AWS Lightsail で yum update を実行したら nftables が動かなくなった
理由がさっぱり分からないが、yum update したら nftables が動かなくなって大層あせった。
[root@ip-XX-XX-XX-XX ~]# nft add table inet hoge
Error: Could not process rule: Operation not supported
add table inet hoge
^^^^^^^^^^^^^^^^^^^^
過去スナップショットからの復元を考慮したが、現インスタンスに上書き復旧する方法が無い。新規インスタンスに復元した場合、IPv6 アドレスが変わってしまうので困る。
仕方無しに、新規インスタンスで起動し、更新されたパッケージを比較してみるが、nftables に関わりそうなところには更新は入っていなかった。
残るは kernel 位なので、試しに使用されている最新のカーネルを削除して見たところ、無事起動し、nftables も利用可能になった。
復旧手順
現行の最新 kernel を削除し、リブートするだけ。
[root@ip-XX-XX-XX-XX ~]# uname -a
Linux ip-XX-XX-XX-XX.ap-northeast-1.compute.internal 4.14.336-255.557.amzn2.x86_64 #1 SMP Tue Jan 30 09:50:19 UTC 2024 x86_64 x86_64 x86_64 GNU/Linux
[root@ip-XX-XX-XX-XX ~]# /bin/rpm -q kernel
kernel-4.14.334-252.552.amzn2.x86_64
kernel-4.14.336-253.554.amzn2.x86_64
kernel-4.14.336-255.557.amzn2.x86_64
[root@ip-XX-XX-XX-XX ~]# /bin/rpm -e kernel-4.14.336-255.557.amzn2.x86_64
[root@ip-XX-XX-XX-XX ~]# /bin/rpm -q kernel
kernel-4.14.334-252.552.amzn2.x86_64
kernel-4.14.336-253.554.amzn2.x86_64
[root@ip-XX-XX-XX-XX ~]# /sbin/init 6
確認
[root@ip-XX-XX-XX-XX ~]# nft list tables
table inet filter
[root@ip-XX-XX-XX-XX ~]# uname -a
Linux ip-XX-XX-XX-XX.ap-northeast-1.compute.internal 4.14.336-253.554.amzn2.x86_64 #1 SMP Fri Jan 12 09:58:17 UTC 2024 x86_64 x86_64 x86_64 GNU/Linux
[root@ip-XX-XX-XX-XX ~]#
Lightsail でのシリアル・コンソール利用可否や grub.cfg の確認等も含め、
お陰で 4時間程無駄になった。
追記
CVE を見ると netfilter 周りの問題が幾つか散見されるが、まさかその影響で乱暴にごっそり機能ごと落としたとか?
それはそれで、凄く困るんだけれど?
結末
kernel-4.14.336-256.559.amzn2.x86_64 がリリースされたので、入れてみた所、問題なく nftables が利用できた。本件は、これで終了。
[root@ip-XX-XX-XX-XX ~]# nft list tables
table inet filter
[root@ip-XX-XX-XX-XX ~]# uname -a
Linux ip-XX-XX-XX-XX.ap-northeast-1.compute.internal 4.14.336-256.559.amzn2.x86_64 #1 SMP Tue Feb 13 09:50:28 UTC 2024 x86_64 x86_64 x86_64 GNU/Linux
[root@ip-XX-XX-XX-XX ~]#