Project

General

Profile

Tâche #18971

Scénario #18693: Traitement express MEN (4-6)

Ajouter un contrôle de conformité lors de la création d'un service dans ERA

Added by Thierry Jambou over 6 years ago. Updated over 6 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Gwenael Remond
Target version:
sprint 2017 4-6 Equipe MENSR
Start date:
02/03/2017
Due date:
% Done:

100%

Estimated time:
4.00 h
Spent time:
3.25 h
Remaining (hours):
0.0

Description

On peut créer un service dans ERA sans que celui-ci soit complètement et correctement défini.

Exemple en pièce jointe de création d'un service sans le protocole

Le problème, c'est qu'ensuite ça plante le service bastion restart et le reconfigure

Capture du 2017-02-03 10_31_17.png View (29.1 KB) Thierry Jambou, 02/03/2017 10:31 AM

EditeurService.png View - Creation d'un service (29.4 KB) Gwenael Remond, 02/06/2017 10:29 AM

Associated revisions

Revision 951de855 (diff)
Added by root over 6 years ago

the interface validates the service's protocol

ref #18971

History

#1 Updated by Gérald Schwartzmann over 6 years ago

  • Subject changed from Pas de controle de conformité lors de la création d'un service dans ERA to Ajouter un contrôle de conformité lors de la création d'un service dans ERA

#2 Updated by Gwenael Remond over 6 years ago

  • Assigned To set to Gwenael Remond
  • Target version set to sprint 2017 4-6 Equipe MENSR
  • Estimated time set to 4.00 h
  • Parent task set to #18693

#3 Updated by Gwenael Remond over 6 years ago

  • Project changed from ERA to Distribution EOLE
  • Status changed from Nouveau to En cours
  • Remaining (hours) set to 4.0

#4 Updated by Gwenael Remond over 6 years ago

Depuis le bug #15077 il est interdit depuis l'interface de Era de ne pas renseigner le protocole au moment de la création d'un service. Il faut mettre obligatoirement un des choix proposés (tcp, udp, esp, icmp) :

Creation d'un service

Maintenant si le protocole n'est pas renseigné, le service bastion remonte une erreur, ce qui est bloquant j'en conviens, mais ce qui me semble être une réaction normale de sa part :

#--------------------------------------------------
Attention, erreur de coherence des directives Era
protocol should be in (udp, tcp, esp, tout or icmp), found
#--------------------------------------------------
Pour obtenir plus d'informations, faire 'ERA_DEBUG=1 /usr/sbin/bastion restart'

donc le reconfigure plante, ce qui me semble être le comportement attendu du reconfigure car il y a un problème.

C'est le compilateur de règles iptables de Era, c'est-à-dire le backend, qui fait les validations sur le service. L'interface ne les fait pas.
Je vais donc modifier le comportement de l'interface de Era

#5 Updated by Gwenael Remond over 6 years ago

  • % Done changed from 0 to 100
  • Remaining (hours) changed from 4.0 to 1.0

#6 Updated by Thierry Jambou over 6 years ago

Bonjour Gwen,

En fait, il n'y a pas eu de modif a la mano du fichier xml ... J'ai reproduit le cas sur un amon-eSSL 2.5.2 de test :

- dans era, j'ai créer un service sans indiquer le protocole mais en mettant les ports
- je l'ai ensuite utilisé dans une nouvelle directive
- j'ai enregistré le modèle et lancer un service bastion restart : ça plante !!

#--------------------------------------------------
Attention, erreur de coherence des directives Era
protocol should be in (udp, tcp, esp, tout or icmp), found 
#--------------------------------------------------
Pour obtenir plus d'informations, faire 'ERA_DEBUG=1 /etc/init.d/bastion restart'
non appliquées !                                                                                                 [fail]
 * Mise en cache des règles de pare-feu (utiliser '/etc/init.d/bastion reload' pour appliquer l'ancien cache)    [fail]

J'ai aussi fait l'essai sur un amon-essl 2.6.1 : là, le service bastion restart ne dit strictement rien (il n'affiche rien d'ailleurs ...)

#7 Updated by Thierry Jambou over 6 years ago

Oups, j'ai revérifier en 2.6.1 : ce n'est plus possible car le protocole a une valeur par défaut (tcp).

Par-contre, c'est troublant que le service bastion restart n'affiche rien :

root@essl-spc-2-6-1:~# service bastion restart
root@essl-spc-2-6-1:~#

#8 Updated by Scrum Master over 6 years ago

  • Status changed from En cours to Résolu

#9 Updated by Daniel Dehennin over 6 years ago

  • Remaining (hours) changed from 1.0 to 0.0

#10 Updated by Daniel Dehennin over 6 years ago

Thierry Jambou a écrit :

Oups, j'ai revérifier en 2.6.1 : ce n'est plus possible car le protocole a une valeur par défaut (tcp).

Par-contre, c'est troublant que le service bastion restart n'affiche rien :

Cela fait parti des changements sur la 2.6.0, le rechargement des règles se fait par 

root@server:~# bastion restart

La commande service ne fait que démarrer ou arrêter bastion mais n’entraîne plus la recompilation des règles (#16742).

Je valide le comportement sur 2.6.1.

#11 Updated by Daniel Dehennin over 6 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF