Debian
當且僅當 openvpn 由 systemd 執行時,openvpn 後置腳本失敗並顯示“不允許操作”
我有這個由 openvpn 執行的後期腳本:
#!/bin/bash echo "I am: `whoami`" echo "Moving interface into the netns" ip link set dev "$1" up netns hydrogenvpn mtu "$2" echo "Listing" ip netns ls echo "test" ip netns exec hydrogenvpn cat /tmp/foobar
如果我使用以下任何命令執行 openvpn:
service openvpn start
,/etc/init.d/openvpn start
,systemctl start openvpn@hydrogen.service
, 我會在我的日誌中得到這個:Sun Oct 9 11:19:15 2016 us=851109 /sbin/ip link set dev tun-hyd2 up mtu 1500 Sun Oct 9 11:19:15 2016 us=858267 /sbin/ip addr add dev tun-hyd2 10.43.43.3/24 broadcast 10.43.43.255 Sun Oct 9 11:19:15 2016 us=872474 /etc/openvpn/hydrogen_postup.sh tun-hyd2 1500 1542 10.43.43.3 255.255.255.0 init I am: root Moving interface into the netns Listing novpn (id: 1) hydrogenvpn (id: 0) test setting the network namespace "hydrogenvpn" failed: Operation not permitted
但是,如果我使用與 systemd 使用的完全相同的命令執行 openvpn,它可以工作:
# systemctl status openvpn@hydrogen.service | grep Process Process: 7722 ExecStart=/usr/sbin/openvpn --daemon ovpn-%i --status /run/openvpn/%i.status 10 --cd /etc/openvpn --config /etc/openvpn/%i.conf --writepid /run/openvpn/%i.pid (code=exited, status=0/SUCCESS) # /usr/sbin/openvpn --daemon ovpn-hydrogen --status /run/openvpn/hydrogen.status 10 --cd /etc/openvpn --config /etc/openvpn/hydrogen.conf --writepid /run/openvpn/hydrogen.pid # tail /var/log/openvpn.log Sun Oct 9 11:25:28 2016 us=762617 /sbin/ip addr add dev tun-hyd2 10.43.43.3/24 broadcast 10.43.43.255 Sun Oct 9 11:25:28 2016 us=767131 /etc/openvpn/hydrogen_postup.sh tun-hyd2 1500 1542 10.43.43.3 255.255.255.0 init I am: root Moving interface into the netns Listing novpn (id: 1) hydrogenvpn (id: 0) test <content of /tmp/foobar> Sun Oct 9 11:25:28 2016 us=952737 Initialization Sequence Completed
我還嘗試使用 systemd 啟動 openvpn,然後手動執行腳本,它也可以。
為什麼兩次執行之間存在差異?當由 systemd 啟動的 openvpn 執行時,如何使腳本工作?
版本:Debian 測試、openvpn 2.3.11-2、systemd 231-9
這是 OpenVPN (
/lib/systemd/system/openvpn@.service
) 的服務文件:[Unit] Description=OpenVPN connection to %i PartOf=openvpn.service ReloadPropagatedFrom=openvpn.service Before=systemd-user-sessions.service Documentation=man:openvpn(8) Documentation=https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage Documentation=https://community.openvpn.net/openvpn/wiki/HOWTO [Service] PrivateTmp=true KillMode=mixed Type=forking ExecStart=/usr/sbin/openvpn --daemon ovpn-%i --status /run/openvpn/%i.status 10 --cd /etc/openvpn --config /etc/openvpn/%i.conf --writepid /run/openvpn/%i.pid PIDFile=/run/openvpn/%i.pid ExecReload=/bin/kill -HUP $MAINPID WorkingDirectory=/etc/openvpn ProtectSystem=yes CapabilityBoundingSet=CAP_IPC_LOCK CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_RAW CAP_SETGID CAP_SETUID CAP_SYS_CHROOT CAP_DAC_READ_SEARCH CAP_AUDIT_WRITE LimitNPROC=10 DeviceAllow=/dev/null rw DeviceAllow=/dev/net/tun rw [Install] WantedBy=multi-user.target
有三件事限制了可以做的事情:
CapabilityBoundingSet
限制了這個單位可以做的事情。“ip netns”可能需要一些不在那裡的功能。例如ip netns
做一個mount --bind
需要CAP_SYS_ADMIN
.ProtectSystem
阻止單元修改文件系統(我認為它不會阻止綁定掛載);LimitNPROC
限制單元中的程序數。這可能是您的問題的根源,但它可能是複雜腳本的問題。