Fórumok
Adott egy Raspberry pi3 B, raspbian buster
Rajta docker (Home Assistant, MQTT), + pihole.
Egyszer csak nem tudok sudo-t használni, segmentation fault-ot dob minden alkalommal
strace output itt, de nem nagyon tudom értelmezni : https://termbin.com/2pom
telepítsem újra vagy menthető?
Hozzászólások
Ha SD kártyán van az OS, érdemes file I/O hibára utaló jeleket keresni a kernellogban, illetve ellenőrizni a filerendszer állapotát, vagy akár csak a sudo csomag file-jainak integritását (dpkg -V sudo). Láttam már SBC-ken csodákat gyengélkedő SD kártyák miatt. (A Docker erősen igénybe veszi őket, ha a root azon van.)
Én is SD hibára gondolnék első körben. Próbáld ki egy másikkal is.
Hivatásos pitiáner
neut @
+1, ill a lentebbi javalkatokat meg tudja ugy is nezni a kollega hogy kiveszi a kartyat es egy kulso olvason keresztul eri el, ugy olvassa/ellenorzi.
A sudoers file-ba belenéznék elsőként.
Most nézem, hogy adott esetben tényleg eltörheti, ami vicces. Akkor egy "visudo -c" valóban ajánlott.
inkább ijesztő. Egy security tool config file parsolási hibát ne segfaulttal honoráljon, mert arról nehéz belátni gyorsan, hogy nem exploitolható.
Nem fejeztem ki magam kellően, igazad van: ugyanerre gondoltam.
nem lehet
Normál userként nincs joga, sudo meg nem megy neki. :-P
sdkartyat masik gepbe kell berakni es ott megnezni mi van a fajlban
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
Ha van megfelelő OS-t futtató gépe :-P
Ha más nem, live boot csak megoldható.
Este tudom megpróbálni, most ez a DNS minden gépnek a házban.
Ha a usere tagja a docker csoportnak, amit gyanítok, a Docker socketen keresztül elképzelhető, hogy tudna root shellhez jutni, ha alaptelepítésről van szó hardening nélkül. (Vannak rá konkrét útmutatók.)
kb:
Na ja... Faja kis dolog ez a docker - gyakorlatilag a docker csoporttagság az root jog mindenhez is...
OFF
Ami azért tegyük hozzá, hogy erősen dokumentálva is van.
Nekem ezt egyébként a bekapcsolt selinux policy simán megfogta, bár valószínűleg a -v /:/realroot:Z megoldaná, csak nem bízom benne, hogy nem labelezi fel valami faszsággal az egész /-emet, ha kipróbálom :)
Illetve érdemes megszemlélni a podmant, ami azt állítja magáról, hogy alias docker=podman és jó lesz, daemonless megy, és egyébként megy rootless is, bár elnézve a listát a megy egy kicsit erős kifejezés még. Megyeget, mondjuk.
Illetve a minden jó lesz is egy kicsit erős, pl a volumeokat -- egyébként teljesen helyesen -- noexec mountolja defaultból, ami miatt valószínűleg a docker hubos random scriptnyelves konténerek, amik nagyrészt úgy kezdik, hogy mountold a kódodat és indítsd egy kicsit kevésbé lesznek boldogok.
ON
Használom egy ideje rootless fejlesztői környezetben a libpodot, kellemes tapasztalataim vannak alapvetően, bár életre lehelni nem volt teljesen kézenfekvő. Egyre ritkábban kell Dockert indítanom - szemmel láthatóan minden podman és buildah release-zel egyre ritkábban.
Nem bántani szeretném, nekem is szimpi projekt, csak amíg a listán olyanok vannak, hogy 1024 alatti portot nem tud bindelni, meg a resource limiteket silently ignorálja, ha nincs cgroups v2 (illetve az, hogy a doksi ezen részét nem frissítették, pedig azóta már van, mert feljebb írtak is róla) azok azt implikálják, hogy azért ez még nincs tejesen készen. Fejlesztés közben valószínűleg rendben van, nyilván ha kell, te is indítasz egy dockert, csak még prod readynek nem hangzik egy ilyen.
Nem állította senki, hogy készen van - ha készen lesz, azt szerintem tudni fogjuk: akkor a CRI-O leváltja a Dockert az OpenShift alatt :)
Ez természetes, hiszen a Docker célja éppen a biztonság növelése. (Aki nem érti pontosan ezt a logikát, annak ott az Alice csodaországban, a Kazohinia vagy a Pisti a vérzivatarban.)
Kazohinia - ezért kösz, el fogom olvasni, nem hallottam még róla
Ez sem műxik
Off: Ilyenkor gondolkodunk el azon, mi a csoda történhetett a su(1) nevű programmal,
Lepsénynélharminc évvel ezelőtt még megvolt.Pölö. az, hogy a root-nak nem ismert a jelszava, mert telepítéskor kap egy random generált jelszót, és ezt a legtöbb esetben nem cserélik le valami ismert, de hasonlóan kacifántosra?
Ugye-ugye, ahogy Murphy is mondja, a tapasztalat egyenesen arányos a tönkretett készülékek számával. Legközelebb majd erre is gondolunk.
Tán Buguntu(alapú) rendszereknél van így, meg ha jól rémlik Raspbian esetében is... Persze a fene tudja - nekem minden telepített gépnél első dolgom egy masszív, de megjegyezhető root jelszót beállítani, ha a telepítő alapból nem kérdez rá :-)
regen* a boot kozbeni fsck meghulyult ha volt a rootnak jelszava: hiaba volt beallitva "force yes" akkor is jelszot kert a helyreallitasnal
(* azota en nem szopatom magam, ha mindenkeppen root kell indulaskor akkor ott a recovey menu)
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
Nem csak Linux van a világon...
Mondjuk ez igaznak tűnik; csak nem egészen világos, hogy miért a boot-folyamat közepén kér jelszót a derék rendszer... Kérhetne pl. előtte. Vagy utána.
Szerk.: ja értem, ez csak a hiba esetére vonatkozik. Ez jogosnak tűnik: ha gond van, akkor inkább az intézkedjen, aki ért hozzá.
Egy raklap fájlt nem talál a sudo, tutira fájlrendszerhiba.
Köszönöm a tippeket. A kártyát áttettem egy másik gépre, egy e2fsck után működik a sudo! 1orphaned inode volt...
Mindenesetre nem megnyugtató, csinálok egy backup imaget is.
Én ebben az esetben a memóriára (is) gyanakodnék...
Normalis SD kartya kell bele (Alirol gombokert lehet venni), valamint normalis tap! (utobbit is)
A tap nem annyira magatol ertetodo, de konnyen serul meg nelkule a flash, illetve hajlamos furan mukodni. (ja, es kelloen vastag tapkabel, de ez elegge egyertelmu)
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin
Kingston 16GB, 3A-s táppal, direkt emiatt vettem külön, mert korábban volt ilyen probléma.
Akkor oke. Nalam ezzel a kettovel volt eddig gond, amiota lecsereltem, 0 problema van vele. (bar ez korabbi Pi)
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin
Sajnos a Kingston márkanév ebben az esetben nem jelent pozitívumot. Nekem 1 pusztult rpi-ben, 1 pedig GoPro-ban miközben durvább usecase mellett a Samsung évek óta megy (a konkrét darab GoPro-ban kezdte, majd rpi2, most rpi3).