Adott egy Raspberry pi3 B, raspbian buster
Rajta docker (Home Assistant, MQTT), + pihole.
Egyszer csak nem tudok sudo-t használni, segmentation fault-ot dob minden alkalommal
strace output itt, de nem nagyon tudom értelmezni : https://termbin.com/2pom
telepítsem újra vagy menthető?
- 733 megtekintés
Hozzászólások
Ha SD kártyán van az OS, érdemes file I/O hibára utaló jeleket keresni a kernellogban, illetve ellenőrizni a filerendszer állapotát, vagy akár csak a sudo csomag file-jainak integritását (dpkg -V sudo). Láttam már SBC-ken csodákat gyengélkedő SD kártyák miatt. (A Docker erősen igénybe veszi őket, ha a root azon van.)
- A hozzászóláshoz be kell jelentkezni
Én is SD hibára gondolnék első körben. Próbáld ki egy másikkal is.
Aláírás _Franko_ miatt törölve.
RIP Jákub.
neut @
- A hozzászóláshoz be kell jelentkezni
+1, ill a lentebbi javalkatokat meg tudja ugy is nezni a kollega hogy kiveszi a kartyat es egy kulso olvason keresztul eri el, ugy olvassa/ellenorzi.
- A hozzászóláshoz be kell jelentkezni
A sudoers file-ba belenéznék elsőként.
- A hozzászóláshoz be kell jelentkezni
Most nézem, hogy adott esetben tényleg eltörheti, ami vicces. Akkor egy "visudo -c" valóban ajánlott.
- A hozzászóláshoz be kell jelentkezni
Most nézem, hogy adott esetben tényleg eltörheti, ami vicces.
inkább ijesztő. Egy security tool config file parsolási hibát ne segfaulttal honoráljon, mert arról nehéz belátni gyorsan, hogy nem exploitolható.
- A hozzászóláshoz be kell jelentkezni
Nem fejeztem ki magam kellően, igazad van: ugyanerre gondoltam.
- A hozzászóláshoz be kell jelentkezni
nem lehet
pi@rpidocker:~ $ cat /etc/sudoers
cat: /etc/sudoers: Permission denied
pi@rpidocker:~ $ visudo -c
visudo: unable to open /etc/sudoers: Permission denied
- A hozzászóláshoz be kell jelentkezni
Normál userként nincs joga, sudo meg nem megy neki. :-P
- A hozzászóláshoz be kell jelentkezni
sdkartyat masik gepbe kell berakni es ott megnezni mi van a fajlban
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Ha van megfelelő OS-t futtató gépe :-P
- A hozzászóláshoz be kell jelentkezni
Ha más nem, live boot csak megoldható.
- A hozzászóláshoz be kell jelentkezni
Este tudom megpróbálni, most ez a DNS minden gépnek a házban.
- A hozzászóláshoz be kell jelentkezni
Ha a usere tagja a docker csoportnak, amit gyanítok, a Docker socketen keresztül elképzelhető, hogy tudna root shellhez jutni, ha alaptelepítésről van szó hardening nélkül. (Vannak rá konkrét útmutatók.)
- A hozzászóláshoz be kell jelentkezni
kb:
docker run -ti --rm -v /:/realroot ubuntu:18.04 bash
- A hozzászóláshoz be kell jelentkezni
Na ja... Faja kis dolog ez a docker - gyakorlatilag a docker csoporttagság az root jog mindenhez is...
- A hozzászóláshoz be kell jelentkezni
OFF
Ami azért tegyük hozzá, hogy erősen dokumentálva is van.
Nekem ezt egyébként a bekapcsolt selinux policy simán megfogta, bár valószínűleg a -v /:/realroot:Z megoldaná, csak nem bízom benne, hogy nem labelezi fel valami faszsággal az egész /-emet, ha kipróbálom :)
Illetve érdemes megszemlélni a podmant, ami azt állítja magáról, hogy alias docker=podman és jó lesz, daemonless megy, és egyébként megy rootless is, bár elnézve a listát a megy egy kicsit erős kifejezés még. Megyeget, mondjuk.
Illetve a minden jó lesz is egy kicsit erős, pl a volumeokat -- egyébként teljesen helyesen -- noexec mountolja defaultból, ami miatt valószínűleg a docker hubos random scriptnyelves konténerek, amik nagyrészt úgy kezdik, hogy mountold a kódodat és indítsd egy kicsit kevésbé lesznek boldogok.
ON
- A hozzászóláshoz be kell jelentkezni
Használom egy ideje rootless fejlesztői környezetben a libpodot, kellemes tapasztalataim vannak alapvetően, bár életre lehelni nem volt teljesen kézenfekvő. Egyre ritkábban kell Dockert indítanom - szemmel láthatóan minden podman és buildah release-zel egyre ritkábban.
- A hozzászóláshoz be kell jelentkezni
Nem bántani szeretném, nekem is szimpi projekt, csak amíg a listán olyanok vannak, hogy 1024 alatti portot nem tud bindelni, meg a resource limiteket silently ignorálja, ha nincs cgroups v2 (illetve az, hogy a doksi ezen részét nem frissítették, pedig azóta már van, mert feljebb írtak is róla) azok azt implikálják, hogy azért ez még nincs tejesen készen. Fejlesztés közben valószínűleg rendben van, nyilván ha kell, te is indítasz egy dockert, csak még prod readynek nem hangzik egy ilyen.
- A hozzászóláshoz be kell jelentkezni
Nem állította senki, hogy készen van - ha készen lesz, azt szerintem tudni fogjuk: akkor a CRI-O leváltja a Dockert az OpenShift alatt :)
- A hozzászóláshoz be kell jelentkezni
Ez természetes, hiszen a Docker célja éppen a biztonság növelése. (Aki nem érti pontosan ezt a logikát, annak ott az Alice csodaországban, a Kazohinia vagy a Pisti a vérzivatarban.)
- A hozzászóláshoz be kell jelentkezni
Kazohinia - ezért kösz, el fogom olvasni, nem hallottam még róla
- A hozzászóláshoz be kell jelentkezni
pi@rpidocker:~ $ docker run -ti --rm -v /:/realroot ubuntu:18.04 bash
docker: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?.
See 'docker run --help'.
Ez sem műxik
- A hozzászóláshoz be kell jelentkezni
Off: Ilyenkor gondolkodunk el azon, mi a csoda történhetett a su(1) nevű programmal, Lepsénynél harminc évvel ezelőtt még megvolt.
- A hozzászóláshoz be kell jelentkezni
Pölö. az, hogy a root-nak nem ismert a jelszava, mert telepítéskor kap egy random generált jelszót, és ezt a legtöbb esetben nem cserélik le valami ismert, de hasonlóan kacifántosra?
- A hozzászóláshoz be kell jelentkezni
Ugye-ugye, ahogy Murphy is mondja, a tapasztalat egyenesen arányos a tönkretett készülékek számával. Legközelebb majd erre is gondolunk.
- A hozzászóláshoz be kell jelentkezni
Tán Buguntu(alapú) rendszereknél van így, meg ha jól rémlik Raspbian esetében is... Persze a fene tudja - nekem minden telepített gépnél első dolgom egy masszív, de megjegyezhető root jelszót beállítani, ha a telepítő alapból nem kérdez rá :-)
- A hozzászóláshoz be kell jelentkezni
regen* a boot kozbeni fsck meghulyult ha volt a rootnak jelszava: hiaba volt beallitva "force yes" akkor is jelszot kert a helyreallitasnal
(* azota en nem szopatom magam, ha mindenkeppen root kell indulaskor akkor ott a recovey menu)
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Nem csak Linux van a világon...
- A hozzászóláshoz be kell jelentkezni
Mondjuk ez igaznak tűnik; csak nem egészen világos, hogy miért a boot-folyamat közepén kér jelszót a derék rendszer... Kérhetne pl. előtte. Vagy utána.
Szerk.: ja értem, ez csak a hiba esetére vonatkozik. Ez jogosnak tűnik: ha gond van, akkor inkább az intézkedjen, aki ért hozzá.
- A hozzászóláshoz be kell jelentkezni
Egy raklap fájlt nem talál a sudo, tutira fájlrendszerhiba.
READY.
▓
- A hozzászóláshoz be kell jelentkezni
Köszönöm a tippeket. A kártyát áttettem egy másik gépre, egy e2fsck után működik a sudo! 1orphaned inode volt...
Mindenesetre nem megnyugtató, csinálok egy backup imaget is.
- A hozzászóláshoz be kell jelentkezni
Én ebben az esetben a memóriára (is) gyanakodnék...
- A hozzászóláshoz be kell jelentkezni
Normalis SD kartya kell bele (Alirol gombokert lehet venni), valamint normalis tap! (utobbit is)
A tap nem annyira magatol ertetodo, de konnyen serul meg nelkule a flash, illetve hajlamos furan mukodni. (ja, es kelloen vastag tapkabel, de ez elegge egyertelmu)
A strange game. The only winning move is not to play. How about a nice game of chess?
- A hozzászóláshoz be kell jelentkezni
Kingston 16GB, 3A-s táppal, direkt emiatt vettem külön, mert korábban volt ilyen probléma.
- A hozzászóláshoz be kell jelentkezni
Akkor oke. Nalam ezzel a kettovel volt eddig gond, amiota lecsereltem, 0 problema van vele. (bar ez korabbi Pi)
A strange game. The only winning move is not to play. How about a nice game of chess?
- A hozzászóláshoz be kell jelentkezni
Sajnos a Kingston márkanév ebben az esetben nem jelent pozitívumot. Nekem 1 pusztult rpi-ben, 1 pedig GoPro-ban miközben durvább usecase mellett a Samsung évek óta megy (a konkrét darab GoPro-ban kezdte, majd rpi2, most rpi3).
- A hozzászóláshoz be kell jelentkezni