All perguntas(unix)

Sou um derivado do Debian 12 e estou tentando instalar drivers da Nvidia. Para isso, precisei instalar linux-headers e dependências:

Primeiro, verifiquei as informações do meu kernel,

uname -r
6.12.12+bpo-amd64

Depois disso, tentei instalar os pacotes relativos:

sudo apt install linux-headers-6.12.12+bpo-amd64

E então, recebi as mensagens de erro,

make -j16 KERNELRELEASE=6.12.12+bpo-amd64 KERNEL_DIR=/lib/modules/6.12.12+bpo-amd64/build all...(bad exit status: 2)
Error! Bad return status for module build on kernel: 6.12.12+bpo-amd64 (x86_64)
Consult /var/lib/dkms/v4l2loopback/0.12.7/build/make.log for more information.
Error! One or more modules failed to install during autoinstall.
Refer to previous errors for more information.
dkms: autoinstall for kernel: 6.12.12+bpo-amd64 failed!
run-parts: /etc/kernel/header_postinst.d/dkms exited with return code 11
Failed to process /etc/kernel/header_postinst.d at /var/lib/dpkg/info/linux-headers-6.12.12+bpo-amd64.postinst line 11.

Quando eu verifico os logs relacionados,

sudo cat /var/lib/dkms/v4l2loopback/0.12.7/build/make.log
DKMS make.log for v4l2loopback-0.12.7 for kernel 6.12.12+bpo-amd64 (x86_64)
Prş 03 Nis 2025 22:14:27 +03
Building v4l2-loopback driver...
make -C /lib/modules/6.12.12+bpo-amd64/build M=/var/lib/dkms/v4l2loopback/0.12.7/build modules
make[1]: Entering directory '/usr/src/linux-headers-6.12.12+bpo-amd64'
  CC [M]  /var/lib/dkms/v4l2loopback/0.12.7/build/v4l2loopback.o
/var/lib/dkms/v4l2loopback/0.12.7/build/v4l2loopback.c: In function ‘vidioc_querycap’:
/var/lib/dkms/v4l2loopback/0.12.7/build/v4l2loopback.c:717:9: error: implicit declaration of function ‘strlcpy’; did you mean ‘strncpy’? [-Werror=implicit-function-declaration]
  717 |         strlcpy(cap->driver, "v4l2 loopback", sizeof(cap->driver));
      |         ^~~~~~~
      |         strncpy
cc1: some warnings being treated as errors
make[3]: *** [/usr/src/linux-headers-6.12.12+bpo-common/scripts/Makefile.build:234: /var/lib/dkms/v4l2loopback/0.12.7/build/v4l2loopback.o] Error 1
make[2]: *** [/usr/src/linux-headers-6.12.12+bpo-common/Makefile:1962: /var/lib/dkms/v4l2loopback/0.12.7/build] Error 2
make[1]: *** [/usr/src/linux-headers-6.12.12+bpo-common/Makefile:236: __sub-make] Error 2
make[1]: Leaving directory '/usr/src/linux-headers-6.12.12+bpo-amd64'
make: *** [Makefile:43: v4l2loopback.ko] Error 2

Qual poderia ser o possível motivo e o que devo fazer?

Melhor,

Orkut

Sou novo em trabalhar com SO e unix, estou tentando criar usuários separados para um aplicativo, nginx, etc... e para executar o processo em nome deles. No momento, estou depurando as seguintes maneiras de executar o comando, e não consigo descobrir exatamente o que está realmente acontecendo ao usar os comandos runuser -u username e su username.

ATUALIZAÇÃO (agradecimento a @Kusalananda)

Certo, o que há de errado com as permissões?

root@someuser:/somehome# runuser -u app "source /etc/app/secrets/env; /somehome/way/app &" &
[4] 479621
root@someuser:/somehome# runuser: failed to execute source /etc/app/secrets/env; /somehome/way/app &: Permission denied
^C
[4]   Exit 1                  runuser -u app "source /etc/app/secrets/env; /somehome/way/app &"
root@someuser:/somehome#
root@someuser:/somehome#
root@someuser:/somehome# ls -ld /etc/app/secrets/env
-r-------- 1 app nogroup 1126 Apr  1 15:15 /etc/app/secrets/env
root@someuser:/somehome# ls -ld /etc/app/secrets
drwx------ 2 app nogroup 4096 Apr  1 15:15 /etc/app/secrets
root@someuser:/somehome# ls -ld /somehome/way/app
-rwxrw-r-- 1 app someuser 348528086 Mar 31 22:23 /somehome/way/app
root@someuser:/somehome# ls -ld /somehome/way/
drwxr-xr-x 3 someuser someuser 4096 Apr  1 09:30 /somehome/way/

ou agora estou tentando correr assim:

runuser --pty -u app -- bash "source /etc/app/secrets/env && /somehome/way/app &"
bash: source /etc/app/secrets/env && /somehome/way/app &: Permission denied

A primeira (pergunta original): O problema era $(), graças a @Kusalananda

Quero ressaltar que executo conscientemente, por exemplo, um aplicativo da web como um processo em segundo plano.

Vá direto ao ponto. Eu executo aplicações/comandos assim:

runuser -u someapp $(source /etc/someapp/secrets/env; /someapp)
   su nginx source /etc/someapp/secrets/env && sleep 90s &

Eventualmente, eu verifico ps aux ou ps -A e vejo: app ou os comandos "sleep" estão sendo executados como root!? O que estou fazendo errado? Ou o que não entendi?

PS Mas executando este comando eu obtenho o que eu esperava:

runuser -u testappuser2 sleep 30s &
#ps output
root      462265  0.0  0.4   9376  4224 pts/1    S    18:20   0:00 runuser -u testappuser2 sleep 30s
testapp+  462270  0.0  0.1   5684  1920 pts/1    S    18:20   0:00 sleep 30s

Sou novo no uso do Linux depois de decidir limpar completamente o disco do meu laptop e fazer uma instalação limpa do Linux Mint no meu antigo laptop, que não é compatível com o Windows 11.

O laptop agora deu o fantasma, e estou começando a preferir o Linux Mint ao Microsoft Windows. Então, decidi ir para um Raspberry Pi 5 com 8 GB de RAM e um chapéu NVMe.

Tenho a impressão de que não preciso instalar do zero como precisaria com o Microsoft Windows. Então, posso simplesmente conectar a unidade SATA do laptop a um conector USB por meio de um adaptador e usá-lo para inicializar minha antiga configuração do Linux Mint ou precisarei clonar o conteúdo da unidade SATA para um cartão SD ou unidade NVMe?

Ao configurar a alocação dinâmica de memória, o kernel do Linux precisa escolher um local para colocar seu heap, certo? Como ele evita sobrescrever sua própria pilha ou que a pilha cresça e sobrescreva o heap posteriormente?

Fundo

Estou configurando um backup rsync via serviço SSH via SystemD. No fim das contas, isso não está funcionando devido ao SElinux local; exemplo mínimo reproduzível:

[Unit]
Description=Rsync backup service

[Service]
Type=oneshot
User=myuser
ExecStart=/usr/bin/ssh -vvv 192.168.1.10 "ls -lah"

Se eu, setenforce 0antes de iniciar o serviço, tudo funciona como esperado e recebo a listagem de diretórios solicitada. Se o SElinux estiver impondo, recebo um erro do SystemD:

Starting backup.service - Rsync backup service...
backup.service: Main process exited, code=exited, status=203/EXEC
backup.service: Failed with result 'exit-code'.
Failed to start backup.service - Rsync backup service

Da mesma forma, se eu executar via SystemD com rsync, vejo o processo filho encerrado com -13:

rsync: [sender] Failed to exec /usr/bin/ssh: Permission denied (13)

Coisas que verifiquei

• Todos os comandos funcionam conforme o esperado quando executados em um terminal, independentemente do estado imposto pelo SElinux.

• Estou executando como meu usuário ( ExecStart=/usr/bin/whoami):

  whoami[726624]: myuser
  

• Posso acessar o binário ssh ( ExecStart=/usr/bin/which ssh):

  which[727067]: /usr/bin/ssh
  

• Posso acessar meu .sshdiretório de usuários (não publicarei registros disso por motivos óbvios).

• De acordo com esta publicação do SO, o SElinux pode bloquear portas não padrão. Eu permiti apenas a porta padrão (o rsync usa uma porta diferente?), mas isso deve funcionar, já que o caso de teste base não usa uma porta diferente:

  # semanage port -l | grep ssh
  ssh_port_t                     tcp      22
  

Pergunta

O que faria o SElinux bloquear tentativas de SSH somente do SystemD, apesar de usar portas padrão e ter permissões totais para os arquivos envolvidos?

Edição 1

Verificando mensagens de negação explicitamente:

# ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR
...
type=AVC msg=audit(1743626691.891:17160): avc:  denied  { execute } for  pid=728337 comm="(ssh)" name="ssh" dev="dm-0" ino=3077371 scontext=system_u:system_r:init_t:s0 tcontext=system_u:object_r:ssh_exec_t:s0 tclass=file permissive=0
# journalctl -t setroubleshoot
-- No entries --
# dmesg | grep -i -e type=1300 -e type=1400
#

Admito que meu SElinux não é dos melhores e não tenho muita certeza do que fazer com isso. Estou folheando a documentação, mas ela é... volumosa... às vezes.

Criei um inicializador de desktop chamado Firefox.desktoppara uma versão do Firefox que não está vinculada à minha distribuição Linux (Fedora 41) e o coloquei ~/.local/share/applicationse mesmo depois de reiniciar várias vezes ele ainda não aparece na lista de aplicativos. Como faço para que ele apareça lá?

Usei desktop-file-validate no arquivo desktop e ele não me informou sobre nenhum problema.

Aqui está o conteúdo:

[Desktop Entry]
Version=1.0
Type=Application
NoDisplay=true
Exec=/home/esok/Applications/firefox/firefox-bin %u
Name=Firefox
Icon=/home/esok/Applications/firefox/icons/Firefox_logo_2019.svg.png

Considere o seguinte script:

#!/bin/bash

foo=Hello
bar=Word
cat <<EOF
No quotes single word delimiter expands
$foo
$bar

EOF

cat <<'EOF'
Single-quoted single word delimiter does not expand.
$foo
$bar

EOF

cat <<"EOF"
Double-quoted single word delimiter does not expand.
$foo
$bar

EOF

cat <<EOF\ SOME\ MORE
Unquoted multi-word word delimiter does not expand.
Can we get it to expand?
$foo
$bar

EOF SOME MORE

No último caso, estou usando um delimitador multipalavra, sem aspas, mas a saída é a seguinte:

Unquoted multi-word word delimiter does not expand.
Can we get it to expand?
$foo
$bar

Existe uma maneira de fazer o bash expandir variáveis ​​ao usar um delimitador heredoc de várias palavras?

A referência da Expansão da História do GNU não tem exemplos, então não sei se isso é possível.

Aqui está o que eu quero fazer. Eu corri cat long/path/to/file1.txt | less, então eu corri vim file2.txt. Usando a expansão do histórico, eu gostaria de correr, cat even/longer/path/to/file3.txt | lessmas não quero:

• Digite long/path/to/file1.txt, pois é inconveniente digitar.
• Consulte o comando anterior com um número; quero me referir a ele com uma string. ou seja, Use !cat..., mas não!-2...

Isso pode ser feito?

Aqui está o que eu tentei (não funciona):

!cat:^!cat:1^even/longer/path/to/file3.txt^

Aqui está meu processo de pensamento:

1. !cat- Substitua o último comando que começou com a string cat.
2. :^x^y^- Substitua xpor yneste comando
   1. !cat:1- Expandir para o primeiro argumento do último catcomando, ou seja,long/path/to/file1.txt
   2. even/longer/path/to/file3.txt– A substituição desse texto expandido

Um motivo óbvio para isso não funcionar é que estou aninhando expansões em expansões: !cat:1é interpretado como uma string literal.

Recebo esta saída:

long/path/to/file1.txtlong/path/to/file1.txteven/longer/path/to/file3.txt^: No such file or directory

Pelo que entendi, o número de CPUs no meu computador deve ser dado por

CPU = Thread(s) por núcleo x Núcleo(s) por soquete x Soquete(s)

Aqui estão as primeiras linhas da lscpusaída:

$ lscpu | head -n18
Architecture:             x86_64
CPU op-mode(s):         32-bit, 64-bit
Address sizes:          46 bits physical, 48 bits virtual
Byte Order:             Little Endian
CPU(s):                   22
On-line CPU(s) list:    0-21
Vendor ID:                GenuineIntel
Model name:             Intel(R) Core(TM) Ultra 7 155H
CPU family:           6
Model:                170
Thread(s) per core:   2
Core(s) per socket:   16
Socket(s):            1
Stepping:             4
CPU(s) scaling MHz:   14%
CPU max MHz:          4800.0000
CPU min MHz:          400.0000
BogoMIPS:             5990.40

O que está acontecendo? 2 × 16 = 32, não 22. Mesmo em execução, nproc --allmostra 22.

Estou esquecendo de alguma coisa?

Estou com um problema ao configurar meu firewalld para ter um link perfeito com o docker e o fail2ban.

Primeiro, o que quero alcançar é a seguinte configuração de roteamento de tráfego:

[PUBLIC] -> 
  [FIREWALLD] -> (
    [143/tcp FORWARD PORT] -----> [DOCKER/143/tcp]
    [ 22/tcp]              -----> [openssh locally running]
  )

falha2banimento

Configurei o fail2ban para ouvir meu contêiner docker, verificar erros de autenticação e configurar um ban usando firewall-cmd. Isso funciona até agora. Assim que eu erro de autenticação 3 vezes, ele envia um comando para o firewalld.

Encaminhamento de porta

Eu também configurei o encaminhamento de porta para o docker. Estou configurando explicitamente, porque não quero que o docker destrua minha rede. Talvez isso seja algo que eu não precise no futuro, mas é configurado por meio da StrictForwardPorts=yesconfiguração. https://firewalld.org/2024/11/strict-forward-ports

Meta

O objetivo é que sempre que um gatilho fail2ban acontecer, o IP não tenha mais acesso à porta 143 (encaminhada) e (talvez) nem às outras. Mas, a princípio, eu gostaria de banir por porta.

Problema

O problema atualmente é que, se uma regra de rejeição avançada for criada, ela bloqueará a porta 22 para esse IP, mas não a porta 143.

Tentativas Eu também tentei colocar o IP na dropzona, dando a ele a prioridade -10. Mesmo resultado de erro. A porta 22 é descartada, mas a 143 ainda funciona.

O que estou fazendo errado? Aqui está minha configuração de zona da última tentativa:

docker (active)
  target: ACCEPT
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: br-0aa8d4b5dde7 docker0
  sources: 
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule priority="-999" family="ipv4" source address="192.168.178.44" reject

drop (active)
  target: DROP
  ingress-priority: -10
  egress-priority: -10
  icmp-block-inversion: no
  interfaces: 
  sources: 192.168.178.44
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

public (default, active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
        port=143:proto=tcp:toport=143:toaddr=172.18.0.2
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule priority="-999" family="ipv4" source address="192.168.178.44" reject

Como visto: Na verdade, o endereço 192.168.178.44 deveria estar totalmente bloqueado para a zona pública. Mas não está. Além disso, adicionei o IP à drop zone. Parece que a prioridade da drop zone está funcionando, pois minha conexão SSH é descartada em vez de rejeitada, mas a porta 143 ainda está acessível

Atualização 1: Algumas informações de depuração

$ sudo firewall-cmd --get-policies
allow-host-ipv6 docker-forwarding

Atualização 2: --info-policy=docker-forwarding

docker-forwarding (active)
  priority: -1
  target: ACCEPT
  ingress-zones: ANY
  egress-zones: docker
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: `

Atualização 3:

Outra ideia que me veio à mente foi criar outra política com prioridade -10, contendo a regra rica:

sudo firewall-cmd --permanent --new-policy ban-pre-routing
sudo firewall-cmd --permanent --policy ban-pre-routing --add-ingress-zone ANY
sudo firewall-cmd --permanent --policy ban-pre-routing --add-egress-zone HOST
sudo firewall-cmd --permanent --policy ban-pre-routing --set-priority -10
sudo firewall-cmd --permanent --policy ban-pre-routing --add-rich-rule="rule family=ipv4 source address=192.168.178.44 port port=143 protocol=tcp reject"

Ainda sem efeito. Meu Host *.44 ainda pode se conectar à máquina. Se eu deixar de fora a port port=143 protocol=tcpparte, ele bloquearia a máquina para ssh - enquanto ainda seria capaz de acessar a porta 143.

Atualização 4: Usando a Atualização 3 com a política configurada para egress zone docker, não resulta em diferença. Minhas configurações estão assim agora:

$ sudo firewall-cmd --list-all-policies
allow-host-ipv6 (active)
  priority: -15000
  target: CONTINUE
  ingress-zones: ANY
  egress-zones: HOST
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv6" icmp-type name="neighbour-advertisement" accept
        rule family="ipv6" icmp-type name="neighbour-solicitation" accept
        rule family="ipv6" icmp-type name="redirect" accept
        rule family="ipv6" icmp-type name="router-advertisement" accept

ban-pre-routing (active)
  priority: -10
  target: CONTINUE
  ingress-zones: ANY
  egress-zones: docker
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="192.168.178.44" port port="143" protocol="tcp" reject

docker-forwarding (active)
  priority: -1
  target: ACCEPT
  ingress-zones: ANY
  egress-zones: docker
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

E para zonas:

$ sudo firewall-cmd --list-all --zone=public
public (default, active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
        port=143:proto=tcp:toport=143:toaddr=172.18.0.2
  source-ports: 
  icmp-blocks: 
  rich rules: 

$ sudo firewall-cmd --list-all --zone=drop
drop
  target: DROP
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

$ sudo firewall-cmd --list-all --zone=docker
docker (active)
  target: ACCEPT
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: br-c5f172e4effe docker0
  sources: 
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: