Tâche #18971
Scénario #18693: Traitement express MEN (4-6)
Ajouter un contrôle de conformité lors de la création d'un service dans ERA
Description
On peut créer un service dans ERA sans que celui-ci soit complètement et correctement défini.
Exemple en pièce jointe de création d'un service sans le protocole
Le problème, c'est qu'ensuite ça plante le service bastion restart et le reconfigure
Révisions associées
the interface validates the service's protocol
ref #18971
Historique
#1 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
- Sujet changé de Pas de controle de conformité lors de la création d'un service dans ERA à Ajouter un contrôle de conformité lors de la création d'un service dans ERA
#2 Mis à jour par Gwenael Remond il y a environ 7 ans
- Assigné à mis à Gwenael Remond
- Version cible mis à sprint 2017 4-6 Equipe MENSR
- Temps estimé mis à 4.00 h
- Tâche parente mis à #18693
#3 Mis à jour par Gwenael Remond il y a environ 7 ans
- Projet changé de ERA à Distribution EOLE
- Statut changé de Nouveau à En cours
- Restant à faire (heures) mis à 4.0
#4 Mis à jour par Gwenael Remond il y a environ 7 ans
- Fichier EditeurService.png Voir ajouté
Depuis le bug #15077 il est interdit depuis l'interface de Era de ne pas renseigner le protocole au moment de la création d'un service. Il faut mettre obligatoirement un des choix proposés (tcp, udp, esp, icmp) :
Maintenant si le protocole n'est pas renseigné, le service bastion remonte une erreur, ce qui est bloquant j'en conviens, mais ce qui me semble être une réaction normale de sa part :
#-------------------------------------------------- Attention, erreur de coherence des directives Era protocol should be in (udp, tcp, esp, tout or icmp), found #-------------------------------------------------- Pour obtenir plus d'informations, faire 'ERA_DEBUG=1 /usr/sbin/bastion restart'
donc le reconfigure plante, ce qui me semble être le comportement attendu du reconfigure car il y a un problème.
C'est le compilateur de règles iptables de Era, c'est-à-dire le backend, qui fait les validations sur le service. L'interface ne les fait pas.
Je vais donc modifier le comportement de l'interface de Era
#5 Mis à jour par Gwenael Remond il y a environ 7 ans
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 4.0 à 1.0
#6 Mis à jour par Thierry Jambou il y a environ 7 ans
Bonjour Gwen,
En fait, il n'y a pas eu de modif a la mano du fichier xml ... J'ai reproduit le cas sur un amon-eSSL 2.5.2 de test :
- dans era, j'ai créer un service sans indiquer le protocole mais en mettant les ports
- je l'ai ensuite utilisé dans une nouvelle directive
- j'ai enregistré le modèle et lancer un service bastion restart : ça plante !!
#-------------------------------------------------- Attention, erreur de coherence des directives Era protocol should be in (udp, tcp, esp, tout or icmp), found #-------------------------------------------------- Pour obtenir plus d'informations, faire 'ERA_DEBUG=1 /etc/init.d/bastion restart' non appliquées ! [fail] * Mise en cache des règles de pare-feu (utiliser '/etc/init.d/bastion reload' pour appliquer l'ancien cache) [fail]
J'ai aussi fait l'essai sur un amon-essl 2.6.1 : là, le service bastion restart ne dit strictement rien (il n'affiche rien d'ailleurs ...)
#7 Mis à jour par Thierry Jambou il y a environ 7 ans
Oups, j'ai revérifier en 2.6.1 : ce n'est plus possible car le protocole a une valeur par défaut (tcp).
Par-contre, c'est troublant que le service bastion restart n'affiche rien :
root@essl-spc-2-6-1:~# service bastion restart root@essl-spc-2-6-1:~#
#8 Mis à jour par Scrum Master il y a environ 7 ans
- Statut changé de En cours à Résolu
#9 Mis à jour par Daniel Dehennin il y a environ 7 ans
- Restant à faire (heures) changé de 1.0 à 0.0
#10 Mis à jour par Daniel Dehennin il y a environ 7 ans
Thierry Jambou a écrit :
Oups, j'ai revérifier en 2.6.1 : ce n'est plus possible car le protocole a une valeur par défaut (tcp).
Par-contre, c'est troublant que le service bastion restart n'affiche rien :
Cela fait parti des changements sur la 2.6.0, le rechargement des règles se fait par
root@server:~# bastion restart
La commande service
ne fait que démarrer ou arrêter bastion mais n’entraîne plus la recompilation des règles (#16742).
Je valide le comportement sur 2.6.1.
#11 Mis à jour par Daniel Dehennin il y a environ 7 ans
- Statut changé de Résolu à Fermé