Die Pakete sollten aus Lenny importiert und gebaut werden.
Alle drei Paket-Sammlungen sind im UCS 2.3 Scope gebaut und ließen sich instellieren, Changelog ist vorhanden.
Bitte ein UCS-2.3-KVM-Wirtssystem aufsetzen und nach Möglichkeit ein UCS 2.3 als KVM-Gast installieren. Bei Asterisk und SELinux sollten ebenfalls einem einfachen Funktionstest unterzogen werden.
Asterisk scheint soweit auch zu funktionieren.
noch zu Asterisk: der Daemon läuft, das Log enthält keine kritischen Fehlermeldungen, der Dialplan lässt sich problemlos anzeigen, Testanrufe an ael-demo haben funktioniert.
Created attachment 1885 [details] oops zu kvm: master23xen2:/ # apt-get install kvm qemu master23xen2:/ # qemu-img create -f qcow2 hda.img 10G master23xen2:/ # kvm -m 512 -hda hda.img -cdrom ucs_2.3-0-kernel2.6.30-latest-i386.iso -boot d Installer startet, frägt die üblichen Fragen .. irgendwann im nichtinteraktiven Teil tritt dann der angehängt OOPS auf.
ucs_2.3-0-kernel2.6.30-20091008094841-dvd-i386.iso war das latest.iso
Mit ucs_2.3-0-kernel2.6.26-20091008132339-dvd-i386.iso als Gast läuft die Installation komplett durch, das Installierte System lässt sich booten, gdm erscheint brav, Administrator kann sich einloggen und in kde rumspielen. Standardmäßig vergibt kvm an seine Gäste ein Netzwerkinterface, das den Gast nach außen kommunizieren lassen können sollte, ohne aber selbst von außen erreichbar sein, außer über explizite Portweiterleitungen an den Wirt mittels der -redir-Option, was für den ssh-Port aber leider nicht auf die Schnelle dieses Tests funktioniert hat.
zu SELinux: Nach der Anleitung unter http://wiki.debian.org/SELinux/Setup lies sich der permissive Mode mit der default-policy problemlos aktivieren. Dabei werden eigentlich verbotene Dinge nur ins syslog geschrieben, aber trotzdem noch zugelassen. Ein Aufruf von univention-directory-manager im Browser führt dann bspw. zu den Meldungen: Oct 9 13:27:50 master23 kernel: [ 2773.302482] type=1400 audit(1255087669.336:373): avc: denied { create } for pid=7041 comm="python2.4" name="48e9616b0220331f70825305169c2707.socket" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_tmp_t:s0 tclass=sock_file Oct 9 13:27:53 master23 kernel: [ 2774.549380] type=1400 audit(1255087670.584:374): avc: denied { write } for pid=3778 comm="syslogd" path="/dev/xconsole" dev=tmpfs ino=10891 scontext=system_u:system_r:syslogd_t:s0 tcontext=system_u:object_r:home_root_t:s0 tclass=fifo_file Oct 9 13:27:53 master23 kernel: [ 2775.815190] type=1400 audit(1255087671.848:375): avc: denied { write } for pid=4523 comm="apache2" name="48e9616b0220331f70825305169c2707.socket" dev=dm-0 ino=219190 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_tmp_t:s0 tclass=sock_file Oct 9 13:27:55 master23 kernel: [ 2777.818164] type=1400 audit(1255087673.856:376): avc: denied { getattr } for pid=4523 comm="apache2" path="/tmp/webui/48e9616b0220331f70825305169c2707.socket" dev=dm-0 ino=219190 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_tmp_t:s0 tclass=sock_file was wohl letztlich bedeutet, dass z.B. udm im "enforcing"-Mode von SELinux nicht mehr funktionieren würde.
Ein weiteres Problem ist der named, der regelmäßig für folgende Sequenz im syslog verantwortlich ist: Oct 9 13:31:09 master23 named[7322]: starting BIND 9.5.1-P1 -c /etc/bind/named.conf -p 7777 -u bind -f Oct 9 13:31:09 master23 named[7322]: found 1 CPU, using 1 worker thread Oct 9 13:31:09 master23 named[7322]: using up to 4096 sockets Oct 9 13:31:11 master23 named[7322]: loading configuration from '/etc/bind/named.conf' Oct 9 13:31:11 master23 named[7322]: max open files (1024) is smaller than max sockets (4096) Oct 9 13:31:11 master23 named[7322]: using default UDP/IPv4 port range: [1024, 65535] Oct 9 13:31:11 master23 named[7322]: using default UDP/IPv6 port range: [1024, 65535] Oct 9 13:31:11 master23 named[7322]: listening on IPv6 interfaces, port 7777 Oct 9 13:31:11 master23 kernel: [ 2973.627577] type=1400 audit(1255087869.865:388): avc: denied { name_bind } for pid=7323 comm="named" src=7777 scontext=system_u:system_r:named_t:s0 tcontext=system_u:object_r:port_t:s0 tclass=tcp_socket Oct 9 13:31:11 master23 named[7322]: listening on IPv4 interface lo, 127.0.0.1#7777 Oct 9 13:31:11 master23 named[7322]: listening on IPv4 interface eth0, 10.200.4.23#7777 Oct 9 13:31:11 master23 named[7322]: automatic empty zone: 0.IN-ADDR.ARPA Oct 9 13:31:11 master23 named[7322]: automatic empty zone: 127.IN-ADDR.ARPA Oct 9 13:31:11 master23 named[7322]: automatic empty zone: 254.169.IN-ADDR.ARPA Oct 9 13:31:11 master23 named[7322]: automatic empty zone: 2.0.192.IN-ADDR.ARPA Oct 9 13:31:11 master23 named[7322]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA Oct 9 13:31:11 master23 named[7322]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA Oct 9 13:31:11 master23 named[7322]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA Oct 9 13:31:11 master23 named[7322]: automatic empty zone: D.F.IP6.ARPA Oct 9 13:31:11 master23 named[7322]: automatic empty zone: 8.E.F.IP6.ARPA Oct 9 13:31:11 master23 named[7322]: automatic empty zone: 9.E.F.IP6.ARPA Oct 9 13:31:11 master23 named[7322]: automatic empty zone: A.E.F.IP6.ARPA Oct 9 13:31:11 master23 named[7322]: automatic empty zone: B.E.F.IP6.ARPA Oct 9 13:31:11 master23 named[7322]: command channel listening on 127.0.0.1#55555 Oct 9 13:31:12 master23 kernel: [ 2974.889785] named[7323]: segfault at 4414a428 ip 00007f4f41476650 sp 000000004084be40 error 4 in libldap_r-2.4.so.2.4.1[7f4f41449000+48000]
Prinzipiell scheint SELinux aber zu funktionieren, mittels audit2allow können Rechte an Prozesse vergeben werden, das die "avc: denied"-Meldungen nicht mehr erscheinen. Keine Ahnung, wie aufwändig es wäre, die SE-Linux-Rechte so anzupassen, dass ein ucs-system im enforced-mode sich von außen gesehen genauso verhält wie ein System ohne SE-Linux.
Alle 3 Paketsammlungen soweit funktionsfähig und für Einarbeitungswillige auch benutzbar.
Pakete kvm, kvm-source nicht auf i386-DVD. Für amd64 noch nicht geprüft.
gefixt, zum status rückgängig machen
Pakete alle in unmaintained, daher nicht auf dvd.
UCS 2.3 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".