Tâche #35981
Scénario #35927: EOLE 2.10 : mettre à niveau la génération du conteneur addc
Problèmes de montages non autorisés par apparmor dans les conteneurs
100%
Révisions associées
Suppression du service ntpdate non fonctionnel.
Ref #35981
Suppression du service ntpdate non fonctionnel.
Ref #35981
Le service ntpdate n’existe plus (le programme non plus).
Ref #35981
Historique
#1 Mis à jour par Benjamin Bohard il y a 11 jours
- Sujet changé de lenteur sur les connexions SSH à Problèmes de montages non autorisés par apparmor dans les conteneurs.
La lenteur de l’établissement des connexions ssh est lié aux problèmes de montage dans le conteneur également rencontrés sur le module AmonEcole (https://dev-eole.ac-dijon.fr/issues/35952). Le même contournement peut-être adopté pour le conteneur addc sur le Scribe.
#2 Mis à jour par Benjamin Bohard il y a 11 jours
systemctl list-units -t service --failed UNIT LOAD ACTIVE SUB DESCRIPTION ● apparmor.service loaded failed failed Load AppArmor profiles ● console-getty.service loaded failed failed Console Getty ● eoleflask.service loaded failed failed Eole flask server ● gpm.service loaded failed failed Console Mouse manager ● man-db.service loaded failed failed Daily man-db regeneration ● netplan-wait-online.service loaded failed failed Wait for Network to be Configured by Netplan ● networking.service loaded failed failed Raise network interfaces ● ntpdate.service loaded failed failed Force synchronisation of time ● rc-local.service loaded failed failed /etc/rc.local Compatibility ● snapd.failure.service loaded failed failed Failure handling of the snapd snap ● snapd.seeded.service loaded failed failed Wait until snapd is fully seeded ● snapd.service loaded failed failed Snap Daemon ● systemd-logind.service loaded failed failed User Login Management ● systemd-resolved.service loaded failed failed Network Name Resolution ● systemd-sysctl.service loaded failed failed Apply Kernel Variables ● systemd-tmpfiles-clean.service loaded failed failed Cleanup of Temporary Directories ● systemd-tmpfiles-setup-dev-early.service loaded failed failed Create Static Device Nodes in /dev gracefully ● systemd-tmpfiles-setup-dev.service loaded failed failed Create Static Device Nodes in /dev ● systemd-tmpfiles-setup.service loaded failed failed Create Volatile Files and Directories ● vnstat.service loaded failed failed vnStat network traffic monitor
#3 Mis à jour par Benjamin Bohard il y a 11 jours
Pour les services pas encore rencontrés sur les conteneurs du module AmonEcole :
apparmor¶
à conserver ?
juin 19 10:17:45 addc apparmor.systemd[210]: /sbin/apparmor_parser : impossible de remplacer << virtiofsd >>. /sbin/apparmor_parser: Access denied. > juin 19 10:17:45 addc apparmor.systemd[213]: /sbin/apparmor_parser : impossible de remplacer << wpcom >>. /sbin/apparmor_parser: Access denied. You > juin 19 10:17:45 addc apparmor.systemd[211]: /sbin/apparmor_parser : impossible de remplacer << vivaldi-bin >>. /sbin/apparmor_parser: Access denied> juin 19 10:17:45 addc apparmor.systemd[212]: /sbin/apparmor_parser : impossible de remplacer << vpnns >>. /sbin/apparmor_parser: Access denied. You > juin 19 10:17:46 addc apparmor.systemd[200]: /sbin/apparmor_parser : impossible de remplacer << apt_methods >>. /sbin/apparmor_parser: Access denied> juin 19 10:17:46 addc apparmor.systemd[200]: /sbin/apparmor_parser : impossible de remplacer << ubuntu_pro_esm_cache >>. /sbin/apparmor_parser: Acce> juin 19 10:17:46 addc apparmor.systemd[66]: Error: At least one profile failed to load
eoleflask¶
à conserver ?
juin 19 10:17:47 addc (gunicorn)[526]: eoleflask.service: Failed to set up mount namespacing: Permission denied
plocate-updadb
juin 19 11:49:00 addc (.plocate)[1471]: plocate-updatedb.service: Failed to set up mount namespacing: Permission denied
gpm¶
à conserver ?
juin 19 10:17:46 addc /usr/sbin/gpm[252]: O0o.oops(): [daemon/old_main.c(58)]: juin 19 10:17:46 addc /usr/sbin/gpm[252]: Could not open /dev/input/mice.
man-db¶
à conserver ?
netplan-wait-online
networking
juin 19 10:17:46 addc ifup[249]: /etc/network/if-up.d/resolved: line 18: return: can only `return' from a function or sourced script
juin 19 10:17:46 addc ifup[239]: run-parts: /etc/network/if-up.d/resolved exited with return code 2
juin 19 10:17:46 addc ifup[215]: ifup: failed to bring up lo
ntpdate¶
rc-local
juin 19 12:06:32 addc rc.local[1710]: setleds: Impossible de lire les drapeaux du clavier: Ioctl() inapproprié pour un périphérique
snapd.failure¶
à conserver ?
snapd.seeded¶
à conserver ?
juin 19 12:10:11 addc snapd[1947]: overlord.go:271: Acquiring state lock file juin 19 12:10:11 addc snapd[1947]: overlord.go:276: Acquired state lock file juin 19 12:10:11 addc snapd[1947]: daemon.go:247: started snapd/2.63+24.04 (series 16; classic) ubuntu/24.04 (amd64) linux/6.8.0-35-generic. juin 19 12:10:11 addc snapd[1947]: main.go:125: system does not fully support snapd: cannot mount squashfs image using "squashfs": mount: /tmp/syscheck-mountpoint-1607214127: montage échoué : Aucun fichier ou dossier de ce type. juin 19 12:10:11 addc snapd[1947]: daemon.go:340: adjusting startup timeout by 30s (pessimistic estimate of 30s plus 5s per snap) juin 19 12:10:11 addc snapd[1947]: backends.go:58: AppArmor status: apparmor is enabled and all features are available juin 19 12:10:11 addc snapd[1947]: cannot run daemon: state startup errors: [cannot reload snap-confine apparmor profile: cannot load apparmor profiles: exit status 243 juin 19 12:10:11 addc snapd[1947]: apparmor_parser output: juin 19 12:10:11 addc snapd[1947]: /usr/sbin/apparmor_parser : impossible de remplacer << mount-namespace-capture-helper >>. /usr/sbin/apparmor_parser: Access denied. You need policy admin privileges to manage profiles. juin 19 12:10:11 addc snapd[1947]: /usr/sbin/apparmor_parser : impossible de remplacer << /usr/lib/snapd/snap-confine >>. /usr/sbin/apparmor_parser: Access denied. You need policy admin privileges to manage profiles. juin 19 12:10:11 addc snapd[1947]: ]
snapd¶
à conserver ?
juin 19 12:12:41 addc snapd[2186]: overlord.go:271: Acquiring state lock file juin 19 12:12:41 addc snapd[2186]: overlord.go:276: Acquired state lock file juin 19 12:12:41 addc snapd[2186]: daemon.go:247: started snapd/2.63+24.04 (series 16; classic) ubuntu/24.04 (amd64) linux/6.8.0-35-generic. juin 19 12:12:41 addc snapd[2186]: main.go:125: system does not fully support snapd: cannot mount squashfs image using "squashfs": mount: /tmp/syscheck-mountpoint-1272922339: montage échoué : Aucun fichier ou dossier de ce type. juin 19 12:12:41 addc snapd[2186]: daemon.go:340: adjusting startup timeout by 30s (pessimistic estimate of 30s plus 5s per snap) juin 19 12:12:41 addc snapd[2186]: backends.go:58: AppArmor status: apparmor is enabled and all features are available juin 19 12:12:41 addc snapd[2186]: cannot run daemon: state startup errors: [cannot reload snap-confine apparmor profile: cannot load apparmor profiles: exit status 243 juin 19 12:12:41 addc snapd[2186]: apparmor_parser output: juin 19 12:12:41 addc snapd[2186]: /usr/sbin/apparmor_parser : impossible de remplacer << mount-namespace-capture-helper >>. /usr/sbin/apparmor_parser: Access denied. You need policy admin privileges to manage profiles. juin 19 12:12:41 addc snapd[2186]: /usr/sbin/apparmor_parser : impossible de remplacer << /usr/lib/snapd/snap-confine >>. /usr/sbin/apparmor_parser: Access denied. You need policy admin privileges to manage profiles. juin 19 12:12:41 addc snapd[2186]: ]
#4 Mis à jour par Benjamin Bohard il y a 10 jours
- Sujet changé de Problèmes de montages non autorisés par apparmor dans les conteneurs. à lenteur sur les connexions SSH
- Assigné à mis à Benjamin Bohard
#5 Mis à jour par Benjamin Bohard il y a 10 jours
- Statut changé de Nouveau à En cours
#6 Mis à jour par Benjamin Bohard il y a 10 jours
- Sujet changé de lenteur sur les connexions SSH à Problèmes de montages non autorisés par apparmor dans les conteneurs
#7 Mis à jour par Benjamin Bohard il y a 10 jours
- Assigné à
Benjamin Bohardsupprimé
Les services netplan* ont été supprimés dans le cadre de la tâche #36004.
Le service ntpdate n’est plus fonctionnel avec le remplacement de ntp par ntpsec.
Les autres services sont amenés en dépendance des paquets explicitement installés dans le conteneur. On pourrait envisager de revoir la liste de ces paquets voire de revoir la construction du conteneur addc du Scribe pour homogénéiser avec les autres conteneurs.
#8 Mis à jour par Benjamin Bohard il y a 5 jours
- Statut changé de En cours à À valider
- Assigné à mis à Benjamin Bohard
#9 Mis à jour par Laurent Gourvenec il y a 4 jours
- Statut changé de À valider à Résolu
- % réalisé changé de 0 à 100
#10 Mis à jour par Joël Cuissinat il y a 2 jours
- Statut changé de Résolu à En cours
Suite à la correction #36024, certains services ne sont plus dans le conteneur et une partie des contournement appliqués dans https://dev-eole.ac-dijon.fr/projects/eole-ad/repository/scribe-ad/revisions/f590b96ddd59c83849327f9ade5eeaa7bdc4eaa9/diff devrait être nettoyée.