Vlákno názorů k článku
Bizarní chyba v systemd od Kiwi - Celý systemd je ukázka toho, že navrhovat systémový...

Autor: (Opovažte se mi hrabat v mém profilu jako posledně! Místo toho opravte leakování jména a příjmení!)

OK - problém je, že místní šéfredaktor ani neví, co se mu děje na db a proč root pravidelně padá, ale tahle nahlášená chyba přijde na přetřes asi tak v příští pětiletce.

Já už z toho brečím smíchy, ono to zase leakuje někde nově? :D

Když se to hlásilo, ignorovali to, tak dal jsem si do jména a příjmení text chyby PHP Nette, aby je to donutilo najít chybu. Týdny / měsíce to nikdo neopravil, místo toho u mnou zasílaných zpráviček někdo potichu ručně upravoval autora, pokud měl(i) čas/náladu/ap. Když si to všiml nějaký návštěvník a nahlásil to v diskuzi, že u nějaké zprávičky to vyhazuje chybu do textu stránky, byla reakce takováto:

https://forum.root.cz/index.php?topic=12625.msg181278#msg181278

na což jsem reagoval:

https://forum.root.cz/index.php?topic=12625.msg181289#msg181289

takže se mi začali raději začali hrabat v mém profilu a nastavili mi do jména a příjmení místo textu té chyby "ByCzech".

Naivně jsem si myslel, že si to po tomhle incidentu, když šéfredaktor vytvořil na to ticket

https://forum.root.cz/index.php?topic=12625.msg181292#msg181292

že se to prostě opraví. A koukám, že není zájem. <ironie>Ale pravda, ono to bude za 6 dnů teprve 3/4 roku, takže času dost.</ironie>

Já nevím, kde to všude leakuje, tohle mám z emailu:


Upozornění na nový názor na serveru Root.cz



ke zprávičce Bizarní chyba v systemd
Datum: 4. 7. 2017 11:51
Autor: (Opovažte se mi hrabat v mém profilu jako posledně! Místo toho opravte leakování jména a příjmení!)


Je to absurdní, protože v emailu se zobrazuje něco jiného, než je vidět v hlavičce komentáře a to se zase liší v závislosti na tom, zda je člověk přihlášený či nikoliv.

Takže já jsem pro nepřihlášené vidět jako Heron, pro přihlášené jako Tomáš Crhonek a co chodí do emailů nevím. Ve foru se to chová obráceně, nebo prostě zcela jinak (možná podle toho, zda username obsahuje číslici).

Aha, takže do emaiu. To vědí (teprve :-D ) od 10.10.2016:

https://forum.root.cz/index.php?topic=12625.msg181301#msg181301

No tak vidíš, to je ještě příliš brzo na řešení. ;-)

si z nějakého důvodu vyberou nějaký software

Ty jsi placen za počet vyvolaných flame?

zajímala by někoho zprávička, že když root zadá, že chce spustit službu pod uživatelem @#!$, je příslušná hodnota ignorována, zapíše se varování do logu a použije se výchozí nastavení?

Ne nezajímala, protože evidentně všichni rádi používáme software, který si dělá co chce a ignoruje to, co mu někdo zadá. </ironie>

Panebože. Kdyby su -c command user ignorovalo user, tak je tu naprosto stejný flame.

Resp. ne, nebyl by stejný, chyběli by tady lidi, kteří by obhajovali, že je to správné chování...

Ty jsi placen za počet vyvolaných flame?
Netušil jsem, že to, že mají nenávidět Javu, Network Manager a teď systemd ti lidé dostávají příkazem.

Ne nezajímala, protože evidentně všichni rádi používáme software, který si dělá co chce a ignoruje to, co mu někdo zadá.
Opakovaně jsem tu vysvětloval, proč se to tak chová. Kdybys napsal, že ten důvod je špatný, protože je důležitější to a to, chápal bych to. Když se ale pořád tváříš, jako bys ten důvod vůbec neznal, znamená to, že buď reaguješ na komentáře, které nečteš, nebo jsi ten důvod vzal na vědomí a pochopil, ale nehodí se ti do krámu, tak se tváříš, že neexistuje.

Panebože. Kdyby su -c command user ignorovalo user, tak je tu naprosto stejný flame.
Když si vytvořím uživatele pojmenovaného 0 s UID=1000 a spustím su -c command 0, spustí se command pod uživatelem s UID=1000. Předpokládám, že bude následovat flame, jakeje to su špatné a nebezpečné, protože nedokáže rozlišit, zda má být UID=0 nebo login=0, a že je to tedy neuvěřitelně špatný program.

A když si vytvořím uživatele #0, tak mi sudo -i -u '#0' spustí shell pod rootem. Flame může začít…

Netušil jsem, že to, že mají nenávidět Javu, Network Manager a teď systemd ti lidé dostávají příkazem.

Zvýrazňoval jsem něco jiného. Opět se dostáváme do stavu, kdy překručuješ to, co někdo píše.

Opakovaně jsem tu vysvětloval, proč se to tak chová.

To vysvětlení je asi jako když Ovčáček překrucuje to, co kde Zeman zase provedl. Ano, jistě se to dá okecat, ale otázkou je, zda se takto má navrhovat software. Za mě ne.

Ale už toho nechám. U problému s MySQL mě taky někdo přesvědčoval o tom, že je to vlastně moje chyba, že já si mám zkontrolovat, zda engine běží, zda se vytářejí table správného typu a zda se provádějí transakce. (Tedy já bych měl dělat činnost, pro kterou jsem si ten program pořídil .....) a že to, že ten software vesele ignoruje polovinu příkazů je vlastně ok. Tím dnem pro mě MySQL skončila. Program, kde jeho autoři a jeho příznivci uvažují tímto stylem, používat opravdu nechci.

Problém je, že situace se systemd je o něco horší. A to je ta zvýrazněná část, kterou ses vesele rozdhodl ignorovat. Jo, ještě že máme BSD. A vlastně díky LP za to, že systemd je nekompatibilní s BSD. Protože pokud se tam někdy někdo rozhodne něco podobného naimplementovat, tak to udělá lépe.

Zvýrazňoval jsem něco jiného. Opět se dostáváme do stavu, kdy překručuješ to, co někdo píše.
Zvýrazňoval jsi, že si ten software, který mají nenávidět, vyberou. Když si ho nevyberou, tak to asi dostanou příkazem, ne?

To vysvětlení je asi jako když Ovčáček překrucuje to, co kde Zeman zase provedl. Ano, jistě se to dá okecat, ale otázkou je, zda se takto má navrhovat software. Za mě ne.
Na tom, že se software vyrovná i s tím, co nezná, nevidím nic špatného. Webové prohlížeče ignorují neznámé tagy i atributy, neznámé HTTP hlavičky. Poštovní klienti ignorují neznámé hlavičky e-mailů. Routery ignorují neznámé rozšiřující hlavičky paketů. PKI knihovny ignorují nekritická rozšíření certifikátů. Skoro bych řekl, že kdyby se software nechoval právě takhle – že ignoruje atributy, které nezná – ještě bychom kvůli zpětné kompatibilitě používali děrné štítky.

A to je ta zvýrazněná část, kterou ses vesele rozdhodl ignorovat.
Ta zvýrazněná část byla o tom, že si někteří ten software vybrali k tomu, aby na něj nadávali. To vůbec nesouvisí s tím, jestli ho používají nebo nepoužívají.

SB, 11:51: Ano, mají různou důležitost, závisí to na konkrétním případu použití. Proto si to musí ohlídat autor toho souboru nebo dokumentu, nemůže to ohlídat software, který neví, co je jak důležité.

Linux je na tom s bezpečností dobře proto, protože jeho správci rozumí tomu, co dělají, kontrolují si svou práci a neignorují chyby a varování, která jim software vypisuje. Jestli nechceme dopadnou jako Windows, nemůžeme lidem namlouvat, že Linux může spravovat každý, že je zbytečné všímat si varování, a že stačí to nějak nabušit a spustit, a uvidí se – buď je tam nějaká vážná chyba, tak se to ani nespustí, a nebo se to spustí, protože tam žádná vážná chyba není, a pak už to dál nemusíme řešit – běží to, tak co.

@Filip Jirsák, 16:16: Ale to SB nepopírá, že admini jsou důležití a v Linuxu obvykle rozumí dobře tomu co dělají. Akorát mi a věřím, že i SB nechápeme, proč by měl SW adminovi házet klacky pod nohy tím způsobem, že když se bude nastavovat konfigurační položka, bude je nutné nastavovat vytvořením si v hlavě výpočetní algoritmus, který je stejný jako ten podivný v systemd a ještě si k tomu bude muset složitě shánět data např. o tom, jestli daný (systémový) uživatel v systému je vytvořen, místo toho, aby tyhle věci dělal počítač a v případě že to nevyhovuje, tak aby daná služba prostě a jednoduše nenastartovala, protože nastartovaná služba dává falešný pocit, že je vše v pořádku. Nanastartovaná dává jasně najevo, že něco (konfigurace) není OK.

PS: Pro všechny, kteří stojí o to, aby init system zvaný systemd spouštěl službu vždy správn pod daným uživatelem, jak si administrátor přeje (a to i v případě, že začíná číslem), tak holt položku User= vynechejte a spouštějte místo příslušné binárky skript, který nebude při vyhodnocování uživatele zatížen "podivnou magií" v algoritmu spouštění služeb, ale spustí službu slušně pod příslušným uživatelem, když existuje a když ne, tak zakřičí a odmítne službu nastartovat... Moment, neztrácí se tak náhodou jedna z výhod systemd - jednoduché unit soubory vs skripty? :-D

@NULL, 18:30: Jj to vím, koukal jsem do kódu systemd a je tam explicitní kontrola prvního znaku, u kterého autor připouští pouze A-Z, a-z a podtržítko. Zbytek uživatele připouští i čísla a tuším pomlčku/mínus, ale už ne třeba tečku (nebrat jako 100% informaci, nemám to teď před sebou a koukal jsem na to před svátkama a momentálně mi hlava ještě odpočívá až do neděle ;-)), takže předpokládám, že problémů bude nakonec více a v případě nahlášení budou zřejmě vyřešeny stejným stylem = it's not a bug, it's the feature...

ByCzech, 18:51: Asi je to marný, ale: Když napíšu podmínku pro uživatelské jméno systemd jako regulární výraz, vypadá takhle [a-zA-Z_][-a-zA-Z0-9_]*. Když napíšu podmínku z funkce is_valid_name z shadow-utils jako regulární výraz, vypadá takhle: [a-zA-Z_][-a-zA-Z0-9_]*\$?. Nepřipadá vám to nápadně podobné? Řekl bych dokonce, že jediný rozdíl je v tom, že shadow-utils připouští na konci jména dolar, což je způsob, jakým Samba označuje účty počítačů.

Takže problémů bude samozřejmě více – budou pokaždé, když někdo vytvoří uživatele, který neodpovídá pravidlům jeho distribuce, a nebo pokaždé, když nějaká distribuce opatchuje shadow-utils a změní pravidla pro jména uživatelů, ale už neopatchuje systemd.

To, že je kód v souladu s shadow-utils z upstreamu, mi připadá v pořádku. Jinak si někdo bude stěžovat, že to v upstreamu systemd je jinak, než jak to má v shadow-utils RedHat, tak se to upraví podle RedHatu. Pak si zase někdo bude stěžovat, že Debian má jiná pravidla, tak se to upraví podle Debianu. Pak se může ozvat třeba OpenSUSE a může se to v upstreamu pořád měnit, podle toho, která distribuce se ozve jako poslední.

@Filip Jirsák, 20:10: Určitě to je marné, ale stejně to napíšu:

1. systemd není shadow-utils, je teda úplně fuk, jestli tam Poetering něco od nic opsal nebo ne = off topic

2. Jsou i jiné nástroje na vytváření uživatelů, že?

3. Portable user name má povoleno jiné znaky, takže je dementní se divit, že je možné vytvořit i uživatele, který vypadá i jinak, než Poetering chce dovolit v systemd a o tom, jak se k tomu staví je ještě horší a i kdyby se Jirsák na hlavu do kouta postavil a odrážel ušima, stejně se realita nezmění.

Po initu chci spustit službu pod daným uživatelem, uživatel v systému existuje, chci ať se pod ním spustí, to že jméno uživatele Poeteringovi nelíbí, ale třeba bude Jirsák spokojený, když ho díky jménu někam nepustí, protože Jirsák neprojde něčím co se někomu nelíbí :D

ByCzech, 17:13: Admin si nemusí žádný výpočetní algoritmus sestavovat. Úplně stačí, když použije normálního uživatele, kterého vytvořil nástroji distribuce – a distribuce, pokud patchuje nástroje pro vytváření uživatelů, opatchuje i systemd. Pokud vytvoří uživatele jinak a ještě ho pojmenuje divně, dělá to administrátor na vlastní riziko. A měl by si pak ověřit, že ví, co dělá. Pojmenovat uživatele pro systémovou službu 0day není normální – to není házení klacků pod nohy od systemd, ale od admina. Pokud se někdo rozhodne, že bude škodit skrze jednotkové soubory, má k tomu milion možností. systemd není od toho, aby admina vodil za ručičku a nedovolil mu udělat chybu. Takovým lidem do rukou nepatří. systemd je pro lidi, kteří si uvědomují, že pracují pod root em, že musí dávat pozor na to, co dělají, a svou práci kontrolovat.

Pokud má někdo pocit, že když služba nastartovala, je všechno v pořádku, ani si nezvaliduje jednotkový soubor, ani ho nezajímají varování v logu, ani si nezkontroluje stav služby po spuštění, takovému člověku nepatří do ruky root.

Překvapuje mne vaše přesvědčení, že když někdo neumí zadat uživatelské jméno do jednotkového souboru, bude umět napsat správný skript, který bezchybně přepne na zvoleného uživatele a pod ním spustí aplikaci, a když se mu to nepodaří, ukončí se s chybou tak, aby to zaznamenal systemd.

@Filip Jirsák, 20:25: Jasně, uživatel 10venca je dle specifikací validní, tak si ho založím, vepíšu do unit file a systemd tu službu spustí misto toho jako root, ale chyba je v adminovi ne v tom softu.
A pak se divte pane Jirsáku, že s váma neradi hromada lidí diskutuje, když si jako psychopat trváte na mnohokrát vyvráceném nesmyslu, jen proto, že si úmyslně vyberete jen informace, které se vám hodí - teď např. některé verze shadow-utils vs specifikace portable names pro Linux a jiné nástroje pro vytváření uživatelů. Právě proto shadow-utils některé distribuce patchují, protože to neodpovídá specifikaci. Vezmete si jen co se vám hodí a pak se kroutíte jako had, aby mohlo být po vašem. Pro mě stačilo, psal jsem už v předešlém příspěvku, že vím, že to je zbytečné - samozřejmě bylo.

ByCzech, 22:41: Úmyslně vybíráte informace vy. Zapomněl jste dodat, že jste si vybral jeden z mnoha standardů. A mimochodem, pokud jste myslel POSIX, ty patche shadow-utils naopak pravidla POSIXu vzdalují. Pokud nějaká distribuce má v různých nástrojích různá pravidla pro jména uživatelů, je to problém té distribuce, ne upstreamu. Že trváte na mnohokrát vyvráceném nesmyslu si myslím i já o vás.

@Filip Jirsák, 23:04: Přesně tuhle reakci jsem čekal. Jste hodně čitelný. Ne já si nevybral jeden, já beru v úvahu všechny. Pokud nějaký dovoluje založit uživatele 23ferda a je to OK, tak nevidím důvod, proč by místo spuštění služby pod tímto uživatelem řádně zapsaným do konfigurace měl init spouštět službu pod uživatelem root. Moje úvaha je vedena směrem "nedělej problémy", vaše a Poeteringova problémy dělá. Tož tak.

PS: Že je kontrola uživatele pomocí NAME_REGEX konfigurovatelná, ale u systemd ne také raději opomíjíte, že? Jen jste si vybral informaci, že prej shadow-utils to v mainstreamu neumí. Kecy v kleci.

Ne já si nevybral jeden, já beru v úvahu všechny.
Nemůžete brát v úvahu všechny standardy, pokud určují pojmenování jednoho jména a zároveň se liší. V takovém případě vždy existují jména, která jsou podle jednoho standardu v pořádku a podle jiného ne – jak se rozhodnete? Ať zvolíte jednu nebo druhou cestu, vždy nějaký standard porušíte.

Pokud nějaký dovoluje založit uživatele 23ferda a je to OK, tak nevidím důvod, proč by místo spuštění služby pod tímto uživatelem řádně zapsaným do konfigurace měl init spouštět službu pod uživatelem root. Moje úvaha je vedena směrem "nedělej problémy", vaše a Poeteringova problémy dělá. Tož tak.
To, že problémy nevidíte, neznamená, že neexistují. Jakmile rezignujete na to, že v tom bude nějaký systém, a místo toho budete implementovat ad-hoc případy,které někdo náhodou zadal jako chybu, bude v tom akorát chaos a bude to způsobovat jen problémy. Teď si někdo vzpomněl, že potřebuje používat jména s číslem na začátku a nutně je musí zadávat jménem. Pak si někdo jiný vzpomene, že nutně potřebuje pojmenovat uživatele @system. Někdo další přijde s tím, že má uživatele root, který nemá uid nula. A v kódu se bude vršit jeden if za druhým a místo dvou jednoduchých pravidel pro zadání uživatele se to bude zadávat metodou pokusu a omylu.

Že je kontrola uživatele pomocí NAME_REGEX konfigurovatelná, ale u systemd ne také raději opomíjíte, že? Jen jste si vybral informaci, že prej shadow-utils to v mainstreamu neumí. Kecy v kleci.
Co si zase vymýšlíte? To není odvaha, to je hloupost, bez podívání se do zdrojáku prohlásit, že je tam nějaký konfigurovatelný regulární výraz. On tam žádný regulární výraz není, testuje se to stejným způsobem, jako v systemd, tedy v cyklu se prochází jednotlivé znaky,

Nemůžete brát v úvahu všechny standardy

Nemůžu? Kdo mi to zakáže? Jirsák? Zajímavé, že jste mi před "chvílí" ještě tvrdil, že jsem si vybral jen co se mi hodí.
Vybrat si nemůžu a všechno taky nemůžu. Prostě diktátor Jirsák to určí, že? :D Jasně!

Já si s dovolením můžu vzít v úvahu všechny a zvolím cestu, která neudělá problém takový, že by dovolila spouštět službu pod rootem, přestože má spouštět pod uživatelem. Vy si volíte opak a říkáte, že je to správně.

To, že problémy nevidíte, neznamená, že neexistují

On můj přístup dělá nějaký problém srovnatelný s tím, že nastartuje něco s vyššími právy, než by mělo? A wo tom to je!

místo toho budete implementovat ad-hoc případy,které někdo náhodou zadal jako chybu, bude v tom akorát chaos

Ano, to přesně udělal Poetering v systemd, když místo kontroly, zda uživatel existuje implementoval před tímto filtr, který vyhodnocuje, jestli se mu uživatel líbí a když ne, tak se rozhodl uživatele ignorovat a spustit to pod rootem - jak říkáte, chaos.

Pak si někdo jiný vzpomene, že nutně potřebuje pojmenovat uživatele @system. Někdo další přijde s...

To už jen vaříte z vody. Úplně normálně si vymýšlíte, protože nemáte nic relevantního pro argumentaci.
Tímto způsobem se odborná diskuze vést nedá. Ale můžete zkusit jít pokecat s malými dětmi, co by kdyby třeba přiletěli ufoni udělat systemd audit :-D. Rovněž informační hodnota 0.

Co si zase vymýšlíte?

Bavili jsme se pokud mě paměť neklame o mainstreamu. Jsou distra v mainstreamu, které používají adduser.conf nebo ne? Pokud říkáte, že mluvíte o mainstreamu a přitom minimálně část mainstreamu ignorujete, je to pak s vámi vážně těžké - jak říkám, vybíráte si co se vám hodí a co se nehodí, jakože nevidíte. To je přístup úplně na houby. Přesně jak Poetering - když to nevidím/si před tím zakryju oči, tak to neexistuje :D.

Zdravím mě by zajímalo jaká je argumentace toho, že username nemůže být pouze číslo.

V linuxových diskuzích se velice často argumentuje, jak nesmyslné je, že státní instituce používají MS řešení - ale použití služebního čísla jako username je minimálně v ČR zcela běžné.
Díky

Nemůžu? Kdo mi to zakáže?
Zakáže vám to logika. Když máte v jednom standardu napsáno, že jméno může začínat jenom písmenem, a v druhém standardu je, že může začínat písmenem nebo číslicí, nemůžete napsat validátor, který bude splňovat oba standardy a zároveň o kterémkoli předloženém jméno prohlásí, zda je nebo není validní.

Zajímavé, že jste mi před "chvílí" ještě tvrdil, že jsem si vybral jen co se mi hodí.
Vybrat si nemůžu a všechno taky nemůžu. Prostě diktátor Jirsák to určí, že? :D Jasně!
Kecy. Kritizoval jsem, že jste si vybral jeden standard, a tváříte se, jako že ostatní vůbec neexistují. Což je poněkud směšné, když pak kritizujete autory systemd za to, že si vybrali jeden standard, a Lennart Poettering je si vědom toho, že existují i jiné standardy, a zmínil, proč si vybral právě tenhle.

Já si s dovolením můžu vzít v úvahu všechny a zvolím cestu, která neudělá problém takový, že by dovolila spouštět službu pod rootem, přestože má spouštět pod uživatelem.
Fakt? I v případě, kdy administrátor udělá chybu? Tak sem s tím, popište, jak byste to vyřešil.

Vy si volíte opak a říkáte, že je to správně.
Já si nevolím opak. Já mám akorát trochu větší představivost, takže si dovedu představit případy, které rozbijou všechna ta navržená bezchybná řešení. Ale prosím, vy tvrdíte, že máte bezchybné řešení, které nerozhodí žádná chyba nebo zlomyslnost administrátora, tak sem s ním.

Ano, to přesně udělal Poetering v systemd, když místo kontroly, zda uživatel existuje implementoval před tímto filtr, který vyhodnocuje, jestli se mu uživatel líbí a když ne, tak se rozhodl uživatele ignorovat a spustit to pod rootem - jak říkáte, chaos.
Ne, tohle není žádné ad-hoc řešení. Vy stále nechápete, jak systemd zpracovává jednotkové soubory, že?

To už jen vaříte z vody. Úplně normálně si vymýšlíte, protože nemáte nic relevantního pro argumentaci.
Tímto způsobem se odborná diskuze vést nedá. Ale můžete zkusit jít pokecat s malými dětmi, co by kdyby třeba přiletěli ufoni udělat systemd audit :-D. Rovněž informační hodnota 0.
No výborně, konečně jste pochopil, že celý ten bugreport je nesmysl. Jeho autor vaří z vody, úplně normálně si vymyslel uživatel 0day, protože neměl nic relevantního pro argumentaci.

Bavili jsme se pokud mě paměť neklame o mainstreamu.
Paměť vás klame. Stačí, když se podíváte o pár komentářů výš, a uvidíte, že jsme se bavili o upstreamu shadow-utils. Příště si radši osvěžte paměť dřív, než na výmyslech vaší paměti začnete stavět dalekosáhlé teorie.

Ad Linux je na tom s bezpečností dobře - nechci vám brát iluze, ale čísla hovoří jinak.
https://www.cvedetails.com/top-50-products.php
https://www.cvedetails.com/top-50-products.php?year=2016

?
Tobě jebe?

@NULL
Já ti rozumím, už několikrát jsem tě poslal do ... s těma tvýma kecama a i toto ber tak, že tak činím opět.

PS: To předtím patřilo Jirsákovi.
(Nemohu za to, že "odsazování" příspěvků v tomto vytuněném kůl dyzajnu je na ...u)

PS: To předtím patřilo Jirsákovi.

No taky mě to zmátlo, protože to vypadá vzhledově jako odpověď na NULL, ale pak jsem si uvědomil, že to bude nejspíš na Jirsáka, ale upřímně - na 100% jsem si jistý nebyl :-). Je to fakt nevychytané tady.

@NULL

:-D
OK