Bug 23870

Summary: Интерфейс не стартует: openvpn потерял возможность испольнять внешние скрипты при заданных параметрах
Product: Sisyphus Reporter: solo <solo>
Component: etcnetAssignee: Mikhail Efremov <sem>
Status: CLOSED NOTABUG QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: ldv, rider, sem, shaba, vseleznv
Version: unstable   
Hardware: all   
OS: Linux   

Description solo 2010-08-10 18:18:31 MSD
$ rpm -qa|egrep '(etcnet)|(openvpn)'
etcnet-defaults-server-0.9.10-alt5
openvpn-2.1.1-alt1
etcnet-0.9.10-alt5

  По ifup <интерфейс>, означенный интерфейс молча не стартует:

$ sudo -H ifup altvpn
$
$ /sbin/ip a|fgrep altvpn
$

  В /var/log/messages вижу при этом следующее:

Aug 10 18:15:38 sdom openvpn[32675]: OpenVPN 2.1.1 x86_64-alt-linux-gnu [SSL] [LZO2] [EPOLL] built on Dec 31 2009
Aug 10 18:15:38 sdom openvpn[32675]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Aug 10 18:15:38 sdom openvpn[32675]: TUN/TAP device altvpn opened
Aug 10 18:15:38 sdom openvpn[32675]: /etc/net/scripts/openvpn.action altvpn 1500 1575   init
Aug 10 18:15:38 sdom openvpn[32675]: openvpn_execve: external program may not be called unless '--script-security 2' or higher is enabled.  Use '--script-security 3 system' for backward compatibility with 2.1_rc8 and earlier.  See --help text or man page for detailed info.
Aug 10 18:15:38 sdom openvpn[32675]: script failed: external program fork failed
Aug 10 18:15:38 sdom openvpn[32675]: Exiting

  При добавлении ключа --script-security 3 в строку вызова openvpn (в /etc/net/scripts/create-ovpn) всё приходит в норму (интерфейс начинает стартовать).
Comment 1 Anton Farygin 2010-08-10 18:28:42 MSD
ну, так поправьте конфиг openvpn и наслаждайтесь тем, что всё стартует.

тут же сказано:
script-security 3 system
Comment 2 Anton Farygin 2010-08-10 18:29:21 MSD
новая версия openvpn требует изменений в конфигурационном файле.
Comment 3 solo 2010-08-10 19:11:40 MSD
(В ответ на комментарий №1)
> ну, так поправьте конфиг openvpn и наслаждайтесь тем, что всё стартует.
> 
> тут же сказано:
> script-security 3 system

  Да, указанная строчка в /etc/net/ifaces/<инт.>/ovpnoptions проблему лечит.
Comment 4 solo 2010-08-10 19:12:36 MSD
(В ответ на комментарий №2)
> новая версия openvpn требует изменений в конфигурационном файле.

  Думаю, что это стоит отобразить в 
/usr/share/doc/etcnet-*/examples/OpenVPN-TAP/i0060756/ovpnoptions
Comment 5 Denis Ovsienko 2010-08-10 20:58:20 MSD
Наверное, параметр script-security имеет смысл автоматически передавать openvpn при запуске, не заставляя пользователя вписывать его в каждый интерфейс.
Comment 6 solo 2010-08-10 21:15:10 MSD
(В ответ на комментарий №5)
> Наверное, параметр script-security имеет смысл автоматически передавать openvpn
> при запуске, не заставляя пользователя вписывать его в каждый интерфейс.

  Я за.

  А какой параметр имеет более высокий приоритет: переданный через опции, или определённый в конфиге?