Bogey Jammer's questions

Estou configurando um mini-PC (Unbranded Protectli vault, possivelmente um Yangling original) para ser usado como um roteador doméstico. Atualmente, tudo funciona basicamente como esperado, uma vez que eu resolvo manualmente alguns problemas de inicialização. Minhas regras do nftables exigem a presença de uma ponte interna ligando algumas portas ethernet destinadas aos hosts domésticos, para serem aplicadas com sucesso. Mas neste momento da sequência de inicialização, esta ponte ainda não existe. Então, o nftables falha ao carregar as regras e eu preciso recarregá-las manualmente após cada inicialização, o que é bastante inconveniente e arriscado.

• SO: Archlinux
• Firewall: arquivo de configuração nftables (sem frontend)
• Gerenciador de rede: systemd-networkd (netctl também está configurado e pronto para qualquer eventualidade)
• DHCP + DNS: dnsmasq
• Gerenciamento de ponto de acesso Wi-Fi: hostapd

Eu uso encaminhamento de IP entre a ponte e a interface que vai para a WAN, daí a necessidade da ponte para nftables. As regras para essa parte são tão simples quanto isso:

table inet FILTER {
        chain FORWARD {
                type filter hook forward priority filter
                policy drop

                ct state established,related accept

                # It fails here:
                iif "br0" oif "enp1s0" accept
        }
}
table ip NAT {

        chain PREROUTE {
                type nat hook prerouting priority dstnat
                policy accept
        }

        chain POSTROUTE {
                type nat hook postrouting priority srcnat
                policy accept

                oif "enp1s0" masquerade
        }
}

O Systemd-networkd deve configurar o sistema automaticamente para encaminhamento de IP (regras nftables + sysctl net.ipv4.ip_forward), mas ele perdeu completamente essa capacidade em algum momento por motivo desconhecido, então eu tive que fazer isso sozinho habilitando nftables.service e preenchendo as regras de encaminhamento de IP. Lembro-me de ter visto as regras geradas pelo systemd-networkd e eram bastante complexas a ponto de eu não conseguir interpretá-las (e lembrar delas). Talvez essas regras fossem as certas para evitar o problema de inicialização?

Além disso, na configuração padrão, nftables.service é definido para ser iniciado antes de network-pre.target , enquanto netctl/systemd-networkd vai depois. Eu poderia ficar tentado a trocar a ordem, mas tenho medo de quebrar a segurança ou não seguir boas práticas.

O que mais poderia ser feito?

Como estou usando predefinições personalizadas do mkinitcpio para gerar UKIs, excluí o arquivo de predefinições padrão /etc/mkinitcpio.d/que veio durante a instalação do sistema.

Infelizmente, quando o pacman atualiza o kernel, o arquivo de predefinição padrão retorna, e as imagens initramfs associadas são recriadas automaticamente em cima dos meus UKIs. A consequência menor é o desperdício de espaço na minha partição de inicialização, a maior é a incapacidade de inicializar meu sistema novamente se eu esquecer de excluir as imagens indesejadas antes do desligamento.

Não descobri como é acionada a criação do arquivo de preset. O arquivo do pacote do kernel do Linux não o inclui. No entanto, há um esqueleto de preset em /usr/share/mkinitcpio/hook.presetmas não tenho ideia se ele é realmente usado durante a atualização do kernel e como evitar a geração de um novo.

Estou usando o Debian 11 em um Raspberry Pi 4 (imagem encontrada aqui ). sshd está configurado corretamente (eu apenas editei /etc/ssh/sshd_config, o resto é completamente novo da instalação do sistema) e funciona corretamente quando eu o inicio manualmente. No entanto, ele não inicia automaticamente pelo systemd na inicialização. sudo systemctl status sshd retorna isso:

● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
     Active: inactive (dead)
       Docs: man:sshd(8)
             man:sshd_config(5)

Não há nada relacionado ao ssh na saída do journalctl.

Este é o conteúdo de /lib/systemd/system/ssh.service :

[Unit]
Description=OpenBSD Secure Shell server
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStartPre=/usr/sbin/sshd -t
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/usr/sbin/sshd -t
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartPreventExitStatus=255
Type=notify
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755

[Install]
WantedBy=multi-user.target
Alias=sshd.service

O arquivo sshd_not_to_be_run não existe. network.target está ativo. Também instalei o auditd apenas para solucionar problemas e ele é iniciado automaticamente com êxito, mas o ssh.service ainda está morto após a reinicialização.

fico sem ideias…

Acabei de descobrir que um processo sshd é gerado em todas as demandas de conexão. Ele é gerenciado pelo próprio systemd e é claramente impresso no diário quando alguns computadores estrangeiros tentam se conectar ao meu:

oct. 30 13:09:30 RaspServeur systemd[1]: Started OpenBSD Secure Shell server per-connection daemon (117.68.2.55:45784).
░░ Subject: L'unité (unit) [email protected]:22-117.68.2.55:45784.service a terminé son démarrage
░░ Defined-By: systemd
░░ Support: https://www.debian.org/support
░░ 
░░ L'unité (unit) [email protected]:22-117.68.2.55:45784.service a terminé son démarrage, avec le résultat done.
oct. 30 13:09:30 RaspServeur audit[1]: SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 subj==unconfined msg='[email protected]:22-117.68.2.55:45784 comm="systemd" exe="/usr/lib/systemd/systemd" ho>
oct. 30 13:09:33 RaspServeur sshd[1861]: error: kex_exchange_identification: Connection closed by remote host
oct. 30 13:09:33 RaspServeur sshd[1861]: Connection closed by 117.68.2.55 port 45784
oct. 30 13:09:33 RaspServeur systemd[1]: [email protected]:22-117.68.2.55:45784.service: Succeeded.
░░ Subject: Unit succeeded
░░ Defined-By: systemd
░░ Support: https://www.debian.org/support
░░ 
░░ The unit [email protected]:22-117.68.2.55:45784.service has successfully entered the 'dead' state.
oct. 30 13:09:33 RaspServeur audit[1]: SERVICE_STOP pid=1 uid=0 auid=4294967295 ses=4294967295 subj==unconfined msg='[email protected]:22-117.68.2.55:45784 comm="systemd" exe="/usr/lib/systemd/systemd" hos>

É como se existisse uma instalação paralela do sshd com uma configuração padrão. Minha própria configuração com configurações como um número de porta específico para usar não pode funcionar sem iniciar manualmente o sshd.service. Mas eu posso me conectar com sucesso a esse shadow sshd com a porta padrão, e systemctl status sshd ainda relata um serviço morto…

A situação fica assustadora, agora estou a dois dedos de distância para apagar o cartão SD e instalar uma imagem de outra distribuição com menos pré-configuração.