Como faço para substituir o grsec?

Navegue suas respostas
2

Após uma reinicialização recentemente, tenho um par de servidores que agora não conseguem monitorar o status do disco. Nagios informa: 

HP RAID Array
UNKNOWN Error: No controllers detected. -/-/- (LD : [])

Eu recebo o mesmo erro ao executar a verificação manualmente no host. Quando faço isso, o log do kernel mostra o seguinte sempre que eu executo essa verificação manualmente: 

Apr  8 17:00:00 www.example.org kernel: [12345.000000] grsec: 
From 10.11.12.13: denied use of iopl() by /opt/hp/hpacucli
/hpacucli.bin[hpacucli.bin:666] uid/euid:0/0 gid/egid:0/0, parent 
/bin/bash[bash:777] uid/euid:0/0 gid/egid:0/]

hpacucli é a ferramenta usada para interagir com o controlador RAID de hardware e coletar coisas como o status do disco. Não é de surpreender que use iopl (). Os documentos do grsec sugerem que isso é governado por kernel.grsecurity.disable_priv_io , mas sysctl diz que a chave é desconhecida e não consigo definir também.

Existe uma maneira de alterar isso para permitir acesso hpacucli a iopl () sem dizer reconstruir para um kernel não-grsec?

    
por jldugger 08.04.2015 / 20:03

2 respostas

1

Você não deve usar hpacucli nos dias de hoje.
A ferramenta moderna correta é hpssacli .

Além disso, existem maneiras mais eficientes de verificar o status do controlador RAID de hardware. Qual OS / distribuição / versão você está executando? Você tem os outros agentes de gerenciamento instalados?

    
por 08.04.2015 / 21:37
0
Ironicamente, a razão pela qual isso funciona em nossos outros hosts HPres é que eles estão executando versões mais recentes do hpacucli, que aparentemente não usam iopl (). A atualização do hpacucli nesses hosts mais antigos resolveu o problema.

O mistério de como permitir seletivamente iopl () permanece. Talvez por outro dia.

    
por 08.04.2015 / 21:08

Tags

Várias filas de impressão para 1 impressora Rails + Nginx + Unicorn aumenta o tamanho dos dados de postagem (414 Request-URI Too Large)