[Eisfair] Apache OpenSSL internal error: FATAL FIPS SELFTEST FAILURE

Sa Sep 16 10:48:25 CEST 2023

Hallo Uwe,

Uwe Kunze wrote:

>> Das ist mir als Problembeschreibung zu dünn.
> 
> Genau DAS, was im Betreff steht.

Ok.

> Apache startet nicht mehr, wenn man das Paket apache2-php8 installiert
> und aktiviert.

Aufgrund der VHost-Problematik von Wolfgang läuft auf meinem E64-Buildsystem
gerade ein Apach2 mit apache2_php8 und der startet damit völlig problemlos:

eis64:~ # service status apache2
● apache2.service
     Loaded: loaded (/etc/init.d/apache2; generated)
     Active: active (running) since Sat 2023-09-16 10:31:52 CEST; 7min ago
       Docs: man:systemd-sysv-generator(8)
    Process: 11028 ExecStart=/etc/init.d/apache2 start (code=exited,
status=0/SUCCESS)
      Tasks: 6 (limit: 4483)
        CPU: 198ms
     CGroup: /system.slice/apache2.service
             ├─11046 /usr/sbin/apache2 -k start
             ├─11050 /usr/sbin/apache2 -k start
             ├─11051 /usr/sbin/apache2 -k start
             ├─11052 /usr/sbin/apache2 -k start
             ├─11053 /usr/sbin/apache2 -k start
             └─11054 /usr/sbin/apache2 -k start

Sep 16 10:31:52 eis64 systemd[1]: Starting apache2.service...
Sep 16 10:31:52 eis64 apache2[11028]:  * Starting Apache ...
Sep 16 10:31:52 eis64 apache2[11028]: [26B blob data]
Sep 16 10:31:52 eis64 systemd[1]: Started apache2.service.

> Im Übrigen ... in meinem ersten Post dazu schrub ich noch von php7 ...
> also das Problem trat genauso auf einem eis1 auf, auf dem noch php7 lief
> ... von daher denke ich, dass das Problem nicht bei php, sondern eher
> bei openssl zu suchen ist.

php7 ist gegen eine Vorversion von openssl gelinkt und wird auch nicht mehr
neu gebaut.

subversion ist auch ein Paket, welches noch gegen die alte Lib gebaut ist.

Alle Pakete, die gegen die Vorversion gebaut sind, haben dieses
Fips-Problem.

Für Apache2 bleibt nur die Verwendung von php8, dass gegen die neue Lib
gelinkt ist.

Somit ist deine Bemerkung zutreffend, dass es mit openssl zusammenhängt.

> Noch was ... ich habe mehrere eis64, auf denen alle aktuellen Pakete
> installiert sind (apache2, php8, nextcloud, phpmyadmin usw.) und auf
> denen der Indianer ohne Fehler läuft ... kann es sein, dass das Problem
> nur im 32bit-Zweig vorliegt ?

Dann wäre apache2_php8 auf E1 und E64 gegen verschiedene Version der openssl
gelinkt, was ich zwar für unwahrscheinlich halte, aber natürlich nicht
ausgeschlossen ist, das da unerkannt ein Fehler beim Bau passiert ist.

Muss ich prüfen.

> journalctl -xeu meldet (etwas unklar) ein Problem mit openssl.
> Wohin kann ich einen Screenshot posten ... als PM direkt an Dich ?

Du kannst den journalctl-Befehl auf der Konsole ausführen und dann per Copy
'n Paste in die Nachricht schreiben.

Wenn du den Status eines Dienstes nicht im Menu sondern mit

service status <dienst>

auf der Konsole ausführst, kannst du das auch ganz einfach in eine Nachricht
hineinkopieren - habe ich oben gemacht.

-- 
Gruß Marcus
[eisfair-Team]