38108 2020-02-17 15:25:53 +0300 ping plugin: ping_host_add failed: Operation not permitted 2020-02-18 17:14:16 +0300 1 1 4 Development Sisyphus collectd-ping unstable all Linux CLOSED NOTABUG P5 normal --- 1 amakeenk rider asy at cas crux ender lav ldv mike qa_viy rider shaba viy qa-sisyphus oldest_to_newest 187912 0 amakeenk 2020-02-17 15:25:53 +0300 Версия пакета: collectd-ping-5.10.0-alt1 Система: ALT Workstation x86_64 Не работает плагин ping. При запуске collectd в логах появляются такие ошибки (collectd при этом запускается успешно): collectd[2553]: plugin_load: plugin "ping" successfully loaded. collectd[2553]: ping plugin: ping_host_add (www.google.com) failed: Operation not permitted collectd[2553]: ping plugin: No host could be added to ping object. Giving up. Шаги воспроизведения: 1. Установить collectd collectd-ping 2. В файле /etc/collectd.conf раскомментировать следующие строки (изменить параметры Host, SourceAddress, Device на нужные значения): LoadPlugin ping <Plugin ping> Host "www.google.com" Interval 1.0 Timeout 0.9 TTL 255 SourceAddress "8.8.8.8" AddressFamily "any" Device "eth0" MaxMissed -1 </Plugin> 3. Запустить collectd (предварительно необходимо удалить строку LoadPlugin rrdtool, либо установить пакет collectd-rrdtool, см. баг https://bugzilla.altlinux.org/36950): # systemctl start collectd # systemctl status collectd 187913 1 shaba 2020-02-17 16:10:14 +0300 что показыват control ping ? 187915 2 amakeenk 2020-02-17 16:16:34 +0300 (Ответ для Alexey Shabalin на комментарий #1) > что показыват > control ping ? # control ping public 187925 3 rider 2020-02-17 19:31:09 +0300 Это фича, нужно выдать collectd CAPABILITY для ping. Читайте документацию, там всё есть. 187926 4 rider 2020-02-17 19:33:40 +0300 выдаётся через unit systemd для collectd 187931 5 mike 2020-02-17 22:17:24 +0300 Вообще хорошо бы вместо такого костыля сделать штатный механизм по управлению capabilities (возможно, на базе или навроде control). 187933 6 ldv 2020-02-18 00:14:24 +0300 (In reply to Anton Farygin from comment #3) > Это фича, нужно выдать collectd CAPABILITY для ping. Вы точно ничего не путаете? Странно, что ping'у не нужна, а collectd'у нужна. 187934 7 rider 2020-02-18 07:04:29 +0300 Желающие могут поправить это поведение в liboping: The I<oping> library opens a raw socket to be able to send ICMP packets. On most systems normal users are not allowed to do this. This is why on most systems the L<ping(1)> utility is installed as SetUID-root. Since, when using this module, no external process is spawned B<this> process needs the appropriate permissions. This means that either your script has to run as superuser or, under Linux, needs the C<CAP_NET_RAW> capability. Но ping же у нас SGID'ный, так что не совсем честно говорить о том, что ему не нужны CAPABILITY. Нужны, просто они у него есть в момент запуска. Вот если сделать так: chmod 0711 /usr/libexec/ping/ping то и у нас ping работать не будет под обычным пользователем. в случае с collectd capability сбрасываются на стороне systemd, в самом collectd нет никакой поддержки управление capabilities, кроме проверок их наличия. 187935 8 rider 2020-02-18 07:06:06 +0300 (Ответ для Michael Shigorin на комментарий #5) > Вообще хорошо бы вместо такого костыля сделать штатный механизм по > управлению capabilities (возможно, на базе или навроде control). Штатный механизм - это юниты systemd. Администратор, использующий collectd, должен понимать как его настраивать. Можно положить нужный юнит в пакет но я бы не хотел этого делать. 187945 9 shaba 2020-02-18 11:10:01 +0300 (Ответ для Anton Farygin на комментарий #8) > (Ответ для Michael Shigorin на комментарий #5) > > Вообще хорошо бы вместо такого костыля сделать штатный механизм по > > управлению capabilities (возможно, на базе или навроде control). > > Штатный механизм - это юниты systemd. > > Администратор, использующий collectd, должен понимать как его настраивать. > Можно положить нужный юнит в пакет но я бы не хотел этого делать. Можно положить в пакет collectd-ping дополнительный конфиг для юнита а /(lib|etc)/systemd/system/collectd.service.d/ping.conf с добавлением только одного нужного параметра. И все будет работать из коробки. 187952 10 ldv 2020-02-18 13:33:23 +0300 (In reply to Anton Farygin from comment #7) > Желающие могут поправить это поведение в liboping: > The I<oping> library opens a raw socket to be able to send ICMP packets. On > most systems normal users are not allowed to do this. This is why on most > systems the L<ping(1)> utility is installed as SetUID-root. Since, when using > this module, no external process is spawned B<this> process needs the > appropriate permissions. This means that either your script has to run as > superuser or, under Linux, needs the C<CAP_NET_RAW> capability. > > Но ping же у нас SGID'ный, так что не совсем честно говорить о том, что ему > не нужны CAPABILITY. Нужны, просто они у него есть в момент запуска. ping'у не нужны CAPABILITY, потому что ping использует другой механизм в ядре (ping socket). Судя по процитированному, collectd-ping написан давно и не умеет использовать этот механизм. Это объясняет разницу. В таком случае остаётся только сделать так, как предлагает Алексей. 187953 11 rider 2020-02-18 13:49:49 +0300 Я не хочу делать из коробки так, как процитировал Алексей. Считаю такое поведение из пакета не правильным. Системный администратор сам должен принять решение о том, что бы настроить нужные capability, а не поставить готовое поведение из пакета. По мне так лучше пусть этот плагин заработает после донастройки, чем всему collectd молча дадут какие-то дополнительные привилегии. 187975 12 mike 2020-02-18 17:08:17 +0300 (Ответ для Anton Farygin на комментарий #8) > (Ответ для Michael Shigorin на комментарий #5) > > Вообще хорошо бы вместо такого костыля сделать штатный механизм по > > управлению capabilities (возможно, на базе или навроде control). > Штатный механизм - это юниты systemd. Это механизм, зависящей от реализации pid 1, которая умеет SEGV'иться. Соответственно штатным в production он у нас не является (спроси ldv@). 187976 13 rider 2020-02-18 17:14:16 +0300 А без systemd у collectd нет проблем с ping ;)