[workaround] Gentoo LetsEncrypt Szegmentálási hiba

Gentoo

Sziasztok!

Van két gentoo, amit megörököltem. Az egyiken fent volt már a certbot, az megy is szépen. A másikra most kellene feltenni.
Emerge a "barátom", felkúszott minden függőséggel, de futás közben elszáll:


socket(PF_INET, SOCK_STREAM, IPPROTO_TCP) = 4
setsockopt(4, SOL_TCP, TCP_NODELAY, [1], 4) = 0
fcntl(4, F_GETFL) = 0x2 (flags O_RDWR)
fcntl(4, F_SETFL, O_RDWR) = 0
connect(4, {sa_family=AF_INET, sin_port=htons(443), sin_addr=inet_addr("104.103.97.15")}, 16) = 0
gettimeofday({1466015284, 800180}, NULL) = 0
stat("/etc/localtime", {st_mode=S_IFREG|0644, st_size=2405, ...}) = 0
fstat(12, {st_mode=S_IFCHR|0666, st_rdev=makedev(1, 9), ...}) = 0
read(12, "\2334\234r\264V; Q\255ned\324\347'", 16) = 16
fstat(12, {st_mode=S_IFCHR|0666, st_rdev=makedev(1, 9), ...}) = 0
read(12, "\273pj\303\216\226\36\377\374\34\256\215\7Z\260\344", 16) = 16
fstat(12, {st_mode=S_IFCHR|0666, st_rdev=makedev(1, 9), ...}) = 0
read(12, "\233\360\221\34vW\303,\227\337\310\214\245yT\372", 16) = 16
open("/proc/self/status", O_RDONLY) = 5
fstat(5, {st_mode=S_IFREG|0444, st_size=0, ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x6d666c076000
read(5, "Name:\tcertbot\nState:\tR (running)"..., 1024) = 768
close(5) = 0
munmap(0x6d666c076000, 4096) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = -1 EPERM (Operation not permitted)
--- SIGSEGV {si_signo=SIGSEGV, si_code=SEGV_MAPERR, si_addr=0} ---
+++ killed by SIGSEGV +++
Szegmentálási hiba

Ha interaktívan futtatom, akkor az emailcím bekérése után teszi ezt.
Mindkét gépen ugyanazon python verzió van fent.
Van esetleg valakinek ötlete? Gugli most nem volt a barátom sajnos. :(
Előre is köszönöm!

szerk.: gitből lehúzva is ugyanez az eredmény.

( tgerczei | 2016. 06. 15., sze – 21:45 )

Az mmap() EPERM-je szúr szemet, meg ez illetve ez is.
------------------------
{0} ok boto
boto ?

( Dacr (nem ellenőrzött) | 2016. 06. 15., sze – 23:48 )

Jun 15 23:25:34 serverA kernel: grsec: From xxx.xxx.xxx.xxx: denied RWX mmap of by /usr/lib64/python-exec/python2.7/certbot[certbot:9533] uid/euid:0/0 gid/egid:0/0, parent /bin/bash[bash:9527] uid/euid:0/0 gid/egid:0/0
Jun 15 23:25:35 serverA kernel: grsec: From xxx.xxx.xxx.xxx: denied RWX mmap of by /usr/lib64/python-exec/python2.7/certbot[certbot:9533] uid/euid:0/0 gid/egid:0/0, parent /bin/bash[bash:9527] uid/euid:0/0 gid/egid:0/0
Jun 15 23:25:35 serverA kernel: certbot[9533]: segfault at 0 ip 0000721f2a022245 sp 000074b40eab3dd0 error 6 in libffi.so.6.0.1[721f2a01c000+8000]
Jun 15 23:25:35 serverA kernel: grsec: From xxx.xxx.xxx.xxx: Segmentation fault occurred at (nil) in /usr/lib64/python-exec/python2.7/certbot[certbot:9533] uid/euid:0/0 gid/egid:0/0, parent /bin/bash[bash:9527] uid/euid:0/0 gid/egid:0/0
Jun 15 23:25:35 serverA kernel: grsec: From xxx.xxx.xxx.xxx: denied resource overstep by requesting 4096 for RLIMIT_CORE against limit 0 for /usr/lib64/python-exec/python2.7/certbot[certbot:9533] uid/euid:0/0 gid/egid:0/0, parent /bin/bash[bash:9527] uid/euid:0/0 gid/egid:0/0

No a grsec nekem kínai :(

A Python értelmezo" binárisával ugyanez megoldja (nem, csak megkerüli) ezt a problémád, de csak a certbot futtatása idejére kapcsold ki az mprotectet rajta átmenetileg! Még inkább használj másik LE klienst, vagy inkább ne használj!
------------------------
{0} ok boto
boto ?

Nagyon szívesen! :) Örülök, hogy tudtam segíteni. (Nálam a kézihajtányos megoldás nyert most az utóbbi weboldallal, mert eldobható VM-ekkel dolgozom, amiket Chef-fel generálok ki... szóval a certet kinyerem a CA-ból a fentebb linkelt weboldal segítségével, bedobom a Chef serverbe, és EOF.)
------------------------
{0} ok boto
boto ?