blog.oxynux.org - Tag - servers and networking

Grsec & grub-probe (update-grub failing)

Benjamin Collet — Sun, 07 Dec 2008 08:48:00 +0100

If you have a grsec-patched kernel and PaX is enabled, update-grub is failing, witch is a little bit annoying:

8:45 root@sloane ~# update-grub                              
Searching for GRUB installation directory ... found: /boot/grub
zsh: exit 137   update-grub

After a little more in-depth look, the problem come from grub-probe not having the right PaX flags.

Default flags:

8:47 root@sloane ~# chpax -v /usr/sbin/grub-probe 

----[ chpax 0.7 : Current flags for /usr/sbin/grub-probe (PeMRxS) ]---- 

 * Paging based PAGE_EXEC       : enabled (overridden) 
 * Trampolines                  : not emulated 
 * mprotect()                   : restricted 
 * mmap() base                  : randomized 
 * ET_EXEC base                 : not randomized 
 * Segmentation based PAGE_EXEC : enabled

We need paging and segmentation based PAGE_EXEC to be disabled: chpax -ps /usr/sbin/grub-probe.

It should now work:

8:51 root@sloane ~# grub-probe --device-map=/boot/grub/device.map -t device /
/dev/md0

Grsec & snmpd

Benjamin Collet — Sun, 07 Dec 2008 08:04:00 +0100

With a grsec-patched kernel, only members of the specific group #112 are allowed to access /proc, but having the snmp user in grsec group is not enough, because snmpd doesn't set the groups the user belongs to properly. You can use the -g flag, but it will only change the owner group, and still won't set the groups to snmpd.

For instance, without setting the -g flag:

Gid:    0       0       0       0
Groups: 0

With -g 112:

Uid:    118    118    118    118
Gid:    112    112    112    112
Groups: 112

I wrote this quick&dirty little patch, to enable correct group attribution:

--- snmpd-orig/agent/snmpd.c        2007-07-19 23:01:43.000000000 +0200
+++ snmpd-patch/agent/snmpd.c       2008-11-17 15:02:04.000000000 +0100
@@ -960,7 +960,7 @@
         DEBUGMSGTL(("snmpd/main", "Changing gid to %d.\n", gid));
         if (setgid(gid) == -1
#ifdef HAVE_SETGROUPS
-            || setgroups(1, (gid_t *)&gid) == -1
+            || initgroups(getpwuid(uid)->pw_name, gid) == -1
#endif
             ) {
             snmp_log_perror("setgid failed");
@@ -970,6 +970,14 @@
             }
         }
     }
+    else if(initgroups(getpwuid(uid)->pw_name, getpwuid(uid)->pw_gid) == -1)
+    {
+      snmp_log_perror("initgroups failed");
+      if (!netsnmp_ds_get_boolean(NETSNMP_DS_APPLICATION_ID,
+    NETSNMP_DS_AGENT_NO_ROOT_ACCESS)) {
+          exit(1);
+      }
+    }
#endif
#ifdef HAVE_SETUID
     if ((uid = netsnmp_ds_get_int(NETSNMP_DS_APPLICATION_ID,

Now I do have:

Uid:    118    118    118    118
Gid:    112    112    112    112
Groups: 112 65534

Kwain

Benjamin Collet — Fri, 13 Jun 2008 18:47:00 +0200

À peine le temps de se retourner et pouf, ça fait déjà plus d'un mois que j'ai rien mis ici...

Après un mois de révisions, rapports à rendre et une semaine de partiels lourdement chargée (12 partiels en une semaine, sortez la vaseline !), me voici enfin en vacances et je vais enfin pouvoir glander... Ah, on me souffle à l'oreillette que non, j'ai un programme chargé encore...

Tout d'abord, vendredi dernier, sitôt mon dernier jour d'épreuves terminé, je passe la soirée chez Douille pour son anniversaire, où j'ai pu revoir (entre autres) Dave, en stage chez Google à Zurich, et Mc2, de retour d'un semestre d'étude en Finlande. Une bonne soirée, bien huileuse (et les frittes et autres fritures n'en était pas la seule cause), où chacun y est allé de son flot de grasseté et d'inutilité (oui une capsule de bière tient très bien sur le front sans avoir besoin d'y ajouter un additif collant).

Le lendemain fut plus studieux, Sam et Dave nous avait concocté un petit évènement, avec le support de Google (oui, oui, ce Google) ; j'ai nommé le Google Code Camp. Le principe est simple, vous prenez une grande salle réservée pour une nuit, vous y mettez une tripotée de geeks avec leurs machines, vous les approvisionner en boissons et pizzas, et vous laissez mijoter. Sur la demande de Sam, j'ai fait une petite présentation de GnuPG, un logiciel cryptographique, et des notions connexes (réseau de confiance, etc...). Un article de cet évènement a même été publié dans Le Pays.

Photos de gauche et du milieu par Maxime Hadjinlian, photo de droite par Guillaume Revaillot.

Hier soir, sur proposition d'A6, je me retrouve à Besançon avec ce dernier et Colin pour un conert de Martin Solveig et Maroon 5, une bonne petite soirée avec de bons craquages. Seul petit regret : la moyenne d'âge des spectateurs, on se serait dit à la sortie d'un collège (bon j'exagère un peu), sinon à part ça c'était bien sympathique.

On va finir par une petite touche associative ; les problèmes de RAM de Valeska sont maintenant terminés. Des petits soucis de resynchronisation de la réplication MySQL sont venus noircir l'horizon lorsque l'on l'a faite revenir à la vie, mais en une heure et demi, c'était de nouveau opérationnel. Sinon, n'ayant pu travailler à plein régime pour l'équipe informatique ces derniers temps, la todo-list s'est vu s'agrandir assez violemment, je me suis donc fixé pour objectif d'ici la fin du mois d'aller plus vite que les demandes des utilisateurs et d'annihiler le travail en attente (tout un programme), en essayant de passer outre le fait d'avoir l'impression que personne n'apporte d'intérêt à votre travail.

Le moral ? On fait aller, des hauts et des bas, on y pense pas et ça roule !

Et une journée de merde, une

Benjamin Collet — Mon, 05 May 2008 19:26:00 +0200

On va dire que je fais encore mon raleur, mais tant pis....

Début d'après-midi, je vais au CRI de l'UTBM, pour diagnostiquer Valeska qui nous a relâché dimanche matin. Au bout d'une dizaine de minutes pendant laquelle la machine ne voulait pas démarrer, j'entend au milieu du brouhaha les beeps accusateurs d'un problème matériel. 1-4-2, c'est la séquence des beeps. Une visite de la doc du serveur plus loin, et je me rend compte que c'est la RAM qui est fautive.

Et c'est parti pour un dérackage pour ouvrir le ventre de la bête ; une barette de RAM de flinguée et deux autres qui génèrent des erreurs. On retire ça et on relance avec moins de RAM (sur 4 Go, on peut bien en retirer 1 Go temporairement). Le serveur est de nouveau en production.

Retour à la maison, je fais mon rapport d'incident, j'envoie un mail au revendeur du serveur pour faire jouer la garantie (d'un an).

Un peu plus tard, on fini de m'achever, avec une phrase sortie de but en blanc :

g un super mec a voir mai dsl c pa toi

Merci à mon ex pour cette super phrase qui me va droit au cœur comme un coup de poignard, je sors la tronche du trou, tu l'y remets à grands coups de talons.

Bonne fin de journée à vous !

Comme d'habitude...

Benjamin Collet — Thu, 01 May 2008 15:54:00 +0200

... j'arrête de bloguer pendant un moment, puis quand je me décide enfin à m'y mettre, j'ai trop de retard à rattraper, je vais donc parler des évennements récents. ^^

Ces derniers temps auront été chargés d'un point de vue associatif, entre les réunions incéssantes, parfois mouvementées (comme la réunion entre l'AE et le BDF), d'autres fois tout simplement stupides (passer une demi-heure à débattre sur un système d'organisation pour apprendre à la fin que ça sera uniquement utilisé pour faire un bête organigramme dans un livret quelconque).

Cette semaine, Sarah et moi avons installé le nouveau serveur de l'AE (Valeska), ce qui impliqua le transfert de tout le système et des données. Nous avons installé de la virtualisation (avec Xen) sur l'ancien serveur (Barty) afin de séparer la partie streaming (webradio et vidéo) de la partie sauvegarde du serveur principal. Le tout a été fait assez rapidement (coupure de production de 5h seulement !).

Sinon, hier soir un petite chouille "surprise" bien sympathique ; nous allions nous coucher quand une vieille saoule de co-loque (je ne nomerais pas Aurélia) rentre bien attaquée à la maison et décide de ne pas en rester là. Nous nous retrouvons donc, Aurélia, Sarah et moi, à boire un russe blanc dans le salon. Sur ces entrefaites Fleurda débarque, bientôt suivi par Fossa, Al Hop, Lebel, Chlem, Yruana et A6-Bross. Le tout dégénerant en chouille respectable à commité restreint qui se fit un devoir de finir le bar, tout en se lançant dans des débats suintant l'huile et le beurre, merci à sa Sainte Grasseté Fleurda, entrainnant bien souvent des qui-procos assez ridicules.

Ah ouais aussi, j'ai failli oublier une info concernant la Petite Sœur ; Aurélia, Fleurda et Sarah nous abandonnant lâchement, Romain, Kinji et ZapS vont aménager ici à la rentrée prochaine (enfin reaménager pour ZapS), donc bienvenue à eux.