Firewall inactif ne démarrant pas - hébergement gandi

Salut à tous,

En faisant un “apt-get update && apt-get upgrade” sur une instance Yunohost hébergée chez Gandi, j’ai pu lire à la fin de l’exécution :

yunohost-firewall service is not running, you should consider to start it by doing ‘service yunohost-firewall start’.
Setting up yunohost-admin (2.7.5) …
Processing triggers for libc-bin (2.19-18+deb8u10) …
Errors were encountered while processing:
autofs
[master 8b10814] committing changes in /etc after apt run
4 files changed, 12 insertions(+), 11 deletions(-)
E: Sub-process /usr/bin/dpkg returned an error code (1)

J’ai remarqué ça depuis quelque temps. Si on laisse de côté le problème d’autofs (enfin si quelqu’un a un conseil je suis preneur), il reste le problème de firewall.

service yunohost-firewall start

donne en sortie :

Job for yunohost-firewall.service failed. See ‘systemctl status yunohost-firewall.service’ and ‘journalctl -xn’ for details.

Le premier me donne

● yunohost-firewall.service - YunoHost Firewall
Loaded: loaded (/lib/systemd/system/yunohost-firewall.service; enabled)
Active: failed (Result: exit-code) since Mon 2017-12-11 20:11:21 CET; 2min 57s ago
Process: 16662 ExecStart=/usr/bin/yunohost firewall reload (code=exited, status=3)
Main PID: 16662 (code=exited, status=3)

Dec 11 20:11:21 yuno-case yunohost[16662]: You cannot play with iptables here. You are either in a container or your kernel does not support it
Dec 11 20:11:21 yuno-case yunohost[16662]: You cannot play with ip6tables here. You are either in a container or your kernel does not support it
Dec 11 20:11:21 yuno-case yunohost[16662]: Unable to reload the firewall
Dec 11 20:11:21 yuno-case systemd[1]: yunohost-firewall.service: main process exited, code=exited, status=3/NOTIMPLEMENTED
Dec 11 20:11:21 yuno-case systemd[1]: Failed to start YunoHost Firewall.
Dec 11 20:11:21 yuno-case systemd[1]: Unit yunohost-firewall.service entered failed state.

J’imagine que c’est dû au fait que Yunohost tourne dans une VM Gandi. Pourtant j’ai bien le port 22 qui est bloqué depuis quelques mois après avoir suivi la procédure “Modifier le port SSH” documentée ici YunoHost • index

Donc simplement :

  • est-ce que ça vous paraît normal ?
  • est-ce que cela représente un risque pour la sécurité de l’instance ?

Merci d’avance si quelqu’un à une réponse ! :slight_smile:

Bonjour, j’ai les mêmes erreurs dans un contexte différent. J’ai un serveur local avec un Orange Pi +2, j’ai eu des problème de kernels et j’ai du installer yunohost avec un kernel Nightly en test, après une mise à jour du kernel, je retrouve ces même messages et je pense que cela vient du kernel…

Bonjour, je n’avais plus de problèmes avec mon OrangePi, mais j’ai de nouveau un soucis, peut-être encore à cause du kernel, depuis la mise à jour vers Yunohost 3.3.0

# systemctl status yunohost-firewall.service
● yunohost-firewall.service - YunoHost Firewall
   Loaded: loaded (/lib/systemd/system/yunohost-firewall.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Sun 2018-12-02 19:17:44 CET; 48s ago
  Process: 2677 ExecStart=/usr/bin/yunohost firewall reload (code=exited, status=3)
 Main PID: 2677 (code=exited, status=3)

Dec 02 19:17:42 n_d_d.tld systemd[1]: Starting YunoHost Firewall...
Dec 02 19:17:44 n_d_d.tld yunohost[2677]: Vous ne pouvez pas jouer avec iptables ici. Vous êtes soit dans un conteneur, soit votre noyau ne
Dec 02 19:17:44 n_d_d.tld yunohost[2677]: Vous ne pouvez pas jouer avec ip6tables ici. Vous êtes soit dans un conteneur, soit votre noyau n
Dec 02 19:17:44 n_d_d.tld yunohost[2677]: Impossible de recharger le pare-feu
Dec 02 19:17:44 n_d_d.tld systemd[1]: yunohost-firewall.service: Main process exited, code=exited, status=3/NOTIMPLEMENTED
Dec 02 19:17:44 n_d_d.tld systemd[1]: Failed to start YunoHost Firewall.
Dec 02 19:17:44 n_d_d.tld systemd[1]: yunohost-firewall.service: Unit entered failed state.
Dec 02 19:17:44 n_d_d.tld systemd[1]: yunohost-firewall.service: Failed with result 'exit-code'.

Diagnostic:

 "yunohost": {
            "repo": "stable",
            "version": "3.3.2"
        },
        "yunohost-admin": {
            "repo": "stable",
            "version": "3.3.1"
        },
        "moulinette": {
            "repo": "stable",
            "version": "3.3.1"
        },
        "ssowat": {
            "repo": "stable",
            "version": "3.3.1"
        }

J’ai peur que ce soit encore un soucis de kernel…

# uname -ar
Linux m_n_d.tld 4.14.18-sunxi #24 SMP Fri Feb 9 16:24:32 CET 2018 armv7l GNU/Linux

hmmm, peut qu’un redémarrage peut améliorer la situation, ou bien sinon il faut ré-insérer le module kernel qui va bien pour pouvoir avoir iptable… mais c’est étrange qu’il est disparu “tout seul”

Pourtant j’ai bien fait un reboot du serveur. Je ne comprends pas car le kernel n’a pas changé il me semble…
Par contre je retombe pour sûr sur l’erreur de module manquant:

$ sudo iptables -nL
modprobe: ERROR: ../libkmod/libkmod.c:586 kmod_search_moddep() could not open moddep file '/lib/modules/4.14.18-sunxi/modules.dep.bin'
modprobe: FATAL: Module ip_tables not found in directory /lib/modules/4.14.18-sunxi
iptables v1.6.0: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Bon, je suis passer par cette manipulation (vu dans le post où je parlai de ce soucis:
Migration to Strecht error with Orange Pi 2+ )

  • lancer l’utilitaire
    sudo armbian-config
  • Choisir System dans la boite de dialogue qui s’affiche
  • Choisir Switch
  • accepter l’avertissement et choisir next
    L’outil va se plaindre un peu mais il va télécharger et installer le noyau stable officiellement supporté, soit le 4.14.18-sunxi

J’ai réinstallé le kernel 4.14.18-sunxi et en redémarrant, le firewall marche…
Par contre il y a deux paquets pas mis à jour:

$ sudo apt install -f
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 2 non mis à jour.
$ sudo apt-get install -f
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 2 non mis à jour.

Et bien sûr, c’est lié aux kernel:

$ apt list --upgradable
En train de lister... Fait
linux-dtb-next-sunxi/stretch 5.67 armhf [upgradable from: 5.41]
linux-image-next-sunxi/stretch 5.67 armhf [upgradable from: 5.41]

Du coup je vais éviter de changer de kernel… pour l’instant…