Journal httpd + grsecutity

Posté par  .
Étiquettes :
0
9
juin
2004
bonjour à tous,

je suis stagiaire et répand la bonne parole dans mon entreprise mais j'ai besoin de vous pour impressionner mon patron demain (ou à défaut ne pas me faire taper ;-/ ).

j'ai fait des procédures d'installation de serveurs, le problème :
- si je recompile avec ma doc en patchant le noyau avec grsecurity (mode medium dans le xconfig), ça marche
- si j'installe avec ma doc sur un linux "tout frais" apache 2 et que je le configure en reverse proxy, ça marche aussi
=> si j'essaye d'installer apache 2 sur mon noyau patché grsec, j'ai pas d'erreur. c donc confiant que je lance /usr/local/apache2/bin/apachectl start et rien ne se lance (ps -aux | grep httpd => kedale!) sniff...

là je suis à genoux et j'implore le dieu du kernel car je pense que ça doit venir d'un correctif de grsecurity vu que j'ai suivi à la commande près la même procédure... j'ai beau chercher dans la doc, je vois pas lequel. une idée??

merci.

PS : sur http://grsecurity.org/(...) , plus de message comme quoi le projet est arrêté? quelqu'un a repris le flambeau?

  • # grsecuty

    Posté par  . Évalué à 3.

    Pour la reprise du projet, la réponse est là : http://grsecurity.org/news.php(...)

    Sinon pour ton problème, regarde les logs kernel. grsecurity explique généralement pour quelle raison il tue un processus.

    Pour finir, je ne pense pas que ça soit une bonne idée d'utiliser une des trois configs prédéfinies et qu'il vaut mieux se faire une config "aux petits oignons" suivant ses besoins.

  • # debug mode

    Posté par  (site web personnel) . Évalué à 5.

    pour Grsecurity, le developpeur a retrouvé des sponsors grâce à son appel - voir 2 journaux plus bas.

    Pour ton problème il est l'heure de passer en mode debug:
    strace /usr/local/apache2/bin/httpd

    Tester aussi apachectl configtest...

  • # Logs ?

    Posté par  . Évalué à 2.

    Si ca bloque a un endroit, tu as forcement une trace.
    -> check les errors logs apache
    -> les logs systemes
    et tu auras surement un indice qui te guidera vers la solution.

  • # suite

    Posté par  . Évalué à 1.

    merci pour vos réponses
    désolé pour la redondance avec le message grsec 2 crans en dessous...voilà ce que c'est de passer sa journée sur linuxfr, on pense même plus à actualiser :)

    ./apachectl configtest
    Syntax OK
    => donc c'est pas sur une erreur qu'il s'arrête

    ----
    strace /usr/local/apache2/bin/httpd
    => tout plein de trucs que je connais pas et dedans quelques trucs louches:

    connect(8, {sa_family=AF_UNIX, path="/var/run/.nscd_socket"}, 110) = -1 ENOENT (No such file or directory)

    write(2, "Configuration Failed\n", 21) = 21

    ---
    et dans les logs :
    => [Wed Jun 09 15:45:58 2004] [error] (38)Function not implemented: Cannot create SSLMutex
    Configuration Failed


    effectivement ça sent pas bon...
    je vais fouiner
    si vus avez d'autres idées je suis prenneur
    merci

    • [^] # Re: suite

      Posté par  . Évalué à 3.

      [Wed Jun 09 15:45:58 2004] [error] (38)Function not implemented: Cannot create SSLMutex Configuration Failed

      Verifie que ta glibc + kernel gerent bien les semaphores IPC SysV.

      De plus, tu peux eviter de passer par les IPC (en utilisant un fichier ou sans Mutex), meme si ce n'est pas la solution ideale.
      Lire la doc d'apache pour + d'info.

    • [^] # Re: suite

      Posté par  . Évalué à 3.

      Cannot create SSLMutex

      Je n'utilise pas grsecurity, mais j'ai eu cette même erreur récemment, et je m'en suis sorti avec cà :
      touch /var/log/httpd/ssl_mutex
      chmod 755 /var/log/httpd

  • # suite bis

    Posté par  . Évalué à 1.

    ultime test
    j'avais installé ma config d'apache sur un autre PC et ça marchait très bien
    j'ai recompilé avec grsecurity et idem, apache ne se lance plus!

    ?!

  • # C'est un peu hors sujet mais ...

    Posté par  . Évalué à 1.

    make xconfig ? sur un serveur ? gasp ...

    • [^] # Re: C'est un peu hors sujet mais ...

      Posté par  . Évalué à 1.

      bon ok, c'est pas un serveur debian en console
      c'est une redhat 9 avec serveur X. (la dernière que j'installe cela dit en passant)
      à ces erreurs génétiques près, ça devrait pas changer le résultat non? :)

  • # remarque

    Posté par  . Évalué à 1.

    toujours pas trouvé.

    j'avais installé le serveur apache de base à l'install de la redhat (bahh!).

    c'est pas celui-ci que j'utilise étant donné qu'il me fallait que certains modules DSO pour en faire un reverse proxy. donc j'ai compilé les sources avec uniquement ce dont j'avais besoin

    mais le serveur apache de base veut bien se lancer....donc ça semble écarter grsecurity + apache

    pourtant je suis sûr de ma procédure vu qu'elle tourne sur le linux sans grsec...
    n'importenawk!

  • # aucun rapport avec ce journal

    Posté par  . Évalué à 1.

    petit cachotier de lbw, tu campes encore + sur linuxfr que moi, & après tu viens dire que tu bosses :-P
    fait gaffe, tu va devenir accro à linux ;o)
    bon je retourne bosser^W^W^W^W^W^Wme bourrer la gueule ;o) vive les (pseudos-)vacances !!!

    • [^] # Re: aucun rapport avec ce journal

      Posté par  . Évalué à 1.

      regardes l'heure de mon message originel : ça s'appelle faire acte de présence comme tout "bon" employé....
      va te cuiter si ça t'amuses, perso j'ai reperé un coin sympa derrière une dune, les allemandes sont arrivées, c'est la news du jour ^^

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.