Nota bene

En français, le mot hôte ayant deux acceptions - l'une pour désigner l'invité et l'autre pour désigner celui qui invite - son utilisation ne ferait qu'obscurcir des informations déjà techniques.

Pour cela, dans tout le document, le mot hôte sera remplacé par:

  • socle : dans le cas du système sur lequel les prisons installées
  • prison : traduction de jail, pour désigner les machines virtuelles installées

Problématique

Lorsqu'on a créé une prison (ou cage) de service, l'on peut vouloir y isoler Postgresql. Cependant, une simple installation ne fonctionnera pas. En effet, au moment de la création de la base de données :

# su -l pgsql -c initdb

L'erreur suivante va apparaître :

FATAL:  could not create shared memory segment: Function not implemented

Explication

Sous FreeBSD, les prisons sont des machines virtuelles qui sont exécutées de façon isolée afin de proposer le maximum de sécurité. Pour cela, il faut éviter un minimum d'échanges et d'intéractions entre le socle et les prisons.

De son côté, le socle se voit interdire par défaut de partager sa mémoire avec les prisons.

Or, Postgresql utilise la mémoire partagée.

Il faut donc permettre au socle de partager sa mémoire avec les prisons en activité.

Solution

Le problème survenant est un problème de mémoire partagée qui n'est pas disponible par défaut dans une prison sous freeBSD.

Pour résoudre ce problème, il faut l'activer en ajoutant dans le /etc/rc.conf du socle :

jail_sysvipc_allow="YES" # pour PostgreSQL

Mais cette configuration ne fonctionnera pas si l'on ne définit pas certains autres paramètres.

il faut aussi définir ces variables dans le fichier /boot/loader.conf du socle :

kern.ipc.semmni=256
kern.ipc.semmns=512
kern.ipc.semmnu=256

redémarrer et relancer l'initialisation de la base de données. Normalement, si les paramètres sont corrects :

# su -l pgsql -c initdb
The files belonging to this database system will be owned by user "pgsql".
This user must also own the server process.

The database cluster will be initialized with locale C.

creating directory /usr/local/pgsql/data ... ok
creating subdirectories ... ok
selecting default max_connections ... 100
selecting default shared_buffers/max_fsm_pages ... 24MB/153600
creating configuration files ... ok
creating template1 database in /usr/local/pgsql/data/base/1 ... ok
initializing pg_authid ... ok
initializing dependencies ... ok
creating system views ... ok
loading system objects' descriptions ... ok
creating conversions ... ok
setting privileges on built-in objects ... ok
creating information schema ... ok
vacuuming database template1 ... ok
copying template1 to template0 ... ok
copying template1 to postgres ... ok

WARNING: enabling "trust" authentication for local connections
You can change this by editing pg_hba.conf or using the -A option the
next time you run initdb.

Success. You can now start the database server using:

    postgres -D /usr/local/pgsql/data
or
    pg_ctl -D /usr/local/pgsql/data -l logfile start

Dans le cas où ce jeu de variables donnerait l'erreur suivante au moment d'un initdb:

FATAL:  could not create shared memory segment: Cannot allocate memory
DETAIL:  Failed system call was shmget(key=1, size=1122304, 03600).
HINT:  This error usually means that PostgreSQL's request for a shared memory
segment exceeded available memory or swap space. To reduce the request size 
(currently 1122304 bytes), reduce PostgreSQL's shared_buffers parameter 
(currently 50) and/or its max_connections parameter (currently 10).
The PostgreSQL documentation contains more information about shared memory
configuration.

n'hésitez pas à modifier les paramètres -pour cela reportez-vous à la documentation Postgresql -. Par exemple :

kern.ipc.semmni=512
kern.ipc.semmns=1024
kern.ipc.semmnu=512
Ce serveur fonctionne à l'énergie renouvelable
© 2008, Christopher Compagnon. Tous droits réservés.