情境(Situation)

作为一名SRE工程师，在使用最新版OpenKylin操作系统进行虚拟机部署时，遇到了无法安装软件的问题。当尝试使用apt install命令安装apt-utils、openssh-server等软件时，系统报错：

dpkg: 错误：执行钩子/usr/bin/ostree-pkgs-guard出错，退出状态为 256
** 当前模式禁止执行（unpack）操作**

这个问题导致无法正常安装和配置软件包，严重影响了系统的部署和使用。

冲突(Conflict)

OpenKylin作为基于OSTree的 immutable OS，默认采用了严格的包管理策略，通过ostree-pkgs-guard脚本拦截某些dpkg操作。这一设计虽然增强了系统的安全性和稳定性，但在需要自定义安装软件时，却成为了阻碍。

直接修改/usr/bin/ostree-pkgs-guard文件会失败，因为默认情况下系统处于只读模式，无法修改关键系统文件。

问题(Question)

1. 如何解除OpenKylin的只读模式限制？
2. 如何修改ostree-pkgs-guard脚本以允许软件安装？
3. 修改后的系统是否能正常安装和使用软件包？

答案(Answer)

一、问题分析

1. OSTree包管理机制：OpenKylin采用OSTree作为底层包管理系统，实现了系统的immutable特性，默认情况下系统文件处于只读状态。
2. ostree-pkgs-guard脚本：这是一个dpkg钩子脚本，用于拦截某些可能破坏系统完整性的操作，如install、remove、unpack等。
3. 脚本逻辑问题：脚本中的条件判断存在逻辑错误，导致在不应该拦截操作时进行了拦截。

二、解决方案

方法一：修改ostree-pkgs-guard脚本

1. 解除系统只读模式

首先，需要进入root用户并执行ostree admin unlock命令，将系统切换到可写模式：

# 切换到root用户
sudo su -

# 解除OSTree只读限制
ostree admin unlock

执行成功后，系统会提示：

OSTree: unlocked current deployment

2. 修改ostree-pkgs-guard脚本

使用vim编辑器修改/usr/bin/ostree-pkgs-guard文件：

vim /usr/bin/ostree-pkgs-guard

原脚本关键代码：

# 只有在非live-build且非chroot且是normal模式时才执行操作拦截
if should_execute_operation; then
    # 需要阻止的操作类型
    case "$operation" in
        install|remove|purge|reinstall|autoremove|unpack|configure)
            log "**当前模式禁止执行（$operation）操作**"
            echo "\033[31m ** 当前模式禁止执行（$operation）操作** \033[0m" >&2
            exit 1
            ;;
        *)
            log "允许操作: $operation"
            exit 0
            ;;
    esac
else
    log "不满足拦截条件，允许操作继续"
    exit 0
fi

修改后的脚本代码：

# 只有在非live-build且非chroot且是normal模式时才执行操作拦截
if ! should_execute_operation; then
    # 需要阻止的操作类型
    case "$operation" in
        install|remove|purge|reinstall|autoremove|unpack|configure)
            log "**当前模式禁止执行（$operation）操作**"
            echo "\033[31m ** 当前模式禁止执行（$operation）操作** \033[0m" >&2
            exit 1
            ;;
        *)
            log "允许操作: $operation"
            exit 0
            ;;
    esac
else
    log "不满足拦截条件，允许操作继续"
    exit 0
fi

关键修改点：将条件判断从if should_execute_operation; then改为if ! should_execute_operation; then，修正了逻辑判断错误。

3. 验证修复效果

修改完成后，尝试安装软件包，验证问题是否解决：

# 更新软件包列表
apt update

# 安装apt-utils和openssh-server
apt install -y apt-utils openssh-server

如果安装成功，说明修复生效。此时可以继续配置SSH服务：

# 启动SSH服务
systemctl start ssh

# 设置SSH服务开机自启
systemctl enable ssh

# 查看SSH服务状态
systemctl status ssh

方法二：通过维护模式安装软件

注意：方法一存在一个弊端，即修改后只能临时起作用，重启系统后SSH服务可能无法正常启动，需要重新安装或设置快照。以下是一种更方便的方法：

1. 进入系统设置

在OpenKylin系统桌面找到并点击”设置”图标，进入系统设置界面。

2. 开启维护模式

在系统设置中，找到”维护模式”选项，点击开启维护模式。

3. 重启电脑

开启维护模式后，重启电脑，重启后桌面右下角会显示”维护模式”标识。

4. 重新安装软件

电脑重启完成后，再次打开终端，执行软件安装命令：

# 更新软件包列表
apt update

# 安装所需软件（以openssh-server为例）
apt install -y openssh-server

通过这种方式安装的软件，在维护模式下会被正确配置，重启后SSH服务也能正常启动。

5. 退出维护模式（可选）

如果需要退出维护模式，可以再次进入系统设置，关闭维护模式选项，然后重启电脑。

三、技术原理深入分析

1. OSTree包管理系统

OSTree是一个用于管理Linux系统镜像的工具，它具有以下特点：

• 不可变性：系统默认处于只读状态，防止意外修改
• 原子更新：系统更新是原子操作，要么完全成功，要么完全失败
• 版本控制：可以回滚到之前的系统版本
• 增量更新：只下载和更新变化的部分

2. dpkg钩子机制

dpkg提供了钩子机制，允许在包处理的不同阶段执行自定义脚本。ostree-pkgs-guard脚本就是利用这一机制，在dpkg执行关键操作前进行拦截和检查。

3. 脚本逻辑分析

原脚本中的逻辑错误在于条件判断：

• should_execute_operation函数返回true表示满足拦截条件
• 原代码使用if should_execute_operation; then，表示满足条件时执行拦截
• 但脚本内部的注释说明是”只有在非live-build且非chroot且是normal模式时才执行操作拦截”
• 实际上，当should_execute_operation返回true时，应该不执行拦截，允许操作继续

修改后的逻辑：

• 使用if ! should_execute_operation; then，表示不满足条件时执行拦截
• 这样当系统处于正常模式且满足拦截条件时，会跳过拦截，允许操作继续

四、最佳实践与注意事项

方法一（修改脚本）的注意事项

1. 系统安全性考虑：
   • 解除只读模式会降低系统的安全性，建议在完成必要的软件安装后，恢复只读模式
   • 可以使用ostree admin lock命令恢复只读状态
2. 操作风险：
   • 修改系统关键脚本可能导致系统不稳定，建议在操作前备份原文件
   • 仅在测试环境或需要自定义配置的生产环境中使用此方法
3. 临时性问题：
   • 该方法修改后只能临时起作用，重启系统后SSH服务等可能无法正常启动
   • 如需持久化解决方案，建议使用方法二或考虑容器化部署

方法二（维护模式）的注意事项

1. 适用场景：
   • 适合一次性安装多个软件包的场景
   • 安装后软件配置能持久化，重启后服务能正常运行
   • 不需要修改系统关键脚本，风险较低
2. 操作建议：
   • 进入维护模式后，建议一次性完成所有需要的软件安装和配置
   • 安装完成后可以选择退出维护模式，恢复系统的安全状态
3. 维护模式特点：
   • 维护模式下系统仍保持较高的安全性
   • 软件安装和配置会被正确记录和持久化
   • 重启后服务能正常启动，不需要重新安装

通用最佳实践

1. 系统备份：
   • 无论使用哪种方法，建议在操作前备份系统关键数据
   • 可以使用ostree admin pin命令固定当前系统版本，以便回滚
2. 替代方案：
   • 对于生产环境，建议使用容器化技术（如Docker、Podman）来运行需要的软件，而不是直接修改系统
   • 考虑使用OpenKylin提供的官方软件源和包管理工具
3. 安全性与灵活性平衡：
   • 在追求系统灵活性的同时，也要考虑系统安全性
   • 根据实际需求选择合适的方法，避免不必要的系统修改

五、结论

通过分析OpenKylin系统的OSTree包管理机制和ostree-pkgs-guard脚本的逻辑错误，我们成功解决了无法安装软件的问题。这一解决方案不仅解决了当前的问题，也帮助我们深入理解了immutable OS的设计理念和工作原理。

在使用immutable OS时，我们需要在系统安全性和灵活性之间找到平衡。对于需要自定义配置的场景，可以采用本文介绍的方法临时解除限制，但在完成配置后应及时恢复系统的只读状态，以保证系统的安全性和稳定性。

参考文献

1. OpenKylin官方文档
2. OSTree官方文档
3. Debian dpkg钩子机制
4. OpenKylin系统中sudo apt install xxx报错的解决方法