochs par exemple ou le célèbre mais non-libre vmware). Je pourrai préciser que cette démarche n'a rien de spécifique à Debian, j'aurai pu faire la même chose sur une RedHat. Mais je ne vais pas t'accuser en plus d'être hors-sujet, ca serait trop pour la journée. ;-) rancunier ET taquin :) et moi un peu joueur ... :) A+ -- Raphaël Hertzog -+- http://www.ouaza.com Formation Linux et logiciel libre : http://www.logidee.com
Re: chroot Debian Install
On Tue, Jun 18, 2002 at 08:04:18AM +0200, Andreas Metzler wrote: |- /etc/init.d/rcS - | # See if system needs to be setup. This is ONLY meant to | # be used for the initial setup after a fresh installation! | # | if [ -x /sbin/unconfigured.sh ] | then | /sbin/unconfigured.sh | fi und /sbin/unconfigured.sh existiert im chroot-System, loesch es. cu andreas Danke, das wars! Grüße Florian -- Florian Rossol gpg-key: http://www.stud.uni-hannover.de/~ruessel/gnupg.html -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)