En faisant un “apt-get update && apt-get upgrade” sur une instance Yunohost hébergée chez Gandi, j’ai pu lire à la fin de l’exécution :
yunohost-firewall service is not running, you should consider to start it by doing ‘service yunohost-firewall start’.
Setting up yunohost-admin (2.7.5) …
Processing triggers for libc-bin (2.19-18+deb8u10) …
Errors were encountered while processing:
autofs
[master 8b10814] committing changes in /etc after apt run
4 files changed, 12 insertions(+), 11 deletions(-)
E: Sub-process /usr/bin/dpkg returned an error code (1)
J’ai remarqué ça depuis quelque temps. Si on laisse de côté le problème d’autofs (enfin si quelqu’un a un conseil je suis preneur), il reste le problème de firewall.
service yunohost-firewall start
donne en sortie :
Job for yunohost-firewall.service failed. See ‘systemctl status yunohost-firewall.service’ and ‘journalctl -xn’ for details.
Dec 11 20:11:21 yuno-case yunohost[16662]: You cannot play with iptables here. You are either in a container or your kernel does not support it
Dec 11 20:11:21 yuno-case yunohost[16662]: You cannot play with ip6tables here. You are either in a container or your kernel does not support it
Dec 11 20:11:21 yuno-case yunohost[16662]: Unable to reload the firewall
Dec 11 20:11:21 yuno-case systemd[1]: yunohost-firewall.service: main process exited, code=exited, status=3/NOTIMPLEMENTED
Dec 11 20:11:21 yuno-case systemd[1]: Failed to start YunoHost Firewall.
Dec 11 20:11:21 yuno-case systemd[1]: Unit yunohost-firewall.service entered failed state.
J’imagine que c’est dû au fait que Yunohost tourne dans une VM Gandi. Pourtant j’ai bien le port 22 qui est bloqué depuis quelques mois après avoir suivi la procédure “Modifier le port SSH” documentée ici https://yunohost.org/#/security
Donc simplement :
est-ce que ça vous paraît normal ?
est-ce que cela représente un risque pour la sécurité de l’instance ?
Bonjour, j’ai les mêmes erreurs dans un contexte différent. J’ai un serveur local avec un Orange Pi +2, j’ai eu des problème de kernels et j’ai du installer yunohost avec un kernel Nightly en test, après une mise à jour du kernel, je retrouve ces même messages et je pense que cela vient du kernel…
Bonjour, je n’avais plus de problèmes avec mon OrangePi, mais j’ai de nouveau un soucis, peut-être encore à cause du kernel, depuis la mise à jour vers Yunohost 3.3.0
# systemctl status yunohost-firewall.service
● yunohost-firewall.service - YunoHost Firewall
Loaded: loaded (/lib/systemd/system/yunohost-firewall.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Sun 2018-12-02 19:17:44 CET; 48s ago
Process: 2677 ExecStart=/usr/bin/yunohost firewall reload (code=exited, status=3)
Main PID: 2677 (code=exited, status=3)
Dec 02 19:17:42 n_d_d.tld systemd[1]: Starting YunoHost Firewall...
Dec 02 19:17:44 n_d_d.tld yunohost[2677]: Vous ne pouvez pas jouer avec iptables ici. Vous êtes soit dans un conteneur, soit votre noyau ne
Dec 02 19:17:44 n_d_d.tld yunohost[2677]: Vous ne pouvez pas jouer avec ip6tables ici. Vous êtes soit dans un conteneur, soit votre noyau n
Dec 02 19:17:44 n_d_d.tld yunohost[2677]: Impossible de recharger le pare-feu
Dec 02 19:17:44 n_d_d.tld systemd[1]: yunohost-firewall.service: Main process exited, code=exited, status=3/NOTIMPLEMENTED
Dec 02 19:17:44 n_d_d.tld systemd[1]: Failed to start YunoHost Firewall.
Dec 02 19:17:44 n_d_d.tld systemd[1]: yunohost-firewall.service: Unit entered failed state.
Dec 02 19:17:44 n_d_d.tld systemd[1]: yunohost-firewall.service: Failed with result 'exit-code'.
hmmm, peut qu’un redémarrage peut améliorer la situation, ou bien sinon il faut ré-insérer le module kernel qui va bien pour pouvoir avoir iptable… mais c’est étrange qu’il est disparu “tout seul”
Pourtant j’ai bien fait un reboot du serveur. Je ne comprends pas car le kernel n’a pas changé il me semble…
Par contre je retombe pour sûr sur l’erreur de module manquant:
$ sudo iptables -nL
modprobe: ERROR: ../libkmod/libkmod.c:586 kmod_search_moddep() could not open moddep file '/lib/modules/4.14.18-sunxi/modules.dep.bin'
modprobe: FATAL: Module ip_tables not found in directory /lib/modules/4.14.18-sunxi
iptables v1.6.0: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Choisir System dans la boite de dialogue qui s’affiche
Choisir Switch
accepter l’avertissement et choisir next
L’outil va se plaindre un peu mais il va télécharger et installer le noyau stable officiellement supporté, soit le 4.14.18-sunxi
J’ai réinstallé le kernel 4.14.18-sunxi et en redémarrant, le firewall marche…
Par contre il y a deux paquets pas mis à jour:
$ sudo apt install -f
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 2 non mis à jour.
$ sudo apt-get install -f
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 2 non mis à jour.
Et bien sûr, c’est lié aux kernel:
$ apt list --upgradable
En train de lister... Fait
linux-dtb-next-sunxi/stretch 5.67 armhf [upgradable from: 5.41]
linux-image-next-sunxi/stretch 5.67 armhf [upgradable from: 5.41]
Du coup je vais éviter de changer de kernel… pour l’instant…