抓虫:sw架构防火墙服务启动失败

于 2024-11-15 13:39:58 发布
阅读量507 收藏 3
点赞数 4
文章标签: 架构 linux bug
GNU
本文链接:https://blog.youkuaiyun.com/weixin_42544902/article/details/143796429
版权

开始

已知:firewalld服务启动失败 且没什么日志。。。

# systemctl status firewalld
× firewalld.service - firewalld - dynamic firewall daemon
     Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
     Active: failed (Result: exit-code) since Thu 2024-11-14 18:37:59 CST; 16h ago
       Docs: man:firewalld(1)
   Main PID: 1485 (code=exited, status=3)

11月 14 18:37:58 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
11月 14 18:37:59 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.
11月 14 18:37:59 localhost.localdomain systemd[1]: firewalld.service: Main process exited, code=exited, status=3/NOTIMPLEMENTED
11月 14 18:37:59 localhost.localdomain systemd[1]: firewalld.service: Failed with result 'exit-code'.

# journalctl -u firewalld
11月 14 18:37:58 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
11月 14 18:37:59 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.
11月 14 18:37:59 localhost.localdomain systemd[1]: firewalld.service: Main process exited, code=exited, status=3/NOT>
11月 14 18:37:59 localhost.localdomain systemd[1]: firewalld.service: Failed with result 'exit-code'.

调试

先根据systemctl status firewalld输出看一下服务在什么地方,看一下这个服务启动了什么命令

# cat /usr/lib/systemd/system/firewalld.service
ExecStart=/usr/sbin/firewalld --nofork --nopid $FIREWALLD_ARGS

申威架构大多追踪软件也不可使用,忽略最后一个参数,执行下试试

这个脚本是python的,先使用python的pdb试一下,如果是python代码的地方报错pdb会停在那里

# file /usr/sbin/firewalld 
/usr/sbin/firewalld: Python script, ASCII text executable
# python3 -m pdb /usr/sbin/firewalld --nofork --nopid
> /usr/sbin/firewalld(27)<module>()
-> import os
(Pdb) r
mnl.c:44: Unable to initialize Netlink socket: 不支持的协议

额。。。并没有停住,看来是python调用c的时候上层封装没有抛异常

再使用gdb调试,知道会向stderr/stdout输出一条消息,所以设置断点,断点的条件是write的第一个参数是1或者2,1代表stdout,2代表stderr。设置断点在输出到stdout/stderr时候。$r4 r4寄存器是申威架构的函数传参约定的第一个参数寄存器,不同架构不一样。

firewalld会有好几次的write输出干扰,前几次的来自于pthread.so也有个write函数,没关系,多试几次就找到真正报错的地方了。

# gdb /usr/bin/python3
(gdb) set args /usr/sbin/firewalld --nofork --nopid
(gdb) b write if $r4 = 1
(gdb) b write if $r4 = 2
(gdb) r
(gdb) c
(gdb) c
(gdb) c
(gdb) c
(gdb) c
...
(gdb) bt
#0  0x00004000009a9f08 in write () from /usr/lib/libc.so.6.1
#1  0x00004000009368e8 in _IO_file_write@@GLIBC_2.1 () from /usr/lib/libc.so.6.1
#2  0x00004000009356fc in new_do_write () from /usr/lib/libc.so.6.1
#3  0x000040000093732c in __GI__IO_file_xsputn () from /usr/lib/libc.so.6.1
#4  0x00004000008ffd74 in buffered_vfprintf () from /usr/lib/libc.so.6.1
#5  0x0000400000902f5c in vfprintf@@GLIBC_2.4 () from /usr/lib/libc.so.6.1
#6  0x0000400000a1aa6c in fprintf@GLIBC_2.0 () from /usr/lib/libc.so.6.1
#7  0x0000400003d2bedc in __netlink_init_error () from /lib/libnftables.so.1.0.0
#8  0x0000400003d4475c in nft_mnl_socket_open () from /lib/libnftables.so.1.0.0
#9  0x0000400003d4c07c in nft_ctx_new () from /lib/libnftables.so.1.0.0
#10 0x0000400002076ff8 in ffi_call_osf () from /usr/lib/libffi.so.8
#11 0x000040000207680c in ffi_call_int () from /usr/lib/libffi.so.8
#12 0x00004000032db6fc in _ctypes_callproc () from /usr/lib/python3.6/lib-dynload/_ctypes.cpython-36m-sw_64-linux-gnu.so
#13 0x00004000032dd0b4 in PyCFuncPtr_call () from /usr/lib/python3.6/lib-dynload/_ctypes.cpython-36m-sw_64-linux-gnu.so
#14 0x00004000004d5784 in _PyObject_FastCallDict () from /usr/lib/libpython3.6m.so.1.0
#15 0x0000400000563928 in call_function () from /usr/lib/libpython3.6m.so.1.0

看到栈7和栈8,就是出错位置。这里执行了mnl_socket_open没有成功

struct mnl_socket *nft_mnl_socket_open(void)
{
	struct mnl_socket *nf_sock;

	nf_sock = mnl_socket_open(NETLINK_NETFILTER);
	if (!nf_sock)
		netlink_init_error();

	if (fcntl(mnl_socket_get_fd(nf_sock), F_SETFL, O_NONBLOCK))
		netlink_init_error();

	return nf_sock;
}

void __noreturn __netlink_init_error(const char *filename, int line,
				     const char *reason)
{
	fprintf(stderr, "%s:%d: Unable to initialize Netlink socket: %s\n",
		filename, line, reason);
	exit(NFT_EXIT_NONL);
}

看到这个函数来自于外部定义,readelf -s -W /lib/libnftables.so.1.0.0的输出中,第一个123是index,后面一个长长的0是elf文件中这个函数的地址,地址是0即代表这个函数是外部的,本elf中没有地址。

结合这个函数的名称,和readelf -d /lib/libnftables.so.1.0.0猜,这个函数来自于ibmnl.so.0

Tips: 找函数位于哪个动态库时应该使用readelf -d而不要使用ldd ldd命令是通过环境变量设置ld只加载不执行实现的,ld加载过程中会加载依赖动态库的依赖动态库,也就是说,firewalld依赖libmnl.so.0ldd也会显示出libmnl.so.0的依赖,但通常我们不关心libmnl.so.0的依赖

# readelf -s -W  /lib/libnftables.so.1.0.0 |grep mnl_socket_open
   123: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND mnl_socket_open@LIBMNL_1.0 (6)
[root@localhost nftables-master]# readelf -d  /lib/libnftables.so.1.0.0 
 0x0000000000000001 (NEEDED)             共享库:[libmnl.so.0]

出错的mnl_socket_open(NETLINK_NETFILTER)实际会执行socket(AF_NETLINK, SOCK_RAW | NETLINK_NETFILTER, bus);,而很明显,socket是一个系统调用。。。

Tips: 这里说socket是一个系统调用,不代表c语言里直接执行socket就是一个系统调用的执行,通常glibc会对系统调用封装,比如系统调用的返回值glibc会设置到errno中,errno是用户态每个线程独享的一个成员和内核无关,即c语言里直接执行的socket是glibc对系统调用socket的一个封装。而且,系统调用的传参约定、触发方式和用户态函数并不相同,glibc也提供裸调用syscall转化参数寄存器方法。

struct mnl_socket *mnl_socket_open(int bus)
{
	return __mnl_socket_open(bus, 0);
}

static struct mnl_socket *__mnl_socket_open(int bus, int flags)
{
	struct mnl_socket *nl;

	nl = calloc(1, sizeof(struct mnl_socket));
	if (nl == NULL)
		return NULL;

	nl->fd = socket(AF_NETLINK, SOCK_RAW | flags, bus);
	if (nl->fd == -1) {
		free(nl);
		return NULL;
	}

	return nl;
}

验证一下,确实是socket系统调用不支持网络过滤

# strace -e socket /usr/sbin/firewalld --nofork --nopid
socket(AF_NETLINK, SOCK_RAW, NETLINK_NETFILTER) = -1 EPROTONOSUPPORT (不支持的协议)
mnl.c:44: Unable to initialize Netlink socket: 不支持的协议
+++ exited with 3 +++

完结,内核不支持。

Kira Skyler
关注
Linux——centos7防火墙重启失败
网络技术站
10-27 4290
防火墙重启失败
linux防火墙启动失败,Centos 7防火墙启动失败
weixin_42470969的博客
05-12 2675
突然之间发现centos 7 的防火墙无法启动,且firewall-cmd命令运行报错:防火墙启动报错如下:[root@localhost firewalld]# systemctl start firewalld.serviceJob for firewalld.service failed because the control process exited with error code. ...
Linux防火墙报错:Failed to start firewalld.service Unit is masked
生而无畏,战至终章
08-21 3635
Failed to start firewalld.service: Unit is masked.
firewalld启动失败--Failed to start firewalld - dynamic firewall daemon.
孤独的根号三
11-04 1万+
错误信息: Failed to start firewalld - dynamic firewall daemon. 原因是系统python默认指向的是python3,而实际依赖的是python2; 查找firewalld绝对路径; 将此处修改为python2,保存退出; 启动firewalld ...
Linux防火墙启动超时报错:firewalld.service: Failed with result ‘timeout‘
最新发布
m0_70227179的博客
11-12 700
如果你没有修改其他配置文件的情况下,大概率就是重启防火墙失败之后进程堵塞了,导致后续无法在启动防火墙
Linux 防火墙启动失败问题
初心不改
05-11 2826
有看到别的老哥说:其实当输入 firewall-cmd 系列的命令的时候都会报错。
启动firewalld失败和解决
best_ASCII的博客
09-21 2318
启动firewalld失败 2021-09-21 22:08:02 ERROR: Exception DBusException: org.freedesktop.DBus.Error.AccessDenied: Connection ":1.10" is not allowed to own the service "org.fedoraproject.FirewallD1" due to security policies in the configuration file 解决 yum upda
数据驱动安全管理:OPNsense透明防火墙监控与报告
本文首先概述了数据驱动安全管理的基本概念和OPNsense透明防火墙的基础知识,包括其架构原理、安装配置以及监控与日志分析。随后,文章深入探讨了数据监控与报告的实践应用,阐述了数据监控的理论基础、数据收
网络安全第一防线:Linux Mint防火墙设置终极指南
![网络安全第一防线:Linux Mint防火墙...在当今高度互联的世界中,理解和正确配置防火墙对于保护组织不受网络攻击至关重要。 ## 1.1 网络安全的重要性 网络安全不仅保护敏感信息不受盗窃,还确保了业务的持续性和品牌
网络安全意识提升:OPNsense透明防火墙教育培训资源
!... # 摘要 网络安全是保护信息资产不受威胁的关键环节...本文首先介绍了网络安全与防火墙的基础知识,随后深入探讨了OPNsense防火墙的特性、配置方法及高级安全设置,包括透明防火墙的设置、安全规则的制定和IPsec VPN的
Paloalto防火墙多租户配置高级教程:打造灵活托管服务的模型架构
[Paloalto防火墙多租户配置高级教程:打造灵活托管服务的模型架构](https://knowledgebase.paloaltonetworks.com/servlet/rtaImage?eid=ka14u000000cB8B&feoid=00N0g000003VPSv&refid=0EM0g000001Ae8d) 参考资源...
高并发二手交易后台技术解码:服务架构的最佳实践
[高并发二手交易后台技术解码:服务架构的最佳实践](https://www.oreilly.com/api/v2/epubs/9781449358013/files/httpatomoreillycomsourceoreillyimages1821092.png) 参考资源链接:[校园二手交易网站需求规格...
重启防火墙Job for firewalld.service failed because a timeout was exceded. See systemctl status for detail
weixin_70208651的博客
08-13 1117
Firewalld是一个功能强大的动态防火墙系统,管理网络连接和防止未经授权的访问。包过滤防火墙Firewalld利用内核的netfilter子系统来执行其防火墙功能,确保系统安全。相比iptables防火墙Firewalld防火墙可使用动态管理方式来管理防火墙规则,可适应不同的网络环境和应用场景。重启防火墙错误Redirecting to systemctl restart firewalld.service,Job for firewalld.service failed 查下来是防火墙没有彻底关闭。
centos7. 防火墙启动失败Job for firewalld.service failed because the control process exited with error code.
求是
03-06 5917
systemctl status firewalld.servicefirewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) Active: f...
Linux(阿里云)防火墙开启/关闭Failed to start firewalld.service: Unit is masked
学过印刷包装工程研究过食品科学且会点计算机编程的多功能码农
03-11 2962
解决防火墙Failed to start firewalld.service: Unit is masked问题
2021年CentOS7关于Firewalld防火墙失效报错问题处理
热门推荐
Insupport的博客
02-23 1万+
今天发现了一个问题,就是在我进行firewalld防火墙增加指定端口访问的策略时 出现了报错问题,firewalld命令用不了,提示什么没有GI模块: Traceback (most recent call last): File "/usr/bin/firewall-cmd", line 24, in <module> from gi.repository import GObject ImportError: No module named repository 咱也不知道是什么
python调用centos防火墙_更改python版本导致centos 7防火墙启动失败
weixin_39968410的博客
12-16 971
一大早跑个docker玩玩,很开心的从本地访问服务器上的nginx服务,感觉哪里不对劲,想想我的服务器开了防火墙,而nginx映射对口我并没有加入防火墙,居然能访问,起了疑心就去看个究竟,一看发现systemctl status firewalld.service命令居然无效,报的错误是Unit firewalld.service could not be found难道是防火墙被卸载了,由于最近...
centos 7 firewall无法启动
anguabeng5189的博客
01-25 789
报错信息: [root@localhost bin]# systemctl status firewalldfirewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor prese...
zabbix故障处理5-selinux问题
sunrise运维笔记
11-27 1345
现象:用rpm包方式安装zabbix 4.4,在最后一步启动zabbix服务时候,无法启动。报错如下: [root@f5 ~]# systemctl status zabbix-server ● zabbix-server.service - Zabbix Server Loaded: loaded (/usr/lib/systemd/system/zabbix-server.servic...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值