~fumi/ChangeLog

serverspec が sshd の file descriptor の制限にひっかかった件（[2013-06-13-2]）の
対応として、sshd の file descriptor の制限を変更する方法を考える。

一番簡単なのは、/lib/svc/method/sshd の start 部分に ulimit を追加する方法。

'start')
        #
        # If host keys don't exist when the service is started, create
        # them; sysidconfig is not run in every situation (such as on
        # the install media).
        #
        create_key $SSHDIR/ssh_host_rsa_key rsa
        create_key $SSHDIR/ssh_host_dsa_key dsa

        ulimit -n 8192
        /usr/lib/ssh/sshd
        ;;

これはお手軽だけど、パッケージの管理下にあるファイルを変更したくない。

@nsloop 先生によると

資源管理あたりが良さげかと。 ow.ly/lZa4mRT @ftnk: 【緩募】 Solaris の sshd の file descriptor 制限を変更する、/lib/svc/method/sshd に ulimit -n #osoljp

— Noriyasu Sakaueさん (@nslope) 2013年6月13日

@ftnk あ、というか、SMFのマニフェストの中にProject書けた気がします

— Noriyasu Sakaueさん (@nslope) 2013年6月13日

ということなので、この辺りを調べてみる。

一時的に変更したければ、

.@ftnk `plimit -n 8192 $(ctstat -vi $(svcs -H -o CTID ssh) |sed -n 's/ *member processes://p')` とか。svc:/network/ssh:default の起動後にどう自動実行するか…。

— さとうふみやす (fumiyas)さん (@satoh_fumiyasu) 2013年6月13日

contract 経由で PID を調べることで、目的の sshd のプロセスを特定できるのは便利。

serverspec 0.5.6 に上げたところ、

- テストの実行が遅い
- SSH のセッションが切れる

ようになった（Solaris 上で実行）。

これは 0.5.6 でテスト毎に check_os が走るようになったことが原因。

check_os は以下のようになっていて、テスト対象の OS が Solaris だと、
1 つのテストにつき check_os で 5 個、テスト自体で 1 個の計 6 個のコマンドが実行される。

そりゃ、遅くなるよねって話です。

      def check_os
        if run_command('ls /etc/redhat-release')[:exit_status] == 0
          'RedHat'
        elsif run_command('ls /etc/system-release')[:exit_status] == 0
          'RedHat' # Amazon Linux
        elsif run_command('ls /etc/debian_version')[:exit_status] == 0
          'Debian'
        elsif run_command('ls /etc/gentoo-release')[:exit_status] == 0
          'Gentoo'
        elsif run_command('uname -s')[:stdout] =~ /SunOS/i
          'Solaris'
        elsif run_command('uname -s')[:stdout] =~ /Darwin/i
          'Darwin'
        else
          'Base'
        end
      end

SSH のセッションが切れる件は、sshd のログを調べたところ、

Disconnecting: pipe failed: Too many open files

と出ていて、check_os がテスト後に実行されることで
sshd の file descriptor を食い潰していたもよう
（Solaris の sshd の file descriptor は 256 しかない。）

対策としては
- check_os の実行をさせない
  - spec_helper.rb の include Serverspec::Helper::DetectOS を
    include Serverspec::Helper::Solaris など特定の OS に置きかえる
  - OS type caching per hosts · Issue #149 · mizzy/serverspec h
    https://github.com/mizzy/serverspec/issues/149
- sshd の file descriptor を増やす

check_os を実行させないようにしても、
テスト自体の数が増えれば file descriptor を使い果たすので、
sshd の file descriptor を増やすことを考えた方がよさそう。

OS type caching per hosts は 0.6.2 で追加された。

- Add OS type caching to Helper::DetectOS by mizzy · Pull Request #151 · mizzy/serverspec
  https://github.com/mizzy/serverspec/pull/151

最近 serverspec の更新に追いつくため作業していてぶつかったのが
PATH が通っていなくて command not found になるという症状。

0.4.12 の以下の変更で、絶対 PATH で書かれていたコマンドが相対 PATH に変更されている。

- Change command path to relative by mizzy · Pull Request #129 · mizzy/serverspec h
  https://github.com/mizzy/serverspec/pull/129

さらに、0.4.13 の以下の変更で、spec_helper.rb で PATH を設定できるようになっている。

- Add custom path to the command by mizzy · Pull Request #133 · mizzy/serverspec h
  ttps://github.com/mizzy/serverspec/pull/133

ということで、spec_helpler.rb に

c.path = '/usr/sbin:/sbin'

と書いてみたけど、command not found のまま。

この時、

sudo PATH=/usr/sbin:/sbin:$PATH command

のように展開されるが、どうも PATH=/usr/sbin:/sbin:$PATH が効いていない。

sudo と path でググると、

Defaults env_keep += "PATH"
Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin

を sudoers に書けばよいというのが見つかり、これで PATH が通るようになった。

この設定についてはあとで調べる。

また、上の書き方だと、全てのユーザに対して有効になるので、
以下のようにして特定のユーザに対しての設定にした方がよい
（以下の例ではユーザ fumi に対する設定）。

Defaults:fumi env_keep += "PATH"
Defaults:fumi secure_path = /sbin:/bin:/usr/sbin:/usr/bin

また、この問題に対して 0.5.8 で
"sudo PATH=/usr/sbin:/sbin:$PATH command" の
sudo と PATH の間に env を入れる対策がとられている。

- use 'env' to set PATH by hayato1980 · Pull Request #147 · mizzy/serverspec h
  https://github.com/mizzy/serverspec/pull/147