vitus_wagner (![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
vitus_wagner) wrote2015-03-24 04:47 pm
vitus_wagner) wrote2015-03-24 04:47 pm
Entry tags:
Пропоттеринга
А все-таки жаль что Поттеринга не затравили до самоубийства.
А то вот у меня тут в lxc контейнере jessie. Вдруг после перезагрузки хоста взял и перестал пускать.
На консоли пишет Cannot make/remove an entry for the specified session, а при заходе по ssh просто "connection closed".
При этом найти идиотские бинарные логи этого идиотского systemd из хост-системы не получается. Делаю chroot в контейнер, пытаюсь запустить эту якобы "жутко удобную" специутилиут journalctl, а она мне говорит "мужик, у тебы /proc не смонтирован". Впрочем, смонтировал её /proc, все равно ничего не нашла. Пришлось в этом chroot-е поставить sysvinit-core и rsyslog и перезапустить контейнер.
После этого появились нормальные текстовые логи, и зловредный pam_loginuid.so был уличен и казнен.
Впрочем подозреваю, что этот самый pam_loginuid который ставит на процесс некий расширенный атрибут (что почему-то не позволено делать из контейнера) - это тоже поттеринговское извращение.
Типа чтобы можно было корректно проаудитить процессы, запущенные юзером через su или sudo или процессы с suid-битом, и записать их на счет юзера.
Но блин, ставить это с session required по умолчанию (хотя аудит процессов нужен в одной системе из миллиона, поскольку остальные single-user), зная что в контейнерах это не работает...
А то вот у меня тут в lxc контейнере jessie. Вдруг после перезагрузки хоста взял и перестал пускать.
На консоли пишет Cannot make/remove an entry for the specified session, а при заходе по ssh просто "connection closed".
При этом найти идиотские бинарные логи этого идиотского systemd из хост-системы не получается. Делаю chroot в контейнер, пытаюсь запустить эту якобы "жутко удобную" специутилиут journalctl, а она мне говорит "мужик, у тебы /proc не смонтирован". Впрочем, смонтировал её /proc, все равно ничего не нашла. Пришлось в этом chroot-е поставить sysvinit-core и rsyslog и перезапустить контейнер.
После этого появились нормальные текстовые логи, и зловредный pam_loginuid.so был уличен и казнен.
Впрочем подозреваю, что этот самый pam_loginuid который ставит на процесс некий расширенный атрибут (что почему-то не позволено делать из контейнера) - это тоже поттеринговское извращение.
Типа чтобы можно было корректно проаудитить процессы, запущенные юзером через su или sudo или процессы с suid-битом, и записать их на счет юзера.
Но блин, ставить это с session required по умолчанию (хотя аудит процессов нужен в одной системе из миллиона, поскольку остальные single-user), зная что в контейнерах это не работает...