LXC: Calculate vs Gentoo. Не работает логин.

0

2

Пытаюсь тут поставить Calculate в LXC-контейнер. Всё прекрасно, но ни в какую не работает логин. Ни с консоли, ни с ssh. Ни от рута, ни от юзера. Ни простым логином, ни автоматическим. В логах ничего нет. Авторизация по ssh-ключу не работает.

Есть Gentoo-контейнер, прекрасно работающий.

Перенос всех настроек с Gentoo, как конфига LXC, так и конфигов в /etc контейнера ни к чему не приводит. По-прежнему, если логиниться вручную, то просто без вопросов перебрасывает на запрос логина, если автоматом, то выдаёт «Доступ запрещен», если по ssh, то «Connection to caldev.lxc closed.»

Похоже, что что-то с PAM. Конфиги PAM все такие же, как в работающем контейнере Gentoo. Версия PAM такая же. Переустанавливал и pam, и shadow. В /dev все ноды — копия из контейнера gentoo. Идентификаторы юзеров совпадают.

Не понимаю! :) Куда ещё смотреть?

Ссылка

←	IPIP туннелирование. Проксирование трафика с eth интерфейса на туннельный интерфейс

Медленная авторизация

→

запустить контейнер через lxc-start -l DEBUG -n ...

Может что на консоли будет интересное.

Дурацкий вопрос - залогиниться с консоли это lxc-console -n ... ?

А в контейнере syslog есть ? Может что в логах интересное есть ?

Может что-то с lxc.cgroup.devices слишком ограничено или с lxc.cap.drop ?

vel ★★★★★
(09.09.13 22:12:51 MSK)

Ответ на: комментарий от vel 09.09.13 22:12:51 MSK

запустить контейнер через lxc-start -l DEBUG -n ...

В stderr пусто.

Дурацкий вопрос - залогиниться с консоли это lxc-console -n ... ?

Имеется в виду вход в консоль после lxc-start. С автологином или без него. Плюс, как я отмечал, ещё, по ssh тоже не пускает. При чём проверку пароля явно проходит — нет характерной паузы, как при вводе неверного пароля.

А в контейнере syslog есть ? Может что в логах интересное есть ?

В контейнере, в calculate «из коробки» сислога нет. Установлен metalog, судя по отчёту init-скриптов запускается, но в /var/log — пусто. Даже нет никаких отчётов от sshd, хотя должны быть.

Может что-то с lxc.cgroup.devices слишком ограничено или с lxc.cap.drop ?

Настройки точно скопированы с работающего контейнера с Gentoo. Ну и с других работающих контейнеров с Ubuntu пробовал один-в-один переносить.

~~KRoN73~~ ★★★★★
(10.09.13 01:05:03 MSK) автор топика

Ссылка

Куда ещё смотреть?

Может быть, selinux?

Также я бы попробовал включить debug сообщения pam: http://serverfault.com/questions/249671/switch-on-pam-debugging-to-syslog

router ★★★★★
(10.09.13 01:38:19 MSK)
Последнее исправление: router 10.09.13 01:44:50 MSK (всего исправлений: 1)

Ответ на: комментарий от router 10.09.13 01:38:19 MSK

Может быть, selinux?

Вроде, в Calculate по дефолту ничего от него нет.

~~KRoN73~~ ★★★★★
(10.09.13 01:44:56 MSK) автор топика

Ссылка

Ответ на: комментарий от router 10.09.13 01:38:19 MSK

Также я бы попробовал включить debug сообщения pam

Не получилось включить. Дописал «debug» ко всем .so — никакой разницы. В логах пусто. Вообще, такое подозрение, что и логи не пишутся из-за проблем с безопасностью. В /var/log контейнера обновляются только dmesg, tallylog, lastlog, rc.log и wtmp. В rc.log пусто, в lastlog только факт логина (прописывается).

~~KRoN73~~ ★★★★★
(10.09.13 02:05:41 MSK) автор топика

Ссылка

Собственно, как и предполагал, что-то не так в pam. Вместо metalog поставил syslog-ng. Получил на старте:

syslog-ng        | * Starting syslog-ng ...
syslog-ng        | * start-stop-daemon: pam error: Permission denied
syslog-ng        | * start-stop-daemon: failed to start `/usr/sbin/syslog-ng'
syslog-ng        | * Failed to start syslog-ng

~~KRoN73~~ ★★★★★
(10.09.13 02:45:14 MSK) автор топика

Ссылка

Ладно, ну его нафиг, этот calculate. Всё равно основной части нужных пакетов там в бинарном виде нет, а собирается на современном железе всё шустро… :) Так что нехай будет Gentoo в коробочке…

Времени на попытку оживить calculate в lxc угрохал сегодня раз в пять больше, чем потребовалось бы на установку чистой Gentoo :)

~~KRoN73~~ ★★★★★
(10.09.13 03:34:01 MSK) автор топика
Последнее исправление: KRoN73 10.09.13 03:34:41 MSK (всего исправлений: 1)

Ответ на: комментарий от KRoN73 10.09.13 03:34:01 MSK

И то, подцепил портеж к хостовой машине — и готово:

Total: 176 packages (1 upgrade, 174 new, 1 reinstall, 164 binaries), Size of downloads: 0 kB

~~KRoN73~~ ★★★★★
(10.09.13 04:30:45 MSK) автор топика

19 августа 2015 г.

Ответ на: комментарий от KRoN73 10.09.13 04:30:45 MSK

Извиняюсь за некропостинг, а как решена проблема?

У меня аналогичная проблема, появилась после перехода с 3.19.3 на 4.1.5. Никаких контейнеров нет, просто обычный десктоп. Гружусь со старым ядром - все ок. С новым - после успешного ввода логина и пароля снова предложение ввести логин и пароль. При неправильном логине и пароле появляется соответствующая ошибка. Когда снова гружусь со старым ядром, дата последнего входа совпадает с датой попытки входа с нового ядра. Пробовал войти под root - то же самое.

Это все происходит в tty до старта иксов и п т.д. Где посмотреть логи? pam\pambase не установлен, без него на старом ядре все работает.

anonymous
(19.08.15 15:45:08 MSK)

Ответ на: комментарий от anonymous 19.08.15 15:45:08 MSK

Про Calculate в LXC-контейнере уже точно не помню, но, может, так и не решил этот вопрос. Одно время использовал в контейнере чистую Gentoo, но потом забросил за ненадобностью. Сейчас все контейнеры — Ubuntu.

~~KRoN73~~ ★★★★★
(19.08.15 16:06:29 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	IPIP туннелирование. Проксирование трафика с eth интерфейса на туннельный интерфейс

Admin

Медленная авторизация

→

Похожие темы