<div dir="auto"><br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Tue, Jun 25, 2019, 17:12 Michael Biebl <<a href="mailto:biebl@debian.org">biebl@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Control: severity -1 important<br>
<br>
Hi Raphael<br>
<br>
On Wed, 19 Jun 2019 22:33:21 +0200 Michael Biebl <<a href="mailto:biebl@debian.org" target="_blank" rel="noreferrer">biebl@debian.org</a>> wrote:<br>
> Hi Raphael,<br>
> <br>
> On Tue, 11 Jun 2019 15:51:14 +0200 Raphael Hertzog <<a href="mailto:hertzog@debian.org" target="_blank" rel="noreferrer">hertzog@debian.org</a>><br>
> wrote:<br>
> > Hi,<br>
> > <br>
> > On Wed, 05 Jun 2019, Michael Biebl wrote:<br>
> > > systemd-networkd.service in v241 is locked down more tightly then v232.<br>
> > > It might be worth a try to comment out the hardening features one by one<br>
> > > to see if one of them causes your problem.<br>
> > <br>
> > Thanks for the idea! I tried that but it did not help. I found the issue<br>
> > after a few more tries tweaking the network configuration file. It's<br>
> > simply that the system has IPv6 disabled in the kernel policy while the<br>
> > .network file instructs to configure an IPv6 address.<br>
> > <br>
> > Both are contradictory but they happily lived together up-to-now.<br>
> > I don't know what changed but if we don't improve systemd-networkd<br>
> > to just skip IPv6 configuration when the kernel has a policy disabling<br>
> > IPv6, then we will have plenty of servers broken on upgrades because<br>
> > it's quite common to keep the network configuration file provided by<br>
> > the hoster and just disable IPv6 at the kernel level with sysctl:<br>
> > <br>
> > $ grep ipv6 /etc/sysctl.conf<br>
> > # Disable ipv6<br>
> > net.ipv6.conf.all.disable_ipv6 = 1<br>
> > net.ipv6.conf.default.disable_ipv6 = 1<br>
> > net.ipv6.conf.lo.disable_ipv6 = 1<br>
> <br>
> Ok, thanks for figuring out the root cause.<br>
> Given that this only happens under very special circumstances and<br>
> networkd not being enabled by default, I'm not entirely sure if this<br>
> issue should qualify as RC.<br>
> Cherry-picking the 6 upstream commits leads to a merge conflict when<br>
> applied on top of v241 and I haven't yet investigated if those can<br>
> easily be resolved.<br>
> TBH, I feel a bit uneasy doing this change so late in the release cycle<br>
> and personally I would downgrade this issue to non-RC and fix this via a<br>
> v243 upload to buster-backports.<br>
> <br>
> If you feel strongly about this though, please feel free ask the release<br>
> team if the change is ok. A tested patch set would be great in this case.<br>
<br>
I haven't heard back from you and my current gut feeling is that this<br>
issue is not RC, so I'm downgrading it to important.<br>
I'm open to be persuaded otherwise though.<br>
<br>
Whether we are going to fix this via a stable point release or<br>
stretch-backports remains to be decided. The latter is easier for me, as<br>
it doesn't mean all the administrative overhead of a stable upload.<br></blockquote></div><div dir="auto"><br></div><div dir="auto">Perhaps the problem can be mitigated by a NEWS or release guide update.</div><div dir="auto"><br></div><div dir="auto">Honestly, I don't think networkd should keep quiet about ipv6 being disabled when you explicitly set up an ipv6 address.</div><div dir="auto"><br></div><div dir="auto">Saludos</div><div class="gmail_quote" dir="auto"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote></div></div>