#780407 - netfilter-persistent: boot continues if netfilter-persistent fails - Debian Bug report logs
mardi 3 novembre 2015 à 23:16GuiGui's Show - Liens
Je confirme :
« sudo service netfilter-persistent restart
A dependency job for netfilter-persistent.service failed. See 'journalctl -xn' for details.
sudo journalctl -xn
-- Logs begin at lun. 2015-11-02 13:24:33 CET, end at mar. 2015-11-03 12:20:31 CET. --
nov. 03 12:20:13 porygon kernel: ipmi_si: Unable to find any System Interface(s)
nov. 03 12:20:13 porygon systemd-modules-load[30688]: Failed to insert 'ipmi_si': No such device
nov. 03 12:20:13 porygon systemd[1]: systemd-modules-load.service: main process exited, code=exited, status=1/FAILURE
nov. 03 12:20:13 porygon systemd[1]: Failed to start Load Kernel Modules.
-- Subject: L'unité (unit) systemd-modules-load.service a échoué
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- L'unité (unit) systemd-modules-load.service a échoué, avec le résultat failed.
nov. 03 12:20:13 porygon systemd[1]: Dependency failed for netfilter persistent configuration.
-- Subject: L'unité (unit) netfilter-persistent.service a échoué
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- L'unité (unit) netfilter-persistent.service a échoué, avec le résultat dependency. »
J'ai le package ipmitool installé pour accéder à des BMC de serveurs distants en cas de problème. Ce package fournit à la fois les outils clients mais aussi les outils "serveur" donc les modules pour que le noyau reconnaisse les BMC... Je n'ai pas de BMC sur mon laptop donc le chargement du module échoue. Donc systemd-module-load échoue et, par dépendance, n'active pas netfilter-persistent...
Je trouve ce comportement extrêmement dangereux : il suffit qu'un seul module ne se charge pas et pouf plus de pare-feu. Comme le signale le bugreport, quand j'installe ipmitool (ou cups dans le cas rapporté dans le bugreport), je ne m'attends pas à perdre mon firewall.
Workaround : blacklister le module ipmi_si dans /etc/modprobe.d/ mais ça ne résout pas le problème à la racine et ça peut péter à la gueule avec d'autres modules...
Solution : lire l'excellent post de Michael Campbell dans le bugreport : on veut « Wants », pas « Requires ». Ainsi, si un module conntrack foire, netfilter-persistent foirera et c'est bien normal. Si un autre module foire, netfilter-persistent ne foirera pas. Logique. J'ai donc appliqué ce fix.
Une autre solution serait que systemd-module-load soit un template. Ainsi, on aurait systemd-module-load@ipmi_si.service, systemd-module-load@uvcvideo.service,... Désactiver un module reviendrait à disable une unit. Solution parfaite pour systemd qui, par conception, veut tout remplacer dans notre système (init, syslog, fsck,...) : on remplacerait modprobe et sa blacklist. ;))))
(Permalink)
Je confirme :
« sudo service netfilter-persistent restart
A dependency job for netfilter-persistent.service failed. See 'journalctl -xn' for details.
sudo journalctl -xn
-- Logs begin at lun. 2015-11-02 13:24:33 CET, end at mar. 2015-11-03 12:20:31 CET. --
nov. 03 12:20:13 porygon kernel: ipmi_si: Unable to find any System Interface(s)
nov. 03 12:20:13 porygon systemd-modules-load[30688]: Failed to insert 'ipmi_si': No such device
nov. 03 12:20:13 porygon systemd[1]: systemd-modules-load.service: main process exited, code=exited, status=1/FAILURE
nov. 03 12:20:13 porygon systemd[1]: Failed to start Load Kernel Modules.
-- Subject: L'unité (unit) systemd-modules-load.service a échoué
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- L'unité (unit) systemd-modules-load.service a échoué, avec le résultat failed.
nov. 03 12:20:13 porygon systemd[1]: Dependency failed for netfilter persistent configuration.
-- Subject: L'unité (unit) netfilter-persistent.service a échoué
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- L'unité (unit) netfilter-persistent.service a échoué, avec le résultat dependency. »
J'ai le package ipmitool installé pour accéder à des BMC de serveurs distants en cas de problème. Ce package fournit à la fois les outils clients mais aussi les outils "serveur" donc les modules pour que le noyau reconnaisse les BMC... Je n'ai pas de BMC sur mon laptop donc le chargement du module échoue. Donc systemd-module-load échoue et, par dépendance, n'active pas netfilter-persistent...
Je trouve ce comportement extrêmement dangereux : il suffit qu'un seul module ne se charge pas et pouf plus de pare-feu. Comme le signale le bugreport, quand j'installe ipmitool (ou cups dans le cas rapporté dans le bugreport), je ne m'attends pas à perdre mon firewall.
Workaround : blacklister le module ipmi_si dans /etc/modprobe.d/ mais ça ne résout pas le problème à la racine et ça peut péter à la gueule avec d'autres modules...
Solution : lire l'excellent post de Michael Campbell dans le bugreport : on veut « Wants », pas « Requires ». Ainsi, si un module conntrack foire, netfilter-persistent foirera et c'est bien normal. Si un autre module foire, netfilter-persistent ne foirera pas. Logique. J'ai donc appliqué ce fix.
Une autre solution serait que systemd-module-load soit un template. Ainsi, on aurait systemd-module-load@ipmi_si.service, systemd-module-load@uvcvideo.service,... Désactiver un module reviendrait à disable une unit. Solution parfaite pour systemd qui, par conception, veut tout remplacer dans notre système (init, syslog, fsck,...) : on remplacerait modprobe et sa blacklist. ;))))
(Permalink)