Projet

Général

Profil

Scénario #11782

balise tcpwrapper pour les services de base non migrée de 2.4.0 à 2.4.2

Ajouté par Benoit Guinet il y a presque 9 ans. Mis à jour il y a plus de 8 ans.

Statut:
Terminé (Sprint)
Priorité:
Haut
Assigné à:
Catégorie:
-
Début:
04/06/2015
Echéance:
19/06/2015
% réalisé:

100%

Temps estimé:
(Total: 8.00 h)
Temps passé:
(Total: 9.25 h)
Points de scénarios:
3.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
Liens avec la release:
Auto

Description

Sur AMON 2.4.1 les adresses autorisées à se connecter via SSH renseignées dans gen_config ne sont pas écrites dans le fichier /etc/hosts.allow (aucune connexion ssh n'est donc possible )

Lors de nos tests nous constatons que :
- Le fichier /etc/hosts.allow n'est déclaré ni dans le dictionnaire 01_network.xml ni dans le dictionnaire 10_era.xml
- En ajoutant la balise <file name='/etc/hosts.allow'/> dans l'un ou dans l'autre de ces dictionaires le job est fait


Sous-tâches

Tâche #11916: migration du tcpwrapperFerméGwenael Remond

Historique

#1 Mis à jour par Emmanuel GARETTE il y a presque 9 ans

Bonjour,

Merci pour cette remontée.

Logiquement le fichier /etc/hosts.allow est généré par Era et non creole. Il y a eu quelques corrections sur la gestion du fichier hosts.allow sur la 2.4.1.1. Cette version va être diffusé dans les jours qui viennent. Pourriez-vous tester si vous avez toujours des dysfonctionnements après mise à jour vers la version "candidate" ?

Pour tester faire :

Maj-Auto -S test-eole.ac-dijon.fr

Et nous dire si le problème est encore présent chez vous ?

Cordialement,

#2 Mis à jour par Emmanuel GARETTE il y a presque 9 ans

  • Statut changé de Nouveau à En attente d'informations

#3 Mis à jour par Benoit Guinet il y a presque 9 ans

Bonjour,
Nous venons d'effectuer la mise à jour vers la version "candidate" et le problème n'est pas résolu : le fichier /etc/hosts.allow est toujours vide.

Si ça peut aider, nous n'avons pas ce probleme sur les amons 2.4.0

Cordialemenent.

#4 Mis à jour par Emmanuel GARETTE il y a presque 9 ans

Utilisez-vous les modèles par défaut, utilisez-vous le mécanisme d'héritage ( http://eole.ac-dijon.fr/documentations/2.4/partielles/HTML/ERA/co/7-ImbriquerDesModeles.html ) ou avez-vous un modèle propre a vous ?

Depuis le 2.4.1, tcpwrapper est géré directement depuis Era et non depuis un template (ce qui n'était pas trop flexible).

Pour plus d'informations : https://dev-eole.ac-dijon.fr/issues/2735

Si vous avez vos propres modèles, il va falloir les mettre à jour. Pour cela éditer les services et ajouter les informations tcpwrapper : http://eole.ac-dijon.fr/documentations/2.4/partielles/HTML/ERA/co/2-Services.html

Voici les services que nous avons dans nos modèles et les valeurs de tcpwrapper :

ldap => slapd
ldaps => slapd
ssh => sshd
tftpd-hpa => in.tftpd

Habituellement, nous faisons attention qu'une modification ne provoque pas de régression, mais nous devions faire cette modification pour plus de cohérence.

#5 Mis à jour par Benoit Guinet il y a presque 9 ans

Effectivement nous utilisons nos propres modèles de firewall et nous sommes passé à coté de l'évolution dans la gestion de tcpwrapper.
Le fichier /etc/hosts.allow est bien généré après avoir édité les services dans era tel qu'indiqué dans la doc.

#6 Mis à jour par Emmanuel GARETTE il y a presque 9 ans

  • Statut changé de En attente d'informations à Nouveau

Merci pour ces informations.

Je vais proposé de modifier Era pour ajouter automatiquement les champs tcpwrapper pour ces 4 services en cas de migration.

Cordialement,

#7 Mis à jour par Emmanuel GARETTE il y a presque 9 ans

  • Tracker changé de Anomalie à Scénario
  • Sujet changé de /etc/hosts.allow non généré sur AMON 2.4.1 à balise tcpwrapper pour les services de base non migré de 2.4.0 à 2.4.1
  • Début 27/05/2015 supprimé
  • Release mis à Mise à jour 2.4.1.2
  • Points de scénarios mis à 3.0

#8 Mis à jour par Joël Cuissinat il y a presque 9 ans

  • Release changé de Mise à jour 2.4.1.2 à EOLE 2.4.2

#9 Mis à jour par Scrum Master il y a presque 9 ans

  • Echéance mis à 19/06/2015
  • Version cible mis à Sprint_2015_23-25 - Équipe MENESR
  • Début mis à 01/06/2015

#10 Mis à jour par Scrum Master il y a presque 9 ans

  • Assigné à mis à force jaune

#11 Mis à jour par Emmanuel GARETTE il y a presque 9 ans

  • Sujet changé de balise tcpwrapper pour les services de base non migré de 2.4.0 à 2.4.1 à balise tcpwrapper pour les services de base non migré de 2.4.0 à 2.4.2

#12 Mis à jour par Scrum Master il y a presque 9 ans

  • Sujet changé de balise tcpwrapper pour les services de base non migré de 2.4.0 à 2.4.2 à balise tcpwrapper pour les services de base non migrée de 2.4.0 à 2.4.2

#13 Mis à jour par Scrum Master il y a presque 9 ans

  • Statut changé de Nouveau à Terminé (Sprint)

#14 Mis à jour par Daniel Dehennin il y a plus de 8 ans

ERRATA

Migration des modèles ERA en 2.4.1 :

Pour résoudre le problème, il s'agit de rajouter dans l'interface ERA un attribut tcpwrapper aux objets de type service qui sont concernés par le tcpwrapper:

Ouvrir votre modèles ERA dans l'interface (lancer era, puis Fichier>Ouvrir). Puis aller dans le menu Bibliothèque>Services et éditer les services concernés par le tcpwrapper.
Il suffit de renseigner le nom tcpwrapper du service (le nom tel qu'il doit apparaître dans le fichier hosts.allow) et le tcpwrapper sera pris en compte dès qu'une directive utilisant ce service sera créée.

Les services concernés sont par défaut :

  • pour le service "service d'annuaire" il faut mettre "slapd" ;
  • pour le service "service ldaps" il faut mettre "slapd" ;
  • pour le service "Accès aux serveurs TFTP" il faut mettre "in.tftpd" ;
  • pour le service "ssh" il faut mettre "sshd".

N'oubliez pas de faire un reconfigure ensuite.

Plus d'information dans la doc ERA sur les services, paragraphe "implémenter un service avec tcpwrapper" :

http://eole.ac-dijon.fr/documentations/2.4/beta/partielles/ERA/co/2-Services.html

Migration des modèles ERA en 2.4.2 et plus :

Il faut migrer les modèles ERA personnalisés (pas ceux fournis en natif par le paquet ERA).
En effet, il y a eu des changements dans la DTD du format XML interne à l'application ERA : la version XML 2.42.

Un script de migration est fourni pour passer en 2.42, il suffit d'ouvrir le modèle ERA concerné dans l'interface ERA (faire un Fichier>Ouvrir), puis faire un Fichier>Enregistrer et une fenêtre de type popup apparaît au moment de l'enregistrement pour proposer la mise à jour du modèle.

Formats disponibles : Atom PDF