<p>poudriere는 감옥에서 일하지 않는다</p>

에 만든 2014년 09월 18일 · 8코멘트 · 출처: freebsd/poudriere

감옥 내에서 poudriere 대량을 시작하는 것은 불가능합니다.

# poudriere bulk -f /usr/local/etc/poudriere.d/ports-lists/Kunden-Ports -j Kunden

[00:00:00] ====>> Creating the reference jail... done
[00:01:04] ====>> Mounting system devices for Kunden-default
[00:01:04] ====>> Mounting ports/packages/distfiles
[00:01:04] ====>> Using packages from previously failed build
[00:01:04] ====>> Mounting packages from: /poudriere/data/packages/Kunden-default
[00:01:04] ====>> Mounting /var/db/ports from: /usr/local/etc/poudriere.d/Kunden-options
[00:01:04] ====>> Appending to make.conf: /usr/local/etc/poudriere.d/Kunden-make.conf
/etc/resolv.conf -> /poudriere/data/.m/Kunden-default/ref/etc/resolv.conf
[00:01:04] ====>> Starting jail Kunden-default
jail: jail_set: Operation not permitted
[00:01:04] ====>> Cleaning up
[00:01:04] ====>> Umounting file systems

최대한 위키 항목을 따랐지만 ZFS는 사용하지 않습니다. 따라서 감옥에 대한 내 FreeBSD 10 구성은 다음과 같습니다.

poudriere {
  path="/usr/local/jail/poudriere";
  host.hostname="poudriere";
  ip6.addr="2a01:4f8:150:50a5::12/64";
        persist;
        children.max=99;
        allow.mount;
        allow.mount.devfs;
        allow.mount.procfs;
        allow.mount.zfs;
        allow.mount.nullfs;
        allow.mount.tmpfs;
        allow.raw_sockets;
        allow.socket_af;
        allow.sysvipc;
        allow.chflags;
        mount.devfs;
        enforce_statfs=1; 
  interface=re0;
  exec.start = "/bin/sh /etc/rc";
  exec.stop = "/bin/sh /etc/rc.shutdown";

}

오류 메시지는 감옥 내에 감옥을 만들 수 없음을 나타냅니다. 그러므로 나는 그것을 수동으로 시도했다 - 나는 jail-poudriere 안에 감옥을 만들 수 없다.

IPv6이 있는 경우 추가 테스트를 위해 감옥에 액세스할 수 있습니다.

Code_Defect Imported bug

출처

bapt

가장 유용한 댓글

이번 호에서 설명하는 문제는 Poudriere가 아니라 FreeBSD 감옥의 설계와 관련이 있습니다.

문제/오류

[00:00:00] ====>> Creating the reference jail... done
[00:00:04] ====>> Mounting system devices for 10-1R_amd64-default
[00:00:04] ====>> Mounting ports/packages/distfiles
[00:00:04] ====>> Using packages from previously failed build
[00:00:04] ====>> Mounting packages from: /poudriere/data/packages/10-1R_amd64-default
[00:00:04] ====>> Appending to make.conf: /usr/local/etc/poudriere.d/10-1R_amd64-make.conf
/etc/resolv.conf -> /poudriere/data/.m/10-1R_amd64-default/ref/etc/resolv.conf
[00:00:04] ====>> Starting jail 10-1R_amd64-default
jail: jail_set: Operation not permitted
[00:00:04] ====>> Cleaning up
[00:00:04] ====>> Umounting file systems

설명

man jail :

Jailed 프로세스는 자신보다 더 큰 권한을 부여할 수 없습니다.
예를 들어, allow.nomount를 사용하여 감옥을 만든 경우
allow.mount가 설정된 감옥을 만들 수 없습니다. 유사하게, 그러한
ip4.addr 및 securelevel과 같은 제한은 자식에서 우회할 수 없습니다.
감옥.

따라서 IP 주소 127.0.0.1 및 ::1 를 정의해야 합니다.
loopback 인터페이스 lo0 슈퍼 감옥 시스템(Poudriere 감옥). 다른 IP 주소도 마찬가지입니다. 슈퍼 감옥에 대해 설정된 계층적 감옥에만 IP를 사용할 수 있습니다.

테스트(10.1-STABLE에서)

실행하면 위에서 설명한 오류가 발생합니다.

# jail -c persist 'name=10-1R_amd64-default' \ 
'path=/poudriere/data/.m/10-1R_amd64-default/ref' \ 
'host.hostname=10-1R_amd64-default' \ 
'ip4.addr=127.0.0.1'  'ip6.addr=::1' \ 
allow.socket_af allow.raw_sockets allow.chflags allow.sysvipc

아래 코드를 실행하면 문제 없이 진행됩니다.
'ip4.addr=127.0.0.1' 'ip6.addr=::1' 매개변수가 제거됨):

# jail -c persist 'name=10-1R_amd64-default' \ 
'path=/poudriere/data/.m/10-1R_amd64-default/ref' \ 
'host.hostname=10-1R_amd64-default' \ 
allow.socket_af allow.raw_sockets allow.chflags allow.sysvipc

라인에서 ${network} 변수를 제거하여 테스트를 재현할 수 있습니다.
/usr/local/share/poudriere/common.sh 중 252

솔루션( `ezjail` 에만 해당하지만 `/etc/jail.conf` 에도 동일한 방법을 적용할 수 있음)

127.0.0.1,::1 를 감옥 IP 목록에 추가합니다.
/usr/local/etc/ezjail/myjail_example_org :

export jail_myjail_example_org_ip="em0|192.168.3.6,lo0|127.0.0.1,lo0|::1"

gynter 에 2015년 06월 03일

👍2

모든 8 댓글

아마도 'ip4' 항목이 없어서 실패했을 것입니다. 'poudriere -x bulk ... 2>log'를 실행하고 로그 파일을 업로드하거나 내가 볼 수 있는 위치에 호스팅할 수 있습니까?

bapt 에 2014년 09월 18일

여기에서 로그를 볼 수 있습니다.
http://pkg.toco-domains.de/poudriere-in-jail-error.log

"ip4=inherit;ip6=inherit;"으로 제안을 시도했습니다. 맞습니다. 이 옵션을 설정하면 작동합니다. :)

bapt 에 2014년 09월 18일

"작동"이란 다음을 의미합니다.
오류 메시지가 사라졌습니다. 사용할 IPv4 주소가 없기 때문에 포트 구축을 테스트할 수 없습니다. poudriere가 포트를 가져오지 못합니다. IPv4를 통해 강제로 다운로드하는 것 같습니까?

bapt 에 2014년 09월 18일

로그를 보고 있습니다. 다음 줄에서 오류가 발생합니다.

jail -c persist name=Kunden-default path=/poudriere/data/.m/Kunden-default/ref host.hostname=Kunden-default ip4.addr=127.0.0.1 ip6.addr=::1 allow.socket_af allow.raw_sockets allow.chflags allow.sysvipc

행을 다음과 같이 변경하는 경우:

jail -c persist name=Kunden-default path=/mnt/ host.hostname=Kunden-default ip6.addr=2a01:4f8:150:50a5::12 allow.socket_af allow.raw_sockets allow.chflags allow.sysvipc

감옥이 성공적으로 생성되었습니다. 또한 나는 그것으로 일할 수 있습니다. 이게 도움이 되길 바란다.

모든 작업에 감사드립니다 :)

bapt 에 2014년 09월 18일

하드코딩된 IPv6 주소를 설정한 후 포트 구축이 시작됩니다.

그러나 pkg-package를 컴파일한 직후에 중지됩니다. 에러 메시지:

=== 시작 ===

====> 매뉴얼 페이지 압축(compress-man)

========================= ===> pkg-1.3.5.1용 패키지 빌드
pkg-static: "/var/run/ld-elf.so.hints"를 열 수 없음: 해당 파일이나 디렉터리가 없습니다.
*** 오류 코드 1

멈추다.
make[1]: /usr/ports/ports-mgmt/pkg에서 중지됨
*** 오류 코드 1

멈추다.
make: /usr/ports/ports-mgmt/pkg에서 중지됨
====>> wrkdir 정리
===> pkg-1.3.5.1 청소
/usr/ports/ports-mgmt/pkg 빌드가 2014년 8월 11일 월 08:35:21 UTC에 종료됨
빌드 시간: 00:00:30
!!! 빌드 실패가 발생했습니다!!!
[ root@poudriere /]# ls -lah /var/run/ld-elf.so.hints

=== 끝 ===

파일이 존재합니다.

ls -lah /var/run/ld-elf.so.hints

-r--r--r-- 1 루트 휠 199B 8월 6일 13:58 /var/run/ld-elf.so.hints

그래서 나는 그것이 올바르게 복사되지 않았다고 생각합니까?

bapt 에 2014년 09월 18일

디버깅 후 엘프 힌트에 문제가 있음을 발견했습니다. 참조 감옥을 만들 때 감옥에 대한 경로는 복사에 사용됩니다.

제 경우에는 /usr/local/jail/poudriere/var/run -> 이며 이 경로는 감옥 내에서 존재하지 않았습니다.
저를 위한 해결 방법으로 /var/run의 복사를 하드코딩했습니다. 이것은 작동하는 것 같습니다 :)

bapt 에 2014년 09월 18일

이번 호에서 설명하는 문제는 Poudriere가 아니라 FreeBSD 감옥의 설계와 관련이 있습니다.

문제/오류

[00:00:00] ====>> Creating the reference jail... done
[00:00:04] ====>> Mounting system devices for 10-1R_amd64-default
[00:00:04] ====>> Mounting ports/packages/distfiles
[00:00:04] ====>> Using packages from previously failed build
[00:00:04] ====>> Mounting packages from: /poudriere/data/packages/10-1R_amd64-default
[00:00:04] ====>> Appending to make.conf: /usr/local/etc/poudriere.d/10-1R_amd64-make.conf
/etc/resolv.conf -> /poudriere/data/.m/10-1R_amd64-default/ref/etc/resolv.conf
[00:00:04] ====>> Starting jail 10-1R_amd64-default
jail: jail_set: Operation not permitted
[00:00:04] ====>> Cleaning up
[00:00:04] ====>> Umounting file systems

설명

man jail :

Jailed 프로세스는 자신보다 더 큰 권한을 부여할 수 없습니다.
예를 들어, allow.nomount를 사용하여 감옥을 만든 경우
allow.mount가 설정된 감옥을 만들 수 없습니다. 유사하게, 그러한
ip4.addr 및 securelevel과 같은 제한은 자식에서 우회할 수 없습니다.
감옥.

테스트(10.1-STABLE에서)

실행하면 위에서 설명한 오류가 발생합니다.

# jail -c persist 'name=10-1R_amd64-default' \ 
'path=/poudriere/data/.m/10-1R_amd64-default/ref' \ 
'host.hostname=10-1R_amd64-default' \ 
'ip4.addr=127.0.0.1'  'ip6.addr=::1' \ 
allow.socket_af allow.raw_sockets allow.chflags allow.sysvipc

아래 코드를 실행하면 문제 없이 진행됩니다.
'ip4.addr=127.0.0.1' 'ip6.addr=::1' 매개변수가 제거됨):

# jail -c persist 'name=10-1R_amd64-default' \ 
'path=/poudriere/data/.m/10-1R_amd64-default/ref' \ 
'host.hostname=10-1R_amd64-default' \ 
allow.socket_af allow.raw_sockets allow.chflags allow.sysvipc

라인에서 ${network} 변수를 제거하여 테스트를 재현할 수 있습니다.
/usr/local/share/poudriere/common.sh 중 252

솔루션( `ezjail` 에만 해당하지만 `/etc/jail.conf` 에도 동일한 방법을 적용할 수 있음)

127.0.0.1,::1 를 감옥 IP 목록에 추가합니다.
/usr/local/etc/ezjail/myjail_example_org :

export jail_myjail_example_org_ip="em0|192.168.3.6,lo0|127.0.0.1,lo0|::1"

gynter 에 2015년 06월 03일

👍2

슈퍼 오래된 버그가 박살났습니다!

c756e1822013a763c8a5e4ccee273794bd182e11도 도움이 됩니다.

bdrewery 에 2017년 06월 15일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

<p>poudriere는 감옥에서 일하지 않는다</p>

가장 유용한 댓글

문제/오류

설명

테스트(10.1-STABLE에서)

솔루션( ezjail 에만 해당하지만 /etc/jail.conf 에도 동일한 방법을 적용할 수 있음)

모든 8 댓글

====> 매뉴얼 페이지 압축(compress-man)

ls -lah /var/run/ld-elf.so.hints

문제/오류

설명

테스트(10.1-STABLE에서)

솔루션( ezjail 에만 해당하지만 /etc/jail.conf 에도 동일한 방법을 적용할 수 있음)

관련 문제

솔루션( `ezjail` 에만 해당하지만 `/etc/jail.conf` 에도 동일한 방법을 적용할 수 있음)

솔루션( `ezjail` 에만 해당하지만 `/etc/jail.conf` 에도 동일한 방법을 적용할 수 있음)