Tâche #20974
Distribution EOLE - Scénario #20852: Traitement express MEN (26-28)
Le template hosts.allow doit pouvoir s'instancier même si le firewall est désactivé
Description
Nouveau serveur oblige, nous tentons l'installation de Scribe 2.6.1
sur un hyperviseur Proxmox tournant sous Debian.
Pas de problème lors de l'installation mais nous rencontrons un
message d'erreur lors de l'instanciation à l'étape :
------------------------------------------------------------------------
Génération des fichiers de configuration.
------------------------------------------------------------------------
Erreur: Utilisation d'une variable non existante dans le template de
/etc/eole/hosts.allow : l_interface
Erreur: Utilisation d'une variable non existante dans le template de
/etc/eole/hosts.allow : l_interface
root@scribe:~#
Demandes liées
Révisions associées
Correction du support d'eole-firewall dans hosts.allow
Ref: #20974
Cosmétique : ajout saut de ligne si pare-feu désactivé
Ref: #20974
Historique
#1 Mis à jour par Joël Cuissinat il y a presque 7 ans
- Statut changé de Nouveau à En attente d'informations
Bonjour,
Pourriez-vous joindre à la demande ou envoyer à l'équipe (eole@ac-dijon.fr) votre fichier /etc/eole/config.eol afin que nous puissions reproduire facilement l'erreur ?
#2 Mis à jour par Joël Cuissinat il y a presque 7 ans
- Assigné à mis à Joël Cuissinat
#3 Mis à jour par Antony JONQUET il y a presque 7 ans
J'avais réinstallé la dernière version en 2.5 sur cette machine virtuelle sans rencontrer le problème.
Depuis cela fait 2 fois que je réinstalle (sur 2 machines virtuelles légèrement différentes) Scribe 2.6.1 sans avoir d'erreur. La seule différence étant une configuration basique du config.eol contrairement à mes premiers essais infructueux. Dès que j'arrive à re-générer l'erreur, je vous transmets le config.eol.
#4 Mis à jour par Antony JONQUET il y a presque 7 ans
- Fichier config.eol ajouté
Voilà j'ai réussi à reproduire l'erreur avec une configuration avancée du config.eol (en pièce jointe)
#5 Mis à jour par Antony JONQUET il y a presque 7 ans
Après quelques tests, il semblerait que le problème survienne lors de la désactivation du support du firewall.
#6 Mis à jour par Joël Cuissinat il y a presque 7 ans
- Tracker changé de Demande à Tâche
- Projet changé de Scribe à eole-common
- Sujet changé de Erreur instanciation Scribe 2.6.1 (sous Proxmox) à Le template hosts.allow doit pouvoir s'instancier même si le firewall est désactivé
- Statut changé de En attente d'informations à Nouveau
- Temps estimé mis à 2.50 h
- Tâche parente mis à #20852
- Restant à faire (heures) mis à 2.5
Merci pour le fichier, je reproduis parfaitement l'erreur qui apparaît effectivement lorsque l'on désactive le pare-feu du module.
Sur le module Scribe, Eole-firewall ne gère que des "autorisations", des règles en INPUT sur un port déterminé. Il est recommandé de ne pas le désactiver sur les serveurs en production.
Ceci dit, puisqu'il est possible de le désactiver via l'interface de configuration du module, cette configuration ne doit pas entraver le fonctionnement des serveurs.
#7 Mis à jour par Joël Cuissinat il y a presque 7 ans
- Lié à Tâche #17305: Ajouter la possibilité d'ouvrir des connexions distantes sur eole-mysql ajouté
#8 Mis à jour par Joël Cuissinat il y a presque 7 ans
Après étude approfondie, il y a deux problème distincts dans le template /usr/share/eole/creole/distrib/hosts.allow.
- utilisation de la mauvaise variable (%%l_interface au lieu de %%interface) dans le
%else
associé à la condition :%if %%isinstance(%%restriction['name'], list)
- tout pourrait être ouvert dans le cas :
%%activer_firewall == 'non'
#9 Mis à jour par Joël Cuissinat il y a presque 7 ans
- Statut changé de Nouveau à En cours
#10 Mis à jour par Joël Cuissinat il y a presque 7 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 2.5 à 0.25
Paquet candidat eole-common 2.6.1-109 ajouté de force dans la mise candidate annoncée en cours...
https://dev-eole.ac-dijon.fr/projects/modules-eole/wiki/Journaux261
#11 Mis à jour par Gérald Schwartzmann il y a presque 7 ans
- Restant à faire (heures) changé de 0.25 à 0.0
#12 Mis à jour par Gérald Schwartzmann il y a presque 7 ans
paquet :
root@scribe:~# apt-cache policy eole-common-pkg eole-common-pkg: Installé : 2.6.1-103 Candidat : 2.6.1-103 Table de version : *** 2.6.1-103 500 500 http://eole.ac-dijon.fr/eole eole-2.6.1/main amd64 Packages 100 /var/lib/dpkg/status root@scribe:~#
root@scribe:/etc/eole# CreoleGet activer_firewall oui root@scribe:/etc/eole# CreoleSet activer_firewall non root@scribe:/etc/eole#
reconfigure KO
-------------------------------------------------------------------------------------------------------------------------------------------------------------- Génération des fichiers de configuration. -------------------------------------------------------------------------------------------------------------------------------------------------------------- Erreur: Utilisation d'une variable non existante dans le template de /etc/eole/hosts.allow : l_interface Erreur: Utilisation d'une variable non existante dans le template de /etc/eole/hosts.allow : l_interface root@scribe:~#
root@scribe:~# Maj-Auto -C Mise à jour le lundi 10 juillet 2017 11:39:21 *** scribe 2.6.1 (0000000A) *** Maj-Auto - (VERSION CANDIDATE) - Augmenter le niveau de mise à jour peut empêcher de revenir au niveau de mise à jour stable. Voulez-vous continuer ? [oui/non] [non] :
root@scribe:/etc/eole# apt-cache policy eole-common-pkg eole-common-pkg: Installé : 2.6.1-109 Candidat : 2.6.1-109 Table de version : *** 2.6.1-109 500 500 http://test-eole.ac-dijon.fr/eole eole-2.6.1-updates/main amd64 Packages 500 http://test-eole.ac-dijon.fr/eole eole-2.6.1-proposed-updates/main amd64 Packages 100 /var/lib/dpkg/status 2.6.1-103 500 500 http://test-eole.ac-dijon.fr/eole eole-2.6.1/main amd64 Packages root@scribe:/etc/eole#
-------------------------------------------------------------------------------------------------------------------------------------------------------------- Génération des fichiers de configuration. -------------------------------------------------------------------------------------------------------------------------------------------------------------- -------------------------------------------------------------------------------------------------------------------------------------------------------------- Configuration des services -------------------------------------------------------------------------------------------------------------------------------------------------------------- […] run-parts: executing /usr/share/eole/posttemplate/00-eole-common reconfigure Génération des règles de pare-feuLe serveur n'est plus protégé. Pour relancer le pare-feu, exécuter "CreoleService bastion restart" Activation du mode forteresse sur ens4 Le serveur est protégé. Pour relancer le pare-feu, exécuter "CreoleService bastion restart"
vim /etc/hosts.allow
#this file is generated by EOLE, don't modify this file ALL:ALL
reconfigure OK, par contre il manque un saut de ligne : Génération des règles de pare-feuLe serveur n'est plus protégé.
#13 Mis à jour par Gérald Schwartzmann il y a presque 7 ans
- Statut changé de Résolu à En cours
- Restant à faire (heures) changé de 0.0 à 0.5
#14 Mis à jour par Gérald Schwartzmann il y a presque 7 ans
~/Dev/EOLE/eole-common[master]$ rgrep "Le serveur n'est plus protégé" tmpl/ouvre.firewall:echo "Le serveur n'est plus protégé. Pour relancer le pare-feu, exécuter \"CreoleService bastion restart\"" ~/Dev/EOLE/eole-common[master]$ rgrep "Le serveur est protégé" sbin/ferme.firewall: echo "Le serveur est protégé. Pour relancer le pare-feu, exécuter \"CreoleService bastion restart\""
echo -n ligne 209 du fichier : posttemplate/00-eole-common
#15 Mis à jour par Joël Cuissinat il y a presque 7 ans
- Statut changé de En cours à Résolu
Correction de l'affichage 2.6.1 & 2.6.2
#16 Mis à jour par Gérald Schwartzmann il y a presque 7 ans
Test en 2.6.2
Paramétrage de eole-common-pkg (2.6.2-15) ...
Stop Systemd service mysql [ OK ] run-parts: executing /usr/share/eole/posttemplate/00-bareoswebui reconfigure run-parts: executing /usr/share/eole/posttemplate/00-cups reconfigure run-parts: executing /usr/share/eole/posttemplate/00-eole-common reconfigure Génération des règles de pare-feu Activation du mode forteresse sur ens4 Le serveur est protégé. Pour relancer le pare-feu, exécuter "CreoleService bastion restart" run-parts: executing /usr/share/eole/posttemplate/00-letsencrypt reconfigure run-parts: executing /usr/share/eole/posttemplate/00-mysql reconfigure
root@scribe:~# CreoleSet activer_firewall non root@scribe:~# reconfigure
run-parts: executing /usr/share/eole/posttemplate/00-eole-common reconfigure Génération des règles de pare-feu Le serveur n'est plus protégé. Pour relancer le pare-feu, exécuter "CreoleService bastion restart" Activation du mode forteresse sur ens4 Le serveur est protégé. Pour relancer le pare-feu, exécuter "CreoleService bastion restart" run-parts: executing /usr/share/eole/posttemplate/00-letsencrypt reconfigure run-parts: executing /usr/share/eole/posttemplate/00-mysql reconfigure ## Génération de base de données ## Stop Systemd service mysql
#17 Mis à jour par Gérald Schwartzmann il y a presque 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.5 à 0.0