прекрасный RPC

Eugene Grosbein написал(а) к All в Oct 18 07:52:39 по местному времени:

Привет!

После ребута машины ВНЕЗАПНО сломался rsync-сервис,
запускаемый из inetd. Полез разбираться:

$ fgrep rsync /var/log/messages
Oct 21 06:08:37 host <daemon.err> inetd[50635]: rsync/tcp: bind: Address already in use

Што?!

$ fgrep rsync /etc/services
rsync 873/tcp
rsync 873/udp
$ sockstat | fgrep 873
root mountd 1620 5 udp6 :873 *:
root mountd 1620 6 tcp6 :873 *:
root mountd 1620 7 udp4 :873 *:
root mountd 1620 8 tcp4 :873 *:

Прекрасный RPC. mountd по дефолту использует функцию bindresvport_sa()
чтобы сесть на динамический привилегированный порт и в текущей реализации
FreeBSD это IPPORTRANGELOW с дефолтами:

net.inet.ip.portrange.lowlast: 600
net.inet.ip.portrange.lowfirst: 1023

То есть, любой сервис, использующий порты от 600 то 1023 и запускаемый
после mountd (или nfs-сервера, который запустит mountd по зависимости),
так неиллюзорно рискует.

Сюда кроме rsyncd входит spamd с его портом 783, ipp (631),
ldaps (636), dhcp-failover (647, 847), imaps (993), pop3s (995)...

А вообще что угодно из /etc/services, там ещё какой-то ha-cluster есть,
порты kerberos, iscsi, ircs, ftps, telnets... и много другого.

И так-то это не то чтобы совсем новость, но проверил на своих серверах
с dhcp-failover и NFS-клиентом и mountd, конечно, я там не прибивал
к порту, как когда-то делал и mountd там сел на порт 620 и только
по этой случайности dhcpd успешно занял свой tcp/647 для кластера.

Пошел везде прибивать гвоздями, благо у нас есть mountd_flags="-p 620"

Eugene
--- slrn/1.0.3 (FreeBSD)

Victor Sudakov написал(а) к eugen в Oct 18 11:47:32 по местному времени:

Dear eugen,

21 Oct 18 07:52, Eugene Grosbein wrote to All:

[dd]

EG> Пошел везде прибивать гвоздями, благо у нас есть mountd_flags="-p 620"

Это беда достаточно известная. Мне приходилось прибивать гвоздями nisserverflags="-P 789", но не потому что кому-то мешал, а надо было в межсетевом экране дырку открыть для NIS.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alex Korchmar написал(а) к Eugene Grosbein в Oct 18 09:06:26 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

> Прекрасный RPC. mountd по дефолту использует функцию bindresvport_sa()
ну не пользуйся устаревшими технологиями, если они вдруг кажутся
неправильными.
кому нужен нынче этот мертвый nfs? samba ваше всьо, и порты у ней
стандартны, каждый червяк умеет.

> То есть, любой сервис, использующий порты от 600 то 1023 и запускаемый
> после mountd (или nfs-сервера, который запустит mountd по зависимости),
> так неиллюзорно рискует.
как и двадцать лет назад.

reserved у вас до сих пор ниасилен ведь?

> Пошел везде прибивать гвоздями, благо у нас есть mountd_flags="-p 620"
и зачем вам rpc, предназначнный специально чтоб этого не делать, непонятно.


> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Alex Korchmar в Oct 18 17:21:24 по местному времени:

21 окт. 2018, воскресенье, в 07:06 NOVT, Alex Korchmar написал(а):

AK> reserved у вас до сих пор ниасилен ведь?

это хто?

Eugene
--- slrn/1.0.3 (FreeBSD)

Alex Korchmar написал(а) к Eugene Grosbein в Oct 18 13:14:03 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

> AK> reserved у вас до сих пор ниасилен ведь?
> это хто?
а это специальный такой rpc-сервис, который просто захапывает перечисленные
в конфиге порты и не отдает.

понятно, что правильным решением было бы просто научить portmap
такому списку, но, видимо, без сана этот код никто трогать не смеет,
а книга по производственной некромантии, видать, сильно непростая. В отличие
от примитивного rpc-сервиса.

> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Alex Korchmar в Oct 18 18:57:09 по местному времени:

21 окт. 2018, воскресенье, в 11:14 NOVT, Alex Korchmar написал(а):

AK>> reserved у вас до сих пор ниасилен ведь?
>> это хто?
AK> а это специальный такой rpc-сервис, который просто захапывает перечисленные
AK> в конфиге порты и не отдает.

А какая мне разница, если dhcp-кластер развалится от mountd или от reserved?

Eugene
--- slrn/1.0.3 (FreeBSD)

Alex Korchmar написал(а) к Eugene Grosbein в Oct 18 18:32:42 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

> AK> а это специальный такой rpc-сервис, который просто захапывает
> AK> перечисленные в конфиге порты и не отдает.
> А какая мне разница, если dhcp-кластер развалится от mountd или от reserved?
он их не отдает обратно в portmap. Но и не использует.


> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Alex Korchmar в Oct 18 02:07:17 по местному времени:

21 окт. 2018, воскресенье, в 16:32 NOVT, Alex Korchmar написал(а):

AK>> а это специальный такой rpc-сервис, который просто захапывает
AK>> перечисленные в конфиге порты и не отдает.
>> А какая мне разница, если dhcp-кластер развалится от mountd или от reserved?
AK> он их не отдает обратно в portmap. Но и не использует.

Понятно. Тоже вариант. Правда, по сути это значит, что нужно вести
в отдельном месте список сервисов и портов, ими используемых
из диапазона IPPORTRANGELOW и держать запущенным ещё один демон
ради сомнительного удовольствия иметь динамические серверные порты
вместо статических портов и двух строк в /etc/rc.conf:

mountd_flags="-p 620"
rpcstatdflags="-p 835"

Я не улавливаю прелести динамических серверных портов.

Eugene
--
А ученый уподобляется обученному слону, которого погонщик поставил перед
преградой. Он пользуется силой разума, как слон --- силой мышц, подчиняясь
приказу. Это необычайно удобно: ученый отныне готов на все, так как ни за
что уже не отвечает.
--- slrn/1.0.3 (FreeBSD)

Alex Korchmar написал(а) к Eugene Grosbein в Oct 18 10:16:39 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

> ради сомнительного удовольствия иметь динамические серверные порты
> вместо статических портов и двух строк в /etc/rc.conf:
вместо уродования всех и всего использующего rpc?

ну я говорю, не нужен вам значит rpc, нестильно немодно и немолодежно, сосамба
ваше всьо. Скоро так и будет.

> Alex

--- ifmail v.2.15dev5.4