/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to initramfs-tools-hook

  • Committer: Teddy Hogeborn
  • Date: 2015-05-23 20:18:34 UTC
  • mto: This revision was merged to the branch mainline in revision 756.
  • Revision ID: teddy@recompile.se-20150523201834-e89ex4ito93yni8x
mandos: Use multiprocessing module to run checkers.

For a long time, the Mandos server has occasionally logged the message
"ERROR: Child process vanished".  This was never a fatal error, but it
has been annoying and slightly worrying, since a definite cause was
not found.  One potential cause could be the "multiprocessing" and
"subprocess" modules conflicting w.r.t. SIGCHLD.  To avoid this,
change the running of checkers from using subprocess.Popen
asynchronously to instead first create a multiprocessing.Process()
(which is asynchronous) calling a function, and have that function
then call subprocess.call() (which is synchronous).  In this way, the
only thing using any asynchronous subprocesses is the multiprocessing
module.

This makes it necessary to change one small thing in the D-Bus API,
since the subprocesses.call() function does not expose the raw wait(2)
status value.

DBUS-API (CheckerCompleted): Change the second value provided by this
                             D-Bus signal from the raw wait(2) status
                             to the actual terminating signal number.
mandos (subprocess_call_pipe): New function to be called by
                               multiprocessing.Process (starting a
                               separate process).
(Client.last_checker signal): New attribute for signal which
                              terminated last checker.  Like
                              last_checker_status, only not accessible
                              via D-Bus.
(Client.checker_callback): Take new "connection" argument and use it
                           to get returncode; set last_checker_signal.
                           Return False so gobject does not call this
                           callback again.
(Client.start_checker): Start checker using a multiprocessing.Process
                        instead of a subprocess.Popen.
(ClientDBus.checker_callback): Take new "connection" argument.        Call
                               Client.checker_callback early to have
                               it set last_checker_status and
                               last_checker_signal; use those.  Change
                               second value provided to D-Bus signal
                               CheckerCompleted to use
                               last_checker_signal if checker was
                               terminated by signal.
mandos-monitor: Update to reflect DBus API change.
(MandosClientWidget.checker_completed): Take "signal" instead of
                                        "condition" argument.  Use it
                                        accordingly.  Remove dead code
                                        (os.WCOREDUMP case).

Show diffs side-by-side

added added

removed removed

Lines of Context:
initramfs-tools-hook
3
3
# This script will be run by 'mkinitramfs' when it creates the image.
4
4
# Its job is to decide which files to install, then install them into
5
5
# the staging area, where the initramfs is being created.  This
6
 
# happens when a new 'linux-image' package is installed, or when the
 
6
# happens when a new 'linux-image' package is installed, or when an
7
7
# administrator runs 'update-initramfs' by hand to update an initramfs
8
8
# image.
9
9
 
29
29
 
30
30
. /usr/share/initramfs-tools/hook-functions
31
31
 
32
 
for d in /usr /usr/local; do
33
 
    if [ -d "$d"/lib/mandos ]; then
34
 
        prefix="$d"
 
32
for d in /usr/lib \
 
33
    "/usr/lib/`dpkg-architecture -qDEB_HOST_MULTIARCH 2>/dev/null`" \
 
34
    "`rpm --eval='%{_libdir}' 2>/dev/null`" /usr/local/lib; do
 
35
    if [ -d "$d"/mandos ]; then
 
36
        libdir="$d"
35
37
        break
36
38
    fi
37
39
done
38
 
if [ -z "$prefix" ]; then
 
40
if [ -z "$libdir" ]; then
39
41
    # Mandos not found
40
42
    exit 1
41
43
fi
72
74
 
73
75
# Make directories
74
76
install --directory --mode=u=rwx,go=rx "${DESTDIR}${CONFDIR}" \
75
 
        "${DESTDIR}${MANDOSDIR}"
 
77
        "${DESTDIR}${MANDOSDIR}" "${DESTDIR}${HOOKDIR}"
76
78
install --owner=${mandos_user} --group=${mandos_group} --directory \
77
79
    --mode=u=rwx "${DESTDIR}${PLUGINDIR}"
78
80
 
79
81
# Copy the Mandos plugin runner
80
 
copy_exec "$prefix"/lib/mandos/plugin-runner "${MANDOSDIR}"
 
82
copy_exec "$libdir"/mandos/plugin-runner "${MANDOSDIR}"
81
83
 
82
84
# Copy the plugins
83
85
 
84
86
# Copy the packaged plugins
85
 
for file in "$prefix"/lib/mandos/plugins.d/*; do
 
87
for file in "$libdir"/mandos/plugins.d/*; do
86
88
    base="`basename \"$file\"`"
87
89
    # Is this plugin overridden?
88
90
    if [ -e "/etc/mandos/plugins.d/$base" ]; then
107
109
    esac
108
110
done
109
111
 
 
112
# Get DEVICE from initramfs.conf and other files
 
113
. /etc/initramfs-tools/initramfs.conf
 
114
for conf in /etc/initramfs-tools/conf.d/*; do
 
115
    if [ -n `basename \"$conf\" | grep '^[[:alnum:]][[:alnum:]\._-]*$' \
 
116
        | grep -v '\.dpkg-.*$'` ]; then
 
117
        [ -f ${conf} ] && . ${conf}
 
118
    fi
 
119
done
 
120
export DEVICE
 
121
 
110
122
# Copy network hooks
111
123
for hook in /etc/mandos/network-hooks.d/*; do
112
124
    case "`basename \"$hook\"`" in
113
125
        "*") continue ;;
114
 
        *[!A-Za-z0-9_-]*) continue ;;
 
126
        *[!A-Za-z0-9_.-]*) continue ;;
115
127
        *) test -d "$hook" || copy_exec "$hook" "${HOOKDIR}" ;;
116
128
    esac
117
 
    # Copy any files needed by the network hook
118
 
    MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=files \
119
 
        "$hook" files | while read file target; do
120
 
        if [ -z "${target}" ]; then
121
 
            copy_exec "$file"
122
 
        else
123
 
            copy_exec "$file" "$target"
 
129
    if [ -x "$hook" ]; then
 
130
        # Copy any files needed by the network hook
 
131
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=files \
 
132
            VERBOSITY=0 "$hook" files | while read file target; do
 
133
            if [ ! -e "${file}" ]; then
 
134
                echo "WARNING: file ${file} not found, requested by Mandos network hook '${hook##*/}'" >&2
 
135
            fi
 
136
            if [ -z "${target}" ]; then
 
137
                copy_exec "$file"
 
138
            else
 
139
                copy_exec "$file" "$target"
 
140
            fi
 
141
        done
 
142
        # Copy and load any modules needed by the network hook
 
143
        MANDOSNETHOOKDIR=/etc/mandos/network-hooks.d MODE=modules \
 
144
            VERBOSITY=0 "$hook" modules | while read module; do
 
145
            if [ -z "${target}" ]; then
 
146
                force_load "$module"
 
147
            fi
 
148
        done
 
149
    fi
 
150
done
 
151
 
 
152
# GPGME needs GnuPG
 
153
gpg=/usr/bin/gpg
 
154
libgpgme11_version="`dpkg-query --showformat='${Version}' --show libgpgme11`"
 
155
if dpkg --compare-versions "$libgpgme11_version" ge 1.5.0-0.1; then
 
156
    if [ -e /usr/bin/gpgconf ]; then
 
157
        if [ ! -e "${DESTDIR}/usr/bin/gpgconf" ]; then
 
158
            copy_exec /usr/bin/gpgconf
124
159
        fi
125
 
    done
126
 
done
127
 
 
128
 
# GPGME needs /usr/bin/gpg
129
 
if [ ! -e "${DESTDIR}/usr/bin/gpg" \
130
 
    -a -n "`ls \"${DESTDIR}\"/usr/lib/libgpgme.so* \
131
 
                2>/dev/null`" ]; then
132
 
    copy_exec /usr/bin/gpg
133
 
fi
 
160
        gpg="`/usr/bin/gpgconf|sed --quiet --expression='s/^gpg:[^:]*://p'`"
 
161
    fi
 
162
elif dpkg --compare-versions "$libgpgme11_version" ge 1.4.1-0.1; then
 
163
    gpg=/usr/bin/gpg2
 
164
fi
 
165
if [ ! -e "${DESTDIR}$gpg" ]; then
 
166
    copy_exec "$gpg"
 
167
fi
 
168
unset gpg
 
169
unset libgpgme11_version
134
170
 
135
171
# Config files
136
172
for file in /etc/mandos/plugin-runner.conf; do