| View previous topic :: View next topic |
| Author |
Message |
disquz
n00b
Joined: 09 Feb 2019
Posts: 20
|
 Posted: Wed Mar 06, 2024 12:26 pm Post subject: |
 |
|
Ich hatte iptables nach diesem Tutorial eingerichtet und es hat auch funktioniert. Nach dem Aufruf des Iptables-Skripts konnte ich mit eine relativ große Zahl an geladenen Modulen sehen.
Nach dem ich aber den Kernel-Teil auch umgesetzt habe (inkl. KSPP), bekomme ich immer diesen Fehler wenn ich das FW-Script ausüfhen möchte:
| Code: |
mars ~ # /etc/MY/iptables/fwrules-mars.sh
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension conntrack revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension conntrack revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension owner revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension owner revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension icmp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension icmp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension udp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension tcp revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension LOG revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Warning: Extension REJECT revision 0 not supported, missing kernel module?
iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
|
Und zeigt mir nur noch diese beiden an:
| Code: |
Module Size Used by
ip_tables 28672 0
x_tables 53248 1 ip_tables
|
Habe die Configs verglichen aber nichts behebt das Problem... Ich kann die Module per Hand via laden aber automatisch macht er das scheinbar nicht mehr...
Was könnte da los sein? |
|
| Back to top |
|
 |
pietinger
Moderator
Joined: 17 Oct 2006
Posts: 4157
Location: Bavaria
|
| Posted: Wed Mar 06, 2024 3:41 pm Post subject: |
|
|
| disquz wrote: | [...] Habe die Configs verglichen aber nichts behebt das Problem... Ich kann die Module per Hand via laden aber automatisch macht er das scheinbar nicht mehr...
Was könnte da los sein? |
Vermutlich lädtst Du nicht den Kernel den Du vermutest 
Schau mal mit "uname -a" nach der Uhrzeit wann dieser Kernel gebaut wurde.
_________________
https://wiki.gentoo.org/wiki/User:Pietinger |
|
| Back to top |
|
|
disquz
n00b
Joined: 09 Feb 2019
Posts: 20
|
| Posted: Wed Mar 06, 2024 6:59 pm Post subject: |
|
|
| pietinger wrote: |
Vermutlich lädtst Du nicht den Kernel den Du vermutest
Schau mal mit "uname -a" nach der Uhrzeit wann dieser Kernel gebaut wurde. |
Sieht ok aus. Ist von heute Nachmittag, sollte also der aktuelle sein...
Linux mars 6.6.13-gentoo #9 SMP PREEMPT_DYNAMIC Wed Mar 6 14:16:16 EET 2024 x86_64 Intel(R) Core(TM) i7-8550U CPU @ 1.80GHz GenuineIntel GNU/Linux
Mich irritiert irgendwie die Tatsache, dass die Module da sind und per geladen werden können. |
|
| Back to top |
|
|
pietinger
Moderator
Joined: 17 Oct 2006
Posts: 4157
Location: Bavaria
|
| Posted: Wed Mar 06, 2024 7:05 pm Post subject: |
|
|
Sieh' bitte mal in Deine "dmesg" ob Du da was findest. Ansonsten bräuchte ich die (komplette) Ausgabe von "dmesg" und deine Kernel .config. (Nutze wgetpaste für beides)
_________________
https://wiki.gentoo.org/wiki/User:Pietinger |
|
| Back to top |
|
|
disquz
n00b
Joined: 09 Feb 2019
Posts: 20
|
| Posted: Wed Mar 06, 2024 7:39 pm Post subject: |
|
|
Mir ist nicht Auffälliges untergekommen....
Hier ist dmesg:
https://bpa.st/BRSQ
Und hier die Kernel .config:
https://dpaste.com/FK8R2NWHE
Bereits ein gibt mir:
| Code: | iptables v1.8.9 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded. |
Wenn ich via einbinde hängt sich mein (SSH) Terminal auf...
Keiner der Befehle gibt irgendwas in den aus |
|
| Back to top |
|
|
pietinger
Moderator
Joined: 17 Oct 2006
Posts: 4157
Location: Bavaria
|
| Posted: Wed Mar 06, 2024 9:05 pm Post subject: |
|
|
Im Moment verstehe ich es leider nicht. Ich habe mir die .config sehr genau angesehen - und leider nix auffälliges gesehen (selten so eine saubere .config gesehen - außer meiner ).
Du sagtest auch, dass Du Dein FW-script (zuerst) starten konntest und Du auch mit "lsmod" die ganzen automatisch geladenen Module gesehen hast.
Die Frage ist jetzt: Was war danach ? (Hoffentlich hast Du nicht die vielen Module in der .config dann mit einem Editor auf =M gesetzt ?).
Was Du machen könntest (obwohl es eigentlich nicht nötig sein sollte) die Tables statisch <*> reinzunehmen:
| Code: | [*] Networking support --->
Networking options --->
[*] Network packet filtering framework (Netfilter) --->
IP: Netfilter Configuration --->
[*] IP tables support (required for filtering/masq/NAT) |
... und schmeiß das raus (obwohl es nicht die Ursache des Problem sein sollte):
| Code: | CONFIG_X86_SGX=y
CONFIG_PACKET_DIAG=m
CONFIG_CGROUP_NET_PRIO=y |
( Ich hoffe Du arbeitest nicht mit Namespaces ... denn das könnte dazu führen dass Du auch noch # CONFIG_MODULE_ALLOW_MISSING_NAMESPACE_IMPORTS benötigst ...)
_________________
https://wiki.gentoo.org/wiki/User:Pietinger |
|
| Back to top |
|
|
disquz
n00b
Joined: 09 Feb 2019
Posts: 20
|
| Posted: Wed Mar 06, 2024 9:22 pm Post subject: |
|
|
| pietinger wrote: | Im Moment verstehe ich es leider nicht. Ich habe mir die .config sehr genau angesehen - und leider nix auffälliges gesehen (selten so eine saubere .config gesehen - außer meiner ).
Du sagtest auch, dass Du Dein FW-script (zuerst) starten konntest und Du auch mit "lsmod" die ganzen automatisch geladenen Module gesehen hast.
Die Frage ist jetzt: Was war danach ? (Hoffentlich hast Du nicht die vielen Module in der .config dann mit einem Editor auf =M gesetzt ?).
Was Du machen könntest (obwohl es eigentlich nicht nötig sein sollte) die Tables statisch <*> reinzunehmen:
| Code: | [*] Networking support --->
Networking options --->
[*] Network packet filtering framework (Netfilter) --->
IP: Netfilter Configuration --->
[*] IP tables support (required for filtering/masq/NAT) |
... und schmeiß das raus (obwohl es nicht die Ursache des Problem sein sollte):
| Code: | CONFIG_X86_SGX=y
CONFIG_PACKET_DIAG=m
CONFIG_CGROUP_NET_PRIO=y |
( Ich hoffe Du arbeitest nicht mit Namespaces ... denn das könnte dazu führen dass Du auch noch # CONFIG_MODULE_ALLOW_MISSING_NAMESPACE_IMPORTS benötigst ...) |
Hab mich an die Anweisung gehalten, dass ich die .config niemals nie nicht mit einem Editor anfassen soll
Könnte das evtl. was mit der sysctl.conf zu tun haben?
Hier ist meine: (Ich werde die mal umbenennen und damit "ausschalten")
| Code: | # Try to keep kernel address exposures out of various /proc files (kallsyms, modules, etc). (There is [https://lore.kernel.org/lkml/20101217164431.08f3e730.akpm@linux-foundation.org/ no CONFIG] for the changing the initial value.) If root absolutely needs values from /proc, use value "1".
kernel.kptr_restrict = 1
# Block non-uid-0 profiling (needs [https://patchwork.kernel.org/patch/9249919/ distro patch], otherwise this is the same as "= 2")
kernel.perf_event_paranoid = 1
# Turn off kexec, even if it's built in.
kernel.kexec_load_disabled = 1
# Make sure the expected default is enabled to enable full ASLR in userpsace.
kernel.randomize_va_space = 2
# Block all PTRACE_ATTACH. If you need ptrace to work, then avoid non-ancestor ptrace access to running processes and their credentials, and use value "1".
kernel.yama.ptrace_scope = 1
# Disable User Namespaces, as it opens up a large attack surface to unprivileged users.
user.max_user_namespaces = 0
# Disable tty line discipline autoloading (see CONFIG_LDISC_AUTOLOAD).
dev.tty.ldisc_autoload = 0
# Disable TIOCSTI which is used to inject keypresses. (This will, however, break screen readers.)
dev.tty.legacy_tiocsti = 0
# Turn off unprivileged eBPF access.
kernel.unprivileged_bpf_disabled = 1
# Turn on BPF JIT hardening, if the JIT is enabled.
net.core.bpf_jit_harden = 2
# Disable userfaultfd for unprivileged processes.
vm.unprivileged_userfaultfd = 0
# Disable POSIX symlink and hardlink corner cases that lead to lots of filesystem confusion attacks.
fs.protected_symlinks = 1
fs.protected_hardlinks = 1
# Disable POSIX corner cases with creating files and fifos unless the directory owner matches. Check your workloads!
fs.protected_fifos = 2
fs.protected_regular = 2
# Make sure the default process dumpability is set (processes that changed privileges aren't dumpable).
fs.suid_dumpable = 0 |
|
|
| Back to top |
|
|
pietinger
Moderator
Joined: 17 Oct 2006
Posts: 4157
Location: Bavaria
|
| Posted: Wed Mar 06, 2024 10:46 pm Post subject: |
|
|
| disquz wrote: | | Könnte das evtl. was mit der sysctl.conf zu tun haben? |
Nein. Du hast aber eine meiner Fragen elegant unbeantwortet gelassen ...
Hast Du auch schon das statische Einbinden des table-Modules probiert ?
_________________
https://wiki.gentoo.org/wiki/User:Pietinger |
|
| Back to top |
|
|
disquz
n00b
Joined: 09 Feb 2019
Posts: 20
|
| Posted: Wed Mar 06, 2024 11:00 pm Post subject: |
|
|
| pietinger wrote: | | disquz wrote: | | Könnte das evtl. was mit der sysctl.conf zu tun haben? |
Nein. Du hast aber eine meiner Fragen elegant unbeantwortet gelassen ...
Hast Du auch schon das statische Einbinden des table-Modules probiert ? |
Sorry, war keine Absicht... 
Ich habe danach den KSPP aus dem verlinkten Wiki umgesetzt und ein "emerge -uNDv @world" durchgeführt...
Namespaces nutze ich nicht.
Ich habe die Table statisch reingenommen, dann kommt die Fehlermeldung nicht sofort. Ein funktioniert dann aber sobald ich mein FW-Script aufrufe hängt er sich auf, und wenn ich dann iptables stoppe (von einem anderen Terminal), kommen die anderen Fehlermeldungen nachträglich wie:
| Code: | | Warning: Extension LOG revision 0 not supported, missing kernel module? |
wieder. |
|
| Back to top |
|
|
disquz
n00b
Joined: 09 Feb 2019
Posts: 20
|
| Posted: Wed Mar 06, 2024 11:17 pm Post subject: |
|
|
Ok, ich habe jetzt folgendes gemacht:
Habe eine alte .config von vor 2 Wochen (als ich mit dem Tutorial angefangen hab) genommen und damit gebaut.
Folge -> iptables läuft und alles klappt, auch lsmod.
Jetzt habe ich hier mal einen Diff von dem alten und dem letzten (nach KSPP) .config erstellt.
Fällt Dir da was auf?
diff alt neu:
| Code: | 241c241
< CONFIG_IO_URING=y
---
> # CONFIG_IO_URING is not set
372c372
< CONFIG_X86_VSYSCALL_EMULATION=y
---
> # CONFIG_X86_VSYSCALL_EMULATION is not set
405c405
< CONFIG_X86_SGX=y
---
> # CONFIG_X86_SGX is not set
464c464
< # CONFIG_SLS is not set
---
> CONFIG_SLS=y
736d735
< CONFIG_HAVE_ARCH_NODE_DEV_GROUP=y
878d876
< CONFIG_NUMA_KEEP_MEMINFO=y
1070c1068
< # CONFIG_NF_FLOW_TABLE_PROCFS is not set
---
> CONFIG_NF_FLOW_TABLE_PROCFS=y
1072c1070
< # CONFIG_NETFILTER_XTABLES_COMPAT is not set
---
> CONFIG_NETFILTER_XTABLES_COMPAT=y
1237c1235
< CONFIG_CGROUP_NET_PRIO=y
---
> # CONFIG_CGROUP_NET_PRIO is not set
1863c1861,1864
< # CONFIG_INPUT_MOUSEDEV is not set
---
> CONFIG_INPUT_MOUSEDEV=y
> # CONFIG_INPUT_MOUSEDEV_PSAUX is not set
> CONFIG_INPUT_MOUSEDEV_SCREEN_X=1024
> CONFIG_INPUT_MOUSEDEV_SCREEN_Y=768
1995c1996,2002
< # CONFIG_HW_RANDOM is not set
---
> CONFIG_HW_RANDOM=y
> # CONFIG_HW_RANDOM_TIMERIOMEM is not set
> CONFIG_HW_RANDOM_INTEL=m
> # CONFIG_HW_RANDOM_AMD is not set
> # CONFIG_HW_RANDOM_BA431 is not set
> # CONFIG_HW_RANDOM_VIA is not set
> # CONFIG_HW_RANDOM_XIPHERA is not set
2004c2011,2024
< # CONFIG_TCG_TPM is not set
---
> CONFIG_TCG_TPM=y
> CONFIG_HW_RANDOM_TPM=y
> # CONFIG_TCG_TIS is not set
> # CONFIG_TCG_TIS_I2C is not set
> # CONFIG_TCG_TIS_I2C_CR50 is not set
> # CONFIG_TCG_TIS_I2C_ATMEL is not set
> # CONFIG_TCG_TIS_I2C_INFINEON is not set
> # CONFIG_TCG_TIS_I2C_NUVOTON is not set
> # CONFIG_TCG_NSC is not set
> # CONFIG_TCG_ATMEL is not set
> # CONFIG_TCG_INFINEON is not set
> # CONFIG_TCG_CRB is not set
> # CONFIG_TCG_VTPM_PROXY is not set
> # CONFIG_TCG_TIS_ST33ZP24_I2C is not set
3690a3711
> # CONFIG_HID_U2FZERO is not set
3858a3880
> # CONFIG_USB_CHAOSKEY is not set
4593d4614
< CONFIG_IO_WQ=y
4611c4632
< # CONFIG_HARDENED_USERCOPY is not set
---
> CONFIG_HARDENED_USERCOPY=y
4613c4634,4635
< # CONFIG_STATIC_USERMODEHELPER is not set
---
> CONFIG_STATIC_USERMODEHELPER=y
> CONFIG_STATIC_USERMODEHELPER_PATH=""
5071c5093,5103
< # CONFIG_UBSAN is not set
---
> CONFIG_UBSAN=y
> CONFIG_UBSAN_TRAP=y
> CONFIG_CC_HAS_UBSAN_BOUNDS_STRICT=y
> CONFIG_UBSAN_BOUNDS=y
> CONFIG_UBSAN_BOUNDS_STRICT=y
> # CONFIG_UBSAN_SHIFT is not set
> # CONFIG_UBSAN_DIV_ZERO is not set
> # CONFIG_UBSAN_BOOL is not set
> # CONFIG_UBSAN_ENUM is not set
> CONFIG_UBSAN_SANITIZE_ALL=y
> # CONFIG_TEST_UBSAN is not set
5088c5120
< # CONFIG_PAGE_EXTENSION is not set
---
> CONFIG_PAGE_EXTENSION=y
5093c5125,5126
< # CONFIG_PAGE_TABLE_CHECK is not set
---
> CONFIG_PAGE_TABLE_CHECK=y
> CONFIG_PAGE_TABLE_CHECK_ENFORCED=y
5138c5171
< CONFIG_PANIC_TIMEOUT=0
---
> CONFIG_PANIC_TIMEOUT=-1 |
|
|
| Back to top |
|
|
pietinger
Moderator
Joined: 17 Oct 2006
Posts: 4157
Location: Bavaria
|
| Posted: Thu Mar 07, 2024 1:29 am Post subject: |
|
|
Ja, mir fällt etwas auf ... vorab möchte ich Dir aber versichern, dass alle KSPP Einstellungen überhaupt keine Auswirkungen auf netfilter Module haben ! (Ich habe ALLES von KSPP und noch mehr aktiviert)
Die einzigen zwei Differenzen im Bereich Netfilter sind:
| Code: | < # CONFIG_NF_FLOW_TABLE_PROCFS is not set
---
> CONFIG_NF_FLOW_TABLE_PROCFS=y
< # CONFIG_NETFILTER_XTABLES_COMPAT is not set
---
> CONFIG_NETFILTER_XTABLES_COMPAT=y |
Das erste wirst Du nicht benötigen und ist deshalb egal (Statistiken: This option enables for the flow table offload statistics to be shown in procfs under net/netfilter/nf_flowtable)
Das zweite ist aber seeehr interessant ... weil NETFILTER_XTABLES_COMPAT is abängig von COMPAT. Dieses ist abhängig von 32 bit Emulation (Depends on: IA32_EMULATION [=y] || X86_X32_ABI [=y]) ... Ich sehe aber keine Änderung von IA32_EMULATION und/oder X86_X32_ABI in Deinem DIFF !! Deswegen dürfte sich CONFIG_NETFILTER_XTABLES_COMPAT gar nicht geändert haben !!! Ich kann jetzt nicht mal vermuten was da schief gelaufen ist ... aber ... Sorry, schmeiß diese Konfig einfach mal weg ... und aktiviere in Deiner neuen Kernel konfiguration NICHT CONFIG_NETFILTER_XTABLES_COMPAT wenn Du keine 32bit-Programme laufen lassen willst
_________________
https://wiki.gentoo.org/wiki/User:Pietinger |
|
| Back to top |
|
|
disquz
n00b
Joined: 09 Feb 2019
Posts: 20
|
| Posted: Thu Mar 07, 2024 2:04 am Post subject: |
|
|
Also es liegt an diesen Werten:
| Code: |
CONFIG_STATIC_USERMODEHELPER=y
CONFIG_STATIC_USERMODEHELPER_PATH="" |
Wenn ich das deaktiviere funktioniert wieder normal. |
|
| Back to top |
|
|
pietinger
Moderator
Joined: 17 Oct 2006
Posts: 4157
Location: Bavaria
|
| Posted: Thu Mar 07, 2024 1:17 pm Post subject: |
|
|
| disquz wrote: | Also es liegt an diesen Werten:
| Code: | CONFIG_STATIC_USERMODEHELPER=y
CONFIG_STATIC_USERMODEHELPER_PATH="" |
Wenn ich das deaktiviere funktioniert wieder normal. |
Das ist sehr merkwürdig ...  ... ich habe beides exakt auch so in meiner .config (kommt ja von KSPP) ... hast Du in Deinem FW-script irgendwelche komischen Aufrufe (oder ist es gar kein bash-script ?) ?
Okay, ich muss zugeben, dass ich ALLE benötigten netfilter Module statisch in meiner .config habe und nicht als <M>odul (ich habe gar keinen Modul-Support) ... mir ist aber nicht bekannt dass obige Optionen das dynamische Laden von kernel-Modulen verhindert (weil das in der Kernel .config woanders konfiguriert ist -> CONFIG_MODPROBE_PATH). Hmmm ... ist aber auch schon 7 Jahre her, dass ich damals mit Modul-Support herausgefunden habe, welche netfilter-Module ich wirklich für meine FW benötige ... hoffentlich hat sich da zwischenzeitlich nichts geändert ...
_________________
https://wiki.gentoo.org/wiki/User:Pietinger |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5188
|
| Posted: Thu Mar 07, 2024 1:37 pm Post subject: |
|
|
| pietinger wrote: | | disquz wrote: | Also es liegt an diesen Werten:
| Code: | CONFIG_STATIC_USERMODEHELPER=y
CONFIG_STATIC_USERMODEHELPER_PATH="" |
Wenn ich das deaktiviere funktioniert wieder normal. |
Das ist sehr merkwürdig ... ... ich habe beides exakt auch so in meiner .config (kommt ja von KSPP) ... hast Du in Deinem FW-script irgendwelche komischen Aufrufe (oder ist es gar kein bash-script ?) ?
Okay, ich muss zugeben, dass ich ALLE benötigten netfilter Module statisch in meiner .config habe und nicht als <M>odul (ich habe gar keinen Modul-Support) ... mir ist aber nicht bekannt dass obige Optionen das dynamische Laden von kernel-Modulen verhindert (weil das in der Kernel .config woanders konfiguriert ist -> CONFIG_MODPROBE_PATH). Hmmm ... ist aber auch schon 7 Jahre her, dass ich damals mit Modul-Support herausgefunden habe, welche netfilter-Module ich wirklich für meine FW benötige ... hoffentlich hat sich da zwischenzeitlich nichts geändert ... |
Das es bei dir gesetzt und zu keinem Problem führt liegt daran, dass du keine Module nutzt. Und dadurch der kernel auch nie dazu kommt den entsprechenden usermode helper zu rufen um ein modul zu laden.
Laut der Beschreibung von CONFIG_STATIC_USERMODEHELPER (https://cateee.net/lkddb/web-lkddb/STATIC_USERMODEHELPER.html)
| Quote: | | If you wish for all usermode helper programs are to be disabled, choose this option and then set STATIC_USERMODEHELPER_PATH to an empty string. |
Nach meinem Verständnis ist es eine schlechte Idee diese Option zu aktivieren und in CONFIG_STATIC_USERMODEHELPER_PATH einen leeren string zu setzen, wenn man kernel module nutzen möchte und sich auf das automatische laden verlässt.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
pietinger
Moderator
Joined: 17 Oct 2006
Posts: 4157
Location: Bavaria
|
| Posted: Thu Mar 07, 2024 2:04 pm Post subject: |
|
|
| firefly wrote: | | [...] Nach meinem Verständnis ist es eine schlechte Idee diese Option zu aktivieren und in CONFIG_STATIC_USERMODEHELPER_PATH einen leeren string zu setzen, wenn man kernel module nutzen möchte und sich auf das automatische laden verlässt. |
Ja, natürlich ist es eine schlechte Idee wenn man STATIC_USERMODEHELPER benötigt um Kernel Module zu laden ... nur war ich (bis jetzt) der Meinung dass dies über CONFIG_MODPROBE_PATH der ja "/sbin/modprobe" enthält, läuft ... aber ich bin kein Kernel Experte und freue mich immer wenn jemand der sich hier besser auskennt, weiter hilft.
_________________
https://wiki.gentoo.org/wiki/User:Pietinger |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5188
|
| Posted: Thu Mar 07, 2024 2:36 pm Post subject: |
|
|
| pietinger wrote: | | firefly wrote: | | [...] Nach meinem Verständnis ist es eine schlechte Idee diese Option zu aktivieren und in CONFIG_STATIC_USERMODEHELPER_PATH einen leeren string zu setzen, wenn man kernel module nutzen möchte und sich auf das automatische laden verlässt. |
Ja, natürlich ist es eine schlechte Idee wenn man STATIC_USERMODEHELPER benötigt um Kernel Module zu laden ... nur war ich (bis jetzt) der Meinung dass dies über CONFIG_MODPROBE_PATH der ja "/sbin/modprobe" enthält, läuft ... aber ich bin kein Kernel Experte und freue mich immer wenn jemand der sich hier besser auskennt, weiter hilft. |
Naja ich kenn mich da jetzt nicht besser aus. Es ist nur das wie ich den von mir oben zitierten Satz aus der Beschreibung der Kernel config Option verstehe:
Wenn STATIC_USERMODEHELPER aktiv ist, dann werden die anderen "usermode helper paths" überschrieben. Daher ist es egal was in CONFIG_MODPROBE_PATH steht denn das wir dann mit dem Wert aus CONFIG_STATIC_USERMODEHELPER_PATH überschrieben.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
disquz
n00b
Joined: 09 Feb 2019
Posts: 20
|
| Posted: Thu Mar 07, 2024 4:37 pm Post subject: |
|
|
Naja, dann ist es ja gut, dass wir das Problem hier identifiziert haben 
Eventuell wäre das eine Erwähnung im Tutorial wert, nur falls nochmal jemand darauf stößt.
Ich habe ja auch vor einen monolithischen Kernel zu bauen, wollte aber damit so lange wie möglich warten, falls noch andere Module im Laufe des Tutorials dazu kommen. (Bin aktuell beim einrichten des SecureBoot)
Ich denke ich werde den Module-Support ganz zum Schluss rauswerfen.
Danke Euch jedenfalls für den Input und die schnelle Hilfe! |
|
| Back to top |
|
|
pietinger
Moderator
Joined: 17 Oct 2006
Posts: 4157
Location: Bavaria
|
| Posted: Thu Mar 07, 2024 6:23 pm Post subject: |
|
|
| disquz wrote: | | Danke Euch jedenfalls für den Input und die schnelle Hilfe! |
Ich danke Dir für den Bericht und Dein geduldiges Prüfen sehr herzlich !
| disquz wrote: | | Eventuell wäre das eine Erwähnung im Tutorial wert, nur falls nochmal jemand darauf stößt. |
Tja ...  ... erledigt !
_________________
https://wiki.gentoo.org/wiki/User:Pietinger |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German)
