Projet

Général

Profil

Tâche #18971

Scénario #18693: Traitement express MEN (4-6)

Ajouter un contrôle de conformité lors de la création d'un service dans ERA

Ajouté par Thierry Jambou il y a environ 7 ans. Mis à jour il y a environ 7 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Gwenael Remond
Début:
03/02/2017
Echéance:
% réalisé:

100%

Temps estimé:
4.00 h
Temps passé:
Restant à faire (heures):
0.0

Description

On peut créer un service dans ERA sans que celui-ci soit complètement et correctement défini.

Exemple en pièce jointe de création d'un service sans le protocole

Le problème, c'est qu'ensuite ça plante le service bastion restart et le reconfigure

Capture du 2017-02-03 10_31_17.png Voir (29,1 ko) Thierry Jambou, 03/02/2017 10:31

EditeurService.png Voir - Creation d'un service (29,4 ko) Gwenael Remond, 06/02/2017 10:29

Révisions associées

Révision 951de855 (diff)
Ajouté par root il y a environ 7 ans

the interface validates the service's protocol

ref #18971

Historique

#1 Mis à jour par Gérald Schwartzmann il y a environ 7 ans

  • Sujet changé de Pas de controle de conformité lors de la création d'un service dans ERA à Ajouter un contrôle de conformité lors de la création d'un service dans ERA

#2 Mis à jour par Gwenael Remond il y a environ 7 ans

  • Assigné à mis à Gwenael Remond
  • Version cible mis à sprint 2017 4-6 Equipe MENSR
  • Temps estimé mis à 4.00 h
  • Tâche parente mis à #18693

#3 Mis à jour par Gwenael Remond il y a environ 7 ans

  • Projet changé de ERA à Distribution EOLE
  • Statut changé de Nouveau à En cours
  • Restant à faire (heures) mis à 4.0

#4 Mis à jour par Gwenael Remond il y a environ 7 ans

Depuis le bug #15077 il est interdit depuis l'interface de Era de ne pas renseigner le protocole au moment de la création d'un service. Il faut mettre obligatoirement un des choix proposés (tcp, udp, esp, icmp) :

Creation d'un service

Maintenant si le protocole n'est pas renseigné, le service bastion remonte une erreur, ce qui est bloquant j'en conviens, mais ce qui me semble être une réaction normale de sa part :

#--------------------------------------------------
Attention, erreur de coherence des directives Era
protocol should be in (udp, tcp, esp, tout or icmp), found
#--------------------------------------------------
Pour obtenir plus d'informations, faire 'ERA_DEBUG=1 /usr/sbin/bastion restart'

donc le reconfigure plante, ce qui me semble être le comportement attendu du reconfigure car il y a un problème.

C'est le compilateur de règles iptables de Era, c'est-à-dire le backend, qui fait les validations sur le service. L'interface ne les fait pas.
Je vais donc modifier le comportement de l'interface de Era

#5 Mis à jour par Gwenael Remond il y a environ 7 ans

  • % réalisé changé de 0 à 100
  • Restant à faire (heures) changé de 4.0 à 1.0

#6 Mis à jour par Thierry Jambou il y a environ 7 ans

Bonjour Gwen,

En fait, il n'y a pas eu de modif a la mano du fichier xml ... J'ai reproduit le cas sur un amon-eSSL 2.5.2 de test :

- dans era, j'ai créer un service sans indiquer le protocole mais en mettant les ports
- je l'ai ensuite utilisé dans une nouvelle directive
- j'ai enregistré le modèle et lancer un service bastion restart : ça plante !!

#--------------------------------------------------
Attention, erreur de coherence des directives Era
protocol should be in (udp, tcp, esp, tout or icmp), found 
#--------------------------------------------------
Pour obtenir plus d'informations, faire 'ERA_DEBUG=1 /etc/init.d/bastion restart'
non appliquées !                                                                                                 [fail]
 * Mise en cache des règles de pare-feu (utiliser '/etc/init.d/bastion reload' pour appliquer l'ancien cache)    [fail]

J'ai aussi fait l'essai sur un amon-essl 2.6.1 : là, le service bastion restart ne dit strictement rien (il n'affiche rien d'ailleurs ...)

#7 Mis à jour par Thierry Jambou il y a environ 7 ans

Oups, j'ai revérifier en 2.6.1 : ce n'est plus possible car le protocole a une valeur par défaut (tcp).

Par-contre, c'est troublant que le service bastion restart n'affiche rien :

root@essl-spc-2-6-1:~# service bastion restart
root@essl-spc-2-6-1:~#

#8 Mis à jour par Scrum Master il y a environ 7 ans

  • Statut changé de En cours à Résolu

#9 Mis à jour par Daniel Dehennin il y a environ 7 ans

  • Restant à faire (heures) changé de 1.0 à 0.0

#10 Mis à jour par Daniel Dehennin il y a environ 7 ans

Thierry Jambou a écrit :

Oups, j'ai revérifier en 2.6.1 : ce n'est plus possible car le protocole a une valeur par défaut (tcp).

Par-contre, c'est troublant que le service bastion restart n'affiche rien :

Cela fait parti des changements sur la 2.6.0, le rechargement des règles se fait par

root@server:~# bastion restart

La commande service ne fait que démarrer ou arrêter bastion mais n’entraîne plus la recompilation des règles (#16742).

Je valide le comportement sur 2.6.1.

#11 Mis à jour par Daniel Dehennin il y a environ 7 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF