Comment 1 Arvid Requate 2009-08-31 13:45:14 CEST

Alle drei Paket-Sammlungen sind im UCS 2.3 Scope gebaut und ließen sich instellieren, Changelog ist vorhanden.

Comment 2 Sönke Schwardt-Krummrich 2009-10-07 15:13:57 CEST

Bitte ein UCS-2.3-KVM-Wirtssystem aufsetzen und nach Möglichkeit ein UCS 2.3 als KVM-Gast installieren.

Bei Asterisk und SELinux sollten ebenfalls einem einfachen Funktionstest unterzogen werden.

Comment 3 Daniel Hofmann 2009-10-07 17:17:12 CEST

Asterisk scheint soweit auch zu funktionieren.

Comment 4 Daniel Hofmann 2009-10-07 17:27:43 CEST

noch zu Asterisk:
der Daemon läuft, das Log enthält keine kritischen Fehlermeldungen, der Dialplan lässt sich problemlos anzeigen, Testanrufe an ael-demo haben funktioniert.

Comment 5 Daniel Hofmann 2009-10-08 17:30:38 CEST

Created attachment 1885 [details]
oops

zu kvm:

master23xen2:/ # apt-get install kvm qemu
master23xen2:/ # qemu-img create -f qcow2 hda.img 10G
master23xen2:/ # kvm -m 512 -hda hda.img -cdrom ucs_2.3-0-kernel2.6.30-latest-i386.iso -boot d

Installer startet, frägt die üblichen Fragen .. irgendwann im nichtinteraktiven Teil tritt dann der angehängt OOPS auf.

Comment 6 Daniel Hofmann 2009-10-08 17:36:16 CEST

ucs_2.3-0-kernel2.6.30-20091008094841-dvd-i386.iso
war das latest.iso

Comment 7 Daniel Hofmann 2009-10-09 10:25:24 CEST

Mit ucs_2.3-0-kernel2.6.26-20091008132339-dvd-i386.iso als Gast läuft die Installation komplett durch, das Installierte System lässt sich booten, gdm erscheint brav, Administrator kann sich einloggen und in kde rumspielen.

Standardmäßig vergibt kvm an seine Gäste ein Netzwerkinterface, das den Gast nach außen kommunizieren lassen können sollte, ohne aber selbst von außen erreichbar sein, außer über explizite Portweiterleitungen an den Wirt mittels der -redir-Option, was für den ssh-Port aber leider nicht auf die Schnelle dieses Tests funktioniert hat.

Comment 8 Daniel Hofmann 2009-10-09 11:37:49 CEST

zu SELinux:

Nach der Anleitung unter http://wiki.debian.org/SELinux/Setup lies sich der
permissive Mode mit der default-policy problemlos aktivieren.

Dabei werden eigentlich verbotene Dinge nur ins syslog geschrieben, aber
trotzdem noch zugelassen.

Ein Aufruf von univention-directory-manager im Browser führt dann bspw. zu den
Meldungen:

Oct  9 13:27:50 master23 kernel: [ 2773.302482] type=1400
audit(1255087669.336:373): avc:  denied  { create } for  pid=7041
comm="python2.4" name="48e9616b0220331f70825305169c2707.socket"
scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_tmp_t:s0
tclass=sock_file
Oct  9 13:27:53 master23 kernel: [ 2774.549380] type=1400
audit(1255087670.584:374): avc:  denied  { write } for  pid=3778 comm="syslogd"
path="/dev/xconsole" dev=tmpfs ino=10891
scontext=system_u:system_r:syslogd_t:s0
tcontext=system_u:object_r:home_root_t:s0 tclass=fifo_file
Oct  9 13:27:53 master23 kernel: [ 2775.815190] type=1400
audit(1255087671.848:375): avc:  denied  { write } for  pid=4523 comm="apache2"
name="48e9616b0220331f70825305169c2707.socket" dev=dm-0 ino=219190
scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_tmp_t:s0
tclass=sock_file
Oct  9 13:27:55 master23 kernel: [ 2777.818164] type=1400
audit(1255087673.856:376): avc:  denied  { getattr } for  pid=4523
comm="apache2" path="/tmp/webui/48e9616b0220331f70825305169c2707.socket"
dev=dm-0 ino=219190 scontext=system_u:system_r:httpd_t:s0
tcontext=system_u:object_r:httpd_tmp_t:s0 tclass=sock_file

was wohl letztlich bedeutet, dass z.B. udm im "enforcing"-Mode von SELinux
nicht mehr funktionieren würde.

Comment 9 Daniel Hofmann 2009-10-09 11:43:34 CEST

Ein weiteres Problem ist der named, der regelmäßig für folgende Sequenz im syslog verantwortlich ist:

Oct  9 13:31:09 master23 named[7322]: starting BIND 9.5.1-P1 -c /etc/bind/named.conf -p 7777 -u bind -f
Oct  9 13:31:09 master23 named[7322]: found 1 CPU, using 1 worker thread
Oct  9 13:31:09 master23 named[7322]: using up to 4096 sockets
Oct  9 13:31:11 master23 named[7322]: loading configuration from '/etc/bind/named.conf'
Oct  9 13:31:11 master23 named[7322]: max open files (1024) is smaller than max sockets (4096)
Oct  9 13:31:11 master23 named[7322]: using default UDP/IPv4 port range: [1024, 65535]
Oct  9 13:31:11 master23 named[7322]: using default UDP/IPv6 port range: [1024, 65535]
Oct  9 13:31:11 master23 named[7322]: listening on IPv6 interfaces, port 7777
Oct  9 13:31:11 master23 kernel: [ 2973.627577] type=1400 audit(1255087869.865:388): avc:  denied  { name_bind } for  pid=7323 comm="named" src=7777 scontext=system_u:system_r:named_t:s0 tcontext=system_u:object_r:port_t:s0 tclass=tcp_socket
Oct  9 13:31:11 master23 named[7322]: listening on IPv4 interface lo, 127.0.0.1#7777
Oct  9 13:31:11 master23 named[7322]: listening on IPv4 interface eth0, 10.200.4.23#7777
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 0.IN-ADDR.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 127.IN-ADDR.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 254.169.IN-ADDR.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: D.F.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 8.E.F.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: 9.E.F.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: A.E.F.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: automatic empty zone: B.E.F.IP6.ARPA
Oct  9 13:31:11 master23 named[7322]: command channel listening on 127.0.0.1#55555
Oct  9 13:31:12 master23 kernel: [ 2974.889785] named[7323]: segfault at 4414a428 ip 00007f4f41476650 sp 000000004084be40 error 4 in libldap_r-2.4.so.2.4.1[7f4f41449000+48000]

Comment 10 Daniel Hofmann 2009-10-09 11:49:21 CEST

Prinzipiell scheint SELinux aber zu funktionieren, mittels audit2allow können Rechte an Prozesse vergeben werden, das die "avc: denied"-Meldungen nicht mehr erscheinen. Keine Ahnung, wie aufwändig es wäre, die SE-Linux-Rechte so anzupassen, dass ein ucs-system im enforced-mode sich von außen gesehen genauso verhält wie ein System ohne SE-Linux.

Comment 11 Daniel Hofmann 2009-10-09 13:08:38 CEST

Alle 3 Paketsammlungen soweit funktionsfähig und für Einarbeitungswillige auch benutzbar.

Comment 12 Daniel Hofmann 2009-10-19 15:30:14 CEST

Pakete kvm, kvm-source nicht auf i386-DVD.
Für amd64 noch nicht geprüft.

Comment 13 Daniel Hofmann 2009-10-19 15:36:59 CEST

gefixt, zum status rückgängig machen

Comment 14 Daniel Hofmann 2009-10-19 15:37:29 CEST

Pakete alle in unmaintained, daher nicht auf dvd.

Comment 15 Stefan Gohmann 2009-12-21 08:50:08 CET

UCS 2.3 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".