Bug 34757 - gnome-logs сегфолтится, если у пользователя нет доступа к журналу
Summary: gnome-logs сегфолтится, если у пользователя нет доступа к журналу
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: gnome-logs (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Yuri N. Sedunov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on: 34793
Blocks:
  Show dependency tree
 
Reported: 2018-04-03 16:56 MSK by Антон Мидюков
Modified: 2023-11-15 17:37 MSK (History)
5 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Антон Мидюков 2018-04-03 16:56:30 MSK
gnome-logs не требует авторизации, при запуске сообщает, что не удалось прочитать пользовательские журналы. При запуске от пользователя при нажатии на любой из журналов, приложение падает с ошибкой сегментирования.

Если запустить с правами root, проблем нет, кроме предупреждения о том, что не удалось прочитать пользовательские журналы.

Может там должно быть предусмотрено повышение привилегий при помощи polkit?

Проверялось на regular-gnome3-20180403-i586.iso в virtualbox.
Comment 1 Yuri N. Sedunov 2018-04-03 17:36:10 MSK
Вероятно, у пользователя в вашей регулярке действительно недостаточно прав для просмотра журналов.
journalctl
?
journalctl --user
?
Comment 2 Антон Мидюков 2018-04-03 18:35:07 MSK
(В ответ на комментарий №1)
> Вероятно, у пользователя в вашей регулярке действительно недостаточно прав для
> просмотра журналов.
> journalctl
> ?
> journalctl --user
> ?

На обе команды сообщает, что нет прав доступа. Странно, в остальных регулярках права доступа есть для пользователя altlinux. altlinux сотоит в группах:
altlinux wheel uucp proc cdwriter audio radio users fuse netadmin xgrp scanner

Что там ещё за доп защита у Gnome3?
Comment 3 Yuri N. Sedunov 2018-04-03 18:49:21 MSK
(В ответ на комментарий №2)
> Что там ещё за доп защита у Gnome3?

Давайте без фантастических версий. То же самое попробуйте в консоли.
Comment 4 Антон Мидюков 2018-04-03 19:09:33 MSK
(В ответ на комментарий №3)
> (В ответ на комментарий №2)
> > Что там ещё за доп защита у Gnome3?
> 
> Давайте без фантастических версий. То же самое попробуйте в консоли.

Да, в текстовой консоли tty2 regular-gnome у пользователя altlinux также нет прав на просмотр журнала. В regular-cinnamon у пользователя altlinux права есть, что в графическом сеансе, что в текстовом терминале. Надо искать отличия...
Comment 5 Антон Мидюков 2018-04-04 06:59:15 MSK
На прошлой неделе проблемы доступа к журналу не было.
Что-то прилетело в Сизиф как раз перед сборкой regular-gnome3, но уже после сборки Cinnamon. А это значит, что проблема будет во всех сегодняшних регуряках с systemd :-(
Comment 6 Антон Мидюков 2018-04-04 07:59:15 MSK
(В ответ на комментарий №5)
> На прошлой неделе проблемы доступа к журналу не было.
> Что-то прилетело в Сизиф как раз перед сборкой regular-gnome3, но уже после
> сборки Cinnamon. А это значит, что проблема будет во всех сегодняшних регуряках
> с systemd :-(

Хотя, нет. Проблема только у systemd + ядро un-def. У regular-xfce та же проблема с доступом к журналу. На сегодняшних cinnamon и enlightenment проблемы нет.

Но в тоже время на моём ноутбуке проблемы нет. Я вчера обновился, и ядро un-def у меня свежее. Буду разбираться.

Претензия к gnome-logs одна, почему приложение сегфолтится, если у пользователя нет доступа к журналу?
Comment 7 Yuri N. Sedunov 2018-04-04 12:51:48 MSK
(В ответ на комментарий №6)
> (В ответ на комментарий №5)
> > На прошлой неделе проблемы доступа к журналу не было.
> > Что-то прилетело в Сизиф как раз перед сборкой regular-gnome3, но уже после
> > сборки Cinnamon. А это значит, что проблема будет во всех сегодняшних регуряках
> > с systemd :-(
> 
> Хотя, нет. Проблема только у systemd + ядро un-def. У regular-xfce та же
> проблема с доступом к журналу. На сегодняшних cinnamon и enlightenment проблемы
> нет.
> 
> Но в тоже время на моём ноутбуке проблемы нет. Я вчера обновился, и ядро un-def
> у меня свежее. Буду разбираться.

Наиболее вероятно, что проблема в правах на /var/log/journal, getfacl покажет. 
К этому каталогу должны применяться правила из /lib/tmpfiles.d/systemd.conf
Comment 8 Антон Мидюков 2018-04-04 13:15:32 MSK
(В ответ на комментарий №7)
> 
> Наиболее вероятно, что проблема в правах на /var/log/journal, getfacl покажет. 
> К этому каталогу должны применяться правила из /lib/tmpfiles.d/systemd.conf

На проблемном live

getfacl /var/log/journal
getfacl: Removing leading '/' from absolute path names
# file: var/log/journal
# owner: root
# group: systemd-journal
# flags: -s-
user::rwx
group::r-x
other::r-x

cat /lib/tmpfiles.d/systemd.conf
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.

# See tmpfiles.d(5) for details

d /run/user 0755 root root -
F! /run/utmp 0664 root utmp -

d /run/systemd/ask-password 0755 root root -
d /run/systemd/seats 0755 root root -
d /run/systemd/sessions 0755 root root -
d /run/systemd/users 0755 root root -
d /run/systemd/machines 0755 root root -
d /run/systemd/shutdown 0755 root root -

d /run/log 0755 root root -

z /run/log/journal 2755 root systemd-journal - -
Z /run/log/journal/%m ~2750 root systemd-journal - -

a+ /run/log/journal/%m - - - - d:group:adm:r-x,d:group:wheel:r-x
a+ /run/log/journal/%m - - - - group:adm:r-x,group:wheel:r-x
a+ /run/log/journal/%m/*.journal* - - - - group:adm:r--,group:wheel:r--

z /var/log/journal 2755 root systemd-journal - -
z /var/log/journal/%m 2755 root systemd-journal - -
z /var/log/journal/%m/system.journal 0640 root systemd-journal - -

a+ /var/log/journal    - - - - d:group:adm:r-x,d:group:wheel:r-x
a+ /var/log/journal    - - - - group:adm:r-x,group:wheel:r-x
a+ /var/log/journal/%m - - - - d:group:adm:r-x,d:group:wheel:r-x
a+ /var/log/journal/%m - - - - group:adm:r-x,group:wheel:r-x
a+ /var/log/journal/%m/system.journal - - - - group:adm:r--,group:wheel:r--

d /var/lib/systemd 0755 root root -
d /var/lib/systemd/coredump 0755 root root 3d
Comment 9 Michael Shigorin 2018-04-04 15:09:13 MSK
(В ответ на комментарий №5)
> Что-то прилетело в Сизиф как раз перед сборкой regular-gnome3, но уже после
> сборки Cinnamon.
Для справки: дело было бы всяко не в этом, т.к. собирается на локальном зеркале, а его синхронизация лочится на время сборки комплекта регулярок (аналогично для стартеркитов).

Возможно, в un-def что-то сломалось по части acl на squashfs+aufs?
Comment 10 Антон Мидюков 2018-04-07 12:32:22 MSK
На проблемных лайвах ACL действительно выставлен неверно на файлы журнала:

getfacl /var/log/journal/7aa6641c55022eac95d576515ac47bd8/system.journal
getfacl: Removing leading '/' from absolute path names
# file: var/log/journal/7aa6641c55022eac95d576515ac47bd8/system.journal
# owner: root
# group: systemd-journal
user::rw-
group::r--
other::---

[altlinux@localhost ~]$ getfacl /var/log/journal/7aa6641c55022eac95d576515ac47bd8/user-500.journal
getfacl: Removing leading '/' from absolute path names
# file: var/log/journal/7aa6641c55022eac95d576515ac47bd8/user-500.journal
# owner: root
# group: systemd-journal
user::rw-
group::r--
other::---

А должно было быть:

getfacl /var/log/journal/3f972052fb97a3a17a9674505ac4725c/system.journal
getfacl: Removing leading '/' from absolute path names
# file: var/log/journal/3f972052fb97a3a17a9674505ac4725c/system.journal
# owner: root
# group: systemd-journal
user::rw-
group::r--
group:adm:r--
group:wheel:r--
mask::r--
other::---

getfacl /var/log/journal/3f972052fb97a3a17a9674505ac4725c/user-500.journal
getfacl: Removing leading '/' from absolute path names
# file: var/log/journal/3f972052fb97a3a17a9674505ac4725c/user-500.journal
# owner: root
# group: systemd-journal
user::rw-
user:altlinux:r--
group::r-x            #effective:r--
group:adm:r-x            #effective:r--
group:wheel:r-x            #effective:r--
mask::r--
other::---
Comment 11 Антон Мидюков 2018-04-07 15:28:41 MSK
Собрал regular-xfce.iso с ядром un-def и ядром std-def. У сборки с ядром std-def проблемы нет, у сборки с un-def есть. Значит точно дело в ядре.
Comment 12 Антон Мидюков 2023-11-15 17:37:33 MSK
Проблема была исправлена в #34793