апдейты, grub, cmdline, readonly
День добрый! Вчера поставил апдейты для своего testing/sid неглядя, а сегодня загрузил машину - а у неё / смонтирован с ro. Раньше такое случалось только в случае каких-то проблем, но сейчас пол часа убил на то, чтобы найти - ничего не нашел. только systemd ругался на отдельный /usr (так работало со времен прихода системд в тестинг). Ковырялся, ковырялся, да решил заглянуть в cmdline в grubcfg. а там: linux/vmlinuz-3.16-1-amd64 root=UUID=49186394-3adc-49fd-b955-ec1bc3f84469 ro radeon.modeset=1 quiet init=/bin/systemd и всё бы хорошо, я бы поудалял ручками все ro из строчек, да вот только это поможет до следующего апдейта ядра/драйверов, когда grub снова сгенерирует свой конфиг. Посему хотелось бы выяснить, кто и зачем добавляет ro в cmdline. Идеи?
Re: апдейты, grub, cmdline, readonly
ro там уже очень давно. Обычно / после загрузки переходит в rw. Вот кто его переводит - затрудняюсь ответить. 19.09.2014 11:23, Anton Stratonnikov пишет: День добрый! Вчера поставил апдейты для своего testing/sid неглядя, а сегодня загрузил машину - а у неё / смонтирован с ro. Раньше такое случалось только в случае каких-то проблем, но сейчас пол часа убил на то, чтобы найти - ничего не нашел. только systemd ругался на отдельный /usr (так работало со времен прихода системд в тестинг). Ковырялся, ковырялся, да решил заглянуть в cmdline в grubcfg. а там: linux/vmlinuz-3.16-1-amd64 root=UUID=49186394-3adc-49fd-b955-ec1bc3f84469 ro radeon.modeset=1 quiet init=/bin/systemd и всё бы хорошо, я бы поудалял ручками все ro из строчек, да вот только это поможет до следующего апдейта ядра/драйверов, когда grub снова сгенерирует свой конфиг. Посему хотелось бы выяснить, кто и зачем добавляет ro в cmdline. Идеи? -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: апдейты, grub, cmdline, readonly
On Fri, Sep 19, 2014 at 11:30:03AM +0400, Mikhail A Antonov wrote: ro там уже очень давно. Обычно / после загрузки переходит в rw. Вот кто его переводит - затрудняюсь ответить. /etc/init.d/checkroot.sh -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140919073951.gk20...@protva.ru
Re: апдейты, grub, cmdline, readonly
19.09.2014 11:23, Anton Stratonnikov пишет: День добрый! Вчера поставил апдейты для своего testing/sid неглядя, а сегодня загрузил машину - а у неё / смонтирован с ro. Раньше такое случалось только в случае каких-то проблем, но сейчас пол часа убил на то, чтобы найти - ничего не нашел. только systemd ругался на отдельный /usr (так работало со времен прихода системд в тестинг). Ковырялся, ковырялся, да решил заглянуть в cmdline в grubcfg. а там: linux/vmlinuz-3.16-1-amd64 root=UUID=49186394-3adc-49fd-b955-ec1bc3f84469 ro radeon.modeset=1 quiet init=/bin/systemd и всё бы хорошо, я бы поудалял ручками все ro из строчек, да вот только это поможет до следующего апдейта ядра/драйверов, когда grub снова сгенерирует свой конфиг. Посему хотелось бы выяснить, кто и зачем добавляет ro в cmdline. Идеи? Гм. Погорячился. на работающей тачке с подобным cmdline корен смонтирован с rw. Сравнил с тамошним логом, да, видимо, ситуация такая: изначально корень монтируется в ro всегда, потом уже, когда система подзагружается systemd перемонтирует его в rw, вместе с остальными фс. однако в моём случае (с отдельным /usr) он отваливается, не перемонтируя rootfs: сен 19 11:08:32 billiclp kernel: EXT4-fs (sda1): re-mounted. Opts: commit=600,discard,errors=remount-ro сен 19 11:08:32 billiclp systemd-remount-fs[256]: mount: /usr not mounted or bad option сен 19 11:08:32 billiclp systemd-remount-fs[256]: /bin/mount for /usr exited with exit status 32. сен 19 11:08:32 billiclp systemd[1]: systemd-remount-fs.service: main process exited, code=exited, status=1/FAILURE сен 19 11:08:32 billiclp systemd[1]: Failed to start Remount Root and Kernel File Systems. сен 19 11:08:32 billiclp systemd[1]: Unit systemd-remount-fs.service entered failed state. видать, сюда и надо копать. Есть предложения на тему того, что с этим сделать и как? неужто придётся делать встроенный /usr?
Re: апдейты, grub, cmdline, readonly
On Fri, Sep 19, 2014 at 11:36:16AM +0400, Anton Stratonnikov wrote: видать, сюда и надо копать. Есть предложения на тему того, что с этим сделать и как? неужто придётся делать встроенный /usr? Upgrade to lvm2 ≥ 2.02.104-1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140919084554.gb2...@nano.ioffe.rssi.ru
Re: апдейты, grub, cmdline, readonly
Доброго времени суток, Anton. В Fri, 19 Sep 2014 11:36:16 +0400 вы писали: видать, сюда и надо копать. Есть предложения на тему того, что с этим сделать и как? неужто придётся делать встроенный /usr? Быть может сменить порядок монтирования? Хорошо бы проверить диск, систему на наличие ошибок. С уважением, Ста. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140919235510.67665078@STNset
Re: апдейты, grub, cmdline, readonly
19.09.2014 12:45, Иван Лох пишет: On Fri, Sep 19, 2014 at 11:36:16AM +0400, Anton Stratonnikov wrote: видать, сюда и надо копать. Есть предложения на тему того, что с этим сделать и как? неужто придётся делать встроенный /usr? Upgrade to lvm2 ≥ 2.02.104-1 Пакет: lvm2 Состояние: не установлен такие дела. в гугле я этот баг тоже видел, да. спасибо. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/541c7fc7.2010...@yandex.ru
Re: апдейты, grub, cmdline, readonly
19.09.2014 20:55, Ста Деюс пишет: Доброго времени суток, Anton. В Fri, 19 Sep 2014 11:36:16 +0400 вы писали: видать, сюда и надо копать. Есть предложения на тему того, что с этим сделать и как? неужто придётся делать встроенный /usr? Быть может сменить порядок монтирования? Хорошо бы проверить диск, систему на наличие ошибок. С уважением, Ста. Может быть, но в журнале нет ничего на эту тему, вроде... прогоню fsck ближе к ночи. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/541c8029.8040...@yandex.ru
[DONE] wml://security/20{12/dsa-2463,02/dsa-118,06/dsa-1156,08/dsa-1598,11/dsa-2185,00/20001130,04/dsa-573,05/dsa-834,06/dsa-1162,04/dsa-606,05/dsa-664}.wml
Cheers! Lev Lamberov --- english/security/2000/20001130.wml 2005-05-04 00:37:06.0 +0200 +++ russian/security/2000/20001130.wml 2014-09-19 16:32:02.972824825 +0200 @@ -1,12 +1,14 @@ -define-tag moreinfoColin Phipps found an interesting symlink attack problem -in fsh (a tool to quickly run remote commands over rsh/ssh/lsh). When fshd -starts it creates a directory in /tmp to hold its sockets. It tries to do that -securely by checking if it can chown that directory if it already exists to -check if it is owned by the user invoking it. However an attacker can -circumvent this check by inserting a symlink to a file that is owned by the -user who runs fshd and replacing that with a directory just before fshd creates -the socket./define-tag -define-tag descriptionsymlink attack/define-tag +#use wml::debian::translation-check translation=1.4 MAINTAINER=Lev Lamberov +define-tag moreinfoКолин Филиппс обнаружил интересную атаку через символические ссылки в +fsh (инструменте для быстрого запуска удалённых команд через rsh/ssh/lsh). Когда запускается fshd, +то она создаёт каталог в /tmp для хранения сокетов. Служба пытается делать это +безопасно, проверяя, может ли она изменить владельца этого каталога в случае, если он уже существует, +и проверяет, является ли владельцем запустивший службу пользователь. Тем не менее, злоумышленник +может обойти эту проверку, вставив символическую ссылку в файлы, владельцем которого +является пользователь, запустивший fshd, и заменив его каталогом для того момента как +fshd создаст сокет./define-tag +define-tag descriptionатака через символические ссылки/define-tag # do not modify the following line #include '$(ENGLISHDIR)/security/2000/20001130.data' + --- english/security/2002/dsa-118.wml 2002-03-05 19:41:00.0 +0100 +++ russian/security/2002/dsa-118.wml 2014-09-19 16:20:26.992856285 +0200 @@ -1,17 +1,19 @@ -define-tag descriptioninsecure temporary files/define-tag +#use wml::debian::translation-check translation=1.1 MAINTAINER=Lev Lamberov +define-tag descriptionнебезопасные временные файлы/define-tag define-tag moreinfo -pTim Waugh found several insecure uses of temporary files in the xsane -program, which is used for scanning. This was fixed for Debian/stable -by moving those files into a securely created directory within the -/tmp directory./p +pТип Вауг обнаружил небезопасное использование временных файлов в программе +xsane, которая используется для сканирования. Эта проблема была исправлена в Debian/stable +путём перемещения этих файлов в создаваемый безопасным способом подкаталог +каталога /tmp./p -pThis problem has been fixed in version 0.50-5.1 for the stable Debian -distribution and in version 0.84-0.1 for the testing and unstable -distribution of Debian./p +pЭта проблема была исправлена в версии 0.50-5.1 для стабильного выпуска Debian +и в версии 0.84-0.1 для тестируемого и нестабильного +выпусков Debian./p -pWe recommend that you upgrade your xsane package./p +pРекомендуется обновить пакет xsane./p /define-tag # do not modify the following line #include $(ENGLISHDIR)/security/2002/dsa-118.data # $Id: dsa-118.wml,v 1.1 2002/03/05 18:41:00 joey Exp $ + --- english/security/2004/dsa-573.wml 2004-10-21 16:18:26.0 +0200 +++ russian/security/2004/dsa-573.wml 2014-09-19 16:34:33.752818009 +0200 @@ -1,18 +1,20 @@ -define-tag descriptioninteger overflows/define-tag +#use wml::debian::translation-check translation=1.1 MAINTAINER=Lev Lamberov +define-tag descriptionпереполнение целых числе/define-tag define-tag moreinfo -pChris Evans discovered several integer overflows in xpdf, that are -also present in CUPS, the Common UNIX Printing System, which can be -exploited remotely by a specially crafted PDF document./p +pКрис Эванс обнаружил несколько переполнений буфера в xpdf, которые присутствуют и в +CUPS, системе печати Common UNIX Printing System, которые могут +использоваться удалённо путём создания специально сформированного документа в формате PDF./p -pFor the stable distribution (woody) these problems have been fixed in -version 1.1.14-5woody10./p +pВ стабильном выпуске (woody) эти проблемы были исправлены в +версии 1.1.14-5woody10./p -pFor the unstable distribution (sid) these problems have been fixed in -version 1.1.20final+rc1-10./p +pВ нестабильном выпуске (sid) эти проблемы были исправлены в +версии 1.1.20final+rc1-10./p -pWe recommend that you upgrade your CUPS packages./p +pРекомендуется обновить пакеты CUPS./p /define-tag # do not modify the following line #include $(ENGLISHDIR)/security/2004/dsa-573.data # $Id: dsa-573.wml,v 1.1 2004/10/21 14:18:26 joey Exp $ + --- english/security/2004/dsa-606.wml 2004-12-08 08:55:01.0 +0100 +++ russian/security/2004/dsa-606.wml 2014-09-19 16:44:14.904791740 +0200 @@ -1,18 +1,20 @@ -define-tag descriptionwrong signal handler/define-tag +#use wml::debian::translation-check translation=1.1 MAINTAINER=Lev Lamberov +define-tag descriptionнеправильный обработчик