Bug 14430 - KVM / Asterisk / SELinux Basics
Summary: KVM / Asterisk / SELinux Basics
Status: CLOSED FIXED
Alias: None
Product: UCS
Classification: Unclassified
Component: Upstream packages
Version: UCS 2.2
Hardware: All All
: P5 normal
Target Milestone: UCS 2.3
Assignee: Arvid Requate
QA Contact: Daniel Hofmann
URL:
Keywords:
Depends on:
Blocks: 14429 15942
  Show dependency treegraph
 
Reported: 2009-05-11 15:24 CEST by Stefan Gohmann
Modified: 2009-12-21 08:50 CET (History)
2 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Customer ID:
Max CVSS v3 score:


Attachments
oops (23.17 KB, image/png)
2009-10-08 17:30 CEST, Daniel Hofmann
Details

Note You need to log in before you can comment on or make changes to this bug.
Description Stefan Gohmann univentionstaff 2009-05-11 15:24:06 CEST
Die Pakete sollten aus Lenny importiert und gebaut werden.
Comment 1 Arvid Requate univentionstaff 2009-08-31 13:45:14 CEST
Alle drei Paket-Sammlungen sind im UCS 2.3 Scope gebaut und ließen sich instellieren, Changelog ist vorhanden.
Comment 2 Sönke Schwardt-Krummrich univentionstaff 2009-10-07 15:13:57 CEST
Bitte ein UCS-2.3-KVM-Wirtssystem aufsetzen und nach Möglichkeit ein UCS 2.3 als KVM-Gast installieren.

Bei Asterisk und SELinux sollten ebenfalls einem einfachen Funktionstest unterzogen werden.
Comment 3 Daniel Hofmann univentionstaff 2009-10-07 17:17:12 CEST
Asterisk scheint soweit auch zu funktionieren.
Comment 4 Daniel Hofmann univentionstaff 2009-10-07 17:27:43 CEST
noch zu Asterisk:
der Daemon läuft, das Log enthält keine kritischen Fehlermeldungen, der Dialplan lässt sich problemlos anzeigen, Testanrufe an ael-demo haben funktioniert.
Comment 5 Daniel Hofmann univentionstaff 2009-10-08 17:30:38 CEST
Created attachment 1885 [details]
oops

zu kvm:

master23xen2:/ # apt-get install kvm qemu
master23xen2:/ # qemu-img create -f qcow2 hda.img 10G
master23xen2:/ # kvm -m 512 -hda hda.img -cdrom ucs_2.3-0-kernel2.6.30-latest-i386.iso -boot d

Installer startet, frägt die üblichen Fragen .. irgendwann im nichtinteraktiven Teil tritt dann der angehängt OOPS auf.
Comment 6 Daniel Hofmann univentionstaff 2009-10-08 17:36:16 CEST
ucs_2.3-0-kernel2.6.30-20091008094841-dvd-i386.iso
war das latest.iso
Comment 7 Daniel Hofmann univentionstaff 2009-10-09 10:25:24 CEST
Mit ucs_2.3-0-kernel2.6.26-20091008132339-dvd-i386.iso als Gast läuft die Installation komplett durch, das Installierte System lässt sich booten, gdm erscheint brav, Administrator kann sich einloggen und in kde rumspielen.

Standardmäßig vergibt kvm an seine Gäste ein Netzwerkinterface, das den Gast nach außen kommunizieren lassen können sollte, ohne aber selbst von außen erreichbar sein, außer über explizite Portweiterleitungen an den Wirt mittels der -redir-Option, was für den ssh-Port aber leider nicht auf die Schnelle dieses Tests funktioniert hat.
Comment 8 Daniel Hofmann univentionstaff 2009-10-09 11:37:49 CEST
zu SELinux:

Nach der Anleitung unter http://wiki.debian.org/SELinux/Setup lies sich der
permissive Mode mit der default-policy problemlos aktivieren.

Dabei werden eigentlich verbotene Dinge nur ins syslog geschrieben, aber
trotzdem noch zugelassen.

Ein Aufruf von univention-directory-manager im Browser führt dann bspw. zu den
Meldungen:

Oct  9 13:27:50 master23 kernel: [ 2773.302482] type=1400
audit(1255087669.336:373): avc:  denied  { create } for  pid=7041
comm="python2.4" name="48e9616b0220331f70825305169c2707.socket"
scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_tmp_t:s0
tclass=sock_file
Oct  9 13:27:53 master23 kernel: [ 2774.549380] type=1400
audit(1255087670.584:374): avc:  denied  { write } for  pid=3778 comm="syslogd"
path="/dev/xconsole" dev=tmpfs ino=10891
scontext=system_u:system_r:syslogd_t:s0
tcontext=system_u:object_r:home_root_t:s0 tclass=fifo_file
Oct  9 13:27:53 master23 kernel: [ 2775.815190] type=1400
audit(1255087671.848:375): avc:  denied  { write } for  pid=4523 comm="apache2"
name="48e9616b0220331f70825305169c2707.socket" dev=dm-0 ino=219190
scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_tmp_t:s0
tclass=sock_file
Oct  9 13:27:55 master23 kernel: [ 2777.818164] type=1400
audit(1255087673.856:376): avc:  denied  { getattr } for  pid=4523
comm="apache2" path="/tmp/webui/48e9616b0220331f70825305169c2707.socket"
dev=dm-0 ino=219190 scontext=system_u:system_r:httpd_t:s0
tcontext=system_u:object_r:httpd_tmp_t:s0 tclass=sock_file

was wohl letztlich bedeutet, dass z.B. udm im "enforcing"-Mode von SELinux
nicht mehr funktionieren würde.
Comment 9 Daniel Hofmann univentionstaff 2009-10-09 11:43:34 CEST
Ein weiteres Problem ist der named, der regelmäßig für folgende Sequenz im syslog verantwortlich ist:

Oct  9 13:31:09 master23 named[7322]: starting BIND 9.5.1-P1 -c /etc/bind/named.conf -p 7777 -u bind -f
Oct  9 13:31:09 master23 named[7322]: found 1 CPU, using 1 worker thread
Oct  9 13:31:09 master23 named[7322]: using up to 4096 sockets
Oct  9 13:31:11 master23 named[7322]: loading configuration from '/etc/bind/named.conf'
Oct  9 13:31:11 master23 named[7322]: max open files (1024) is smaller than max sockets (4096)
Oct  9 13:31:11 master23 named[7322]: using default UDP/IPv4 port range: [1024, 65535]
Oct  9 13:31:11 master23 named[7322]: using default UDP/IPv6 port range: [1024, 65535]
Oct  9 13:31:11 master23 named[7322]: listening on IPv6 interfaces, port 7777
Oct  9 13:31:11 master23 kernel: [ 2973.627577] type=1400 audit(1255087869.865:388): avc:  denied  { name_bind } for  pid=7323 comm="named" src=7777 scontext=system_u:system_r:named_t:s0 tcontext=system_u:object_r:port_t:s0 tclass=tcp_socket
Oct  9 13:31:11 master23 named[7322]: listening on IPv4 interface lo, 127.0.0.1#7777
Oct  9 13:31:11 master23 named[7322]: listening on IPv4 interface eth0, 10.200.4.23#7777
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 0.IN-ADDR.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 127.IN-ADDR.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 254.169.IN-ADDR.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: D.F.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 8.E.F.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 9.E.F.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: A.E.F.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: B.E.F.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: command channel listening on 127.0.0.1#55555
Oct  9 13:31:12 master23 kernel: [ 2974.889785] named[7323]: segfault at 4414a428 ip 00007f4f41476650 sp 000000004084be40 error 4 in libldap_r-2.4.so.2.4.1[7f4f41449000+48000]
Comment 10 Daniel Hofmann univentionstaff 2009-10-09 11:49:21 CEST
Prinzipiell scheint SELinux aber zu funktionieren, mittels audit2allow können Rechte an Prozesse vergeben werden, das die "avc: denied"-Meldungen nicht mehr erscheinen. Keine Ahnung, wie aufwändig es wäre, die SE-Linux-Rechte so anzupassen, dass ein ucs-system im enforced-mode sich von außen gesehen genauso verhält wie ein System ohne SE-Linux.
Comment 11 Daniel Hofmann univentionstaff 2009-10-09 13:08:38 CEST
Alle 3 Paketsammlungen soweit funktionsfähig und für Einarbeitungswillige auch benutzbar.
Comment 12 Daniel Hofmann univentionstaff 2009-10-19 15:30:14 CEST
Pakete kvm, kvm-source nicht auf i386-DVD.
Für amd64 noch nicht geprüft.
Comment 13 Daniel Hofmann univentionstaff 2009-10-19 15:36:59 CEST
gefixt, zum status rückgängig machen
Comment 14 Daniel Hofmann univentionstaff 2009-10-19 15:37:29 CEST
Pakete alle in unmaintained, daher nicht auf dvd.
Comment 15 Stefan Gohmann univentionstaff 2009-12-21 08:50:08 CET
UCS 2.3 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".