Project

General

Profile

Tâche #20974

Distribution EOLE - Scénario #20852: Traitement express MEN (26-28)

Le template hosts.allow doit pouvoir s'instancier même si le firewall est désactivé

Added by Antony JONQUET over 6 years ago. Updated about 6 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
06/28/2017
Due date:
% Done:

100%

Estimated time:
2.50 h
Spent time:
Remaining (hours):
0.0

Description

Nouveau serveur oblige, nous tentons l'installation de Scribe 2.6.1
sur un hyperviseur Proxmox tournant sous Debian.
Pas de problème lors de l'installation mais nous rencontrons un
message d'erreur lors de l'instanciation à l'étape :

------------------------------------------------------------------------
Génération des fichiers de configuration.
------------------------------------------------------------------------
Erreur: Utilisation d'une variable non existante dans le template de
/etc/eole/hosts.allow : l_interface
Erreur: Utilisation d'une variable non existante dans le template de
/etc/eole/hosts.allow : l_interface
root@scribe:~#

config.eol (2.86 KB) Antony JONQUET, 07/03/2017 11:12 AM


Related issues

Related to eole-mysql - Tâche #17305: Ajouter la possibilité d'ouvrir des connexions distantes sur eole-mysql Fermé 09/27/2016

Associated revisions

Revision 1a68c7ca (diff)
Added by Joël Cuissinat about 6 years ago

Correction du support d'eole-firewall dans hosts.allow

Ref: #20974

Revision c84c6a82 (diff)
Added by Joël Cuissinat about 6 years ago

Cosmétique : ajout saut de ligne si pare-feu désactivé

Ref: #20974

History

#1 Updated by Joël Cuissinat over 6 years ago

  • Status changed from Nouveau to En attente d'informations

Bonjour,

Pourriez-vous joindre à la demande ou envoyer à l'équipe () votre fichier /etc/eole/config.eol afin que nous puissions reproduire facilement l'erreur ?

#2 Updated by Joël Cuissinat over 6 years ago

  • Assigned To set to Joël Cuissinat

#3 Updated by Antony JONQUET over 6 years ago

J'avais réinstallé la dernière version en 2.5 sur cette machine virtuelle sans rencontrer le problème.
Depuis cela fait 2 fois que je réinstalle (sur 2 machines virtuelles légèrement différentes) Scribe 2.6.1 sans avoir d'erreur. La seule différence étant une configuration basique du config.eol contrairement à mes premiers essais infructueux. Dès que j'arrive à re-générer l'erreur, je vous transmets le config.eol.

#4 Updated by Antony JONQUET over 6 years ago

Voilà j'ai réussi à reproduire l'erreur avec une configuration avancée du config.eol (en pièce jointe)

#5 Updated by Antony JONQUET over 6 years ago

Après quelques tests, il semblerait que le problème survienne lors de la désactivation du support du firewall.

#6 Updated by Joël Cuissinat about 6 years ago

  • Tracker changed from Demande to Tâche
  • Project changed from Scribe to eole-common
  • Subject changed from Erreur instanciation Scribe 2.6.1 (sous Proxmox) to Le template hosts.allow doit pouvoir s'instancier même si le firewall est désactivé
  • Status changed from En attente d'informations to Nouveau
  • Estimated time set to 2.50 h
  • Parent task set to #20852
  • Remaining (hours) set to 2.5

Merci pour le fichier, je reproduis parfaitement l'erreur qui apparaît effectivement lorsque l'on désactive le pare-feu du module.

Sur le module Scribe, Eole-firewall ne gère que des "autorisations", des règles en INPUT sur un port déterminé. Il est recommandé de ne pas le désactiver sur les serveurs en production.

Ceci dit, puisqu'il est possible de le désactiver via l'interface de configuration du module, cette configuration ne doit pas entraver le fonctionnement des serveurs.

#7 Updated by Joël Cuissinat about 6 years ago

  • Related to Tâche #17305: Ajouter la possibilité d'ouvrir des connexions distantes sur eole-mysql added

#8 Updated by Joël Cuissinat about 6 years ago

Après étude approfondie, il y a deux problème distincts dans le template /usr/share/eole/creole/distrib/hosts.allow.

  1. utilisation de la mauvaise variable (%%l_interface au lieu de %%interface) dans le %else associé à la condition : %if %%isinstance(%%restriction['name'], list)
  2. tout pourrait être ouvert dans le cas : %%activer_firewall == 'non'

#9 Updated by Joël Cuissinat about 6 years ago

  • Status changed from Nouveau to En cours

#10 Updated by Joël Cuissinat about 6 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 0 to 100
  • Remaining (hours) changed from 2.5 to 0.25

Paquet candidat eole-common 2.6.1-109 ajouté de force dans la mise candidate annoncée en cours...
https://dev-eole.ac-dijon.fr/projects/modules-eole/wiki/Journaux261

#11 Updated by Gérald Schwartzmann about 6 years ago

  • Remaining (hours) changed from 0.25 to 0.0

#12 Updated by Gérald Schwartzmann about 6 years ago

paquet :

root@scribe:~# apt-cache policy eole-common-pkg
eole-common-pkg:
  Installé : 2.6.1-103
  Candidat : 2.6.1-103
 Table de version :
 *** 2.6.1-103 500
        500 http://eole.ac-dijon.fr/eole eole-2.6.1/main amd64 Packages
        100 /var/lib/dpkg/status
root@scribe:~#
root@scribe:/etc/eole# CreoleGet activer_firewall
oui
root@scribe:/etc/eole# CreoleSet activer_firewall non
root@scribe:/etc/eole#

reconfigure KO

--------------------------------------------------------------------------------------------------------------------------------------------------------------
                                                          Génération des fichiers de configuration.                                                           
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Erreur: Utilisation d'une variable non existante dans le template de /etc/eole/hosts.allow : l_interface
Erreur: Utilisation d'une variable non existante dans le template de /etc/eole/hosts.allow : l_interface
root@scribe:~#
root@scribe:~# Maj-Auto -C
Mise à jour le lundi 10 juillet 2017 11:39:21
*** scribe 2.6.1 (0000000A) ***

Maj-Auto - (VERSION CANDIDATE) - Augmenter le niveau de mise à jour peut empêcher de revenir au niveau de mise à jour stable.
Voulez-vous continuer ? [oui/non]
[non] :
root@scribe:/etc/eole# apt-cache policy eole-common-pkg
eole-common-pkg:
  Installé : 2.6.1-109
  Candidat : 2.6.1-109
 Table de version :
 *** 2.6.1-109 500
        500 http://test-eole.ac-dijon.fr/eole eole-2.6.1-updates/main amd64 Packages
        500 http://test-eole.ac-dijon.fr/eole eole-2.6.1-proposed-updates/main amd64 Packages
        100 /var/lib/dpkg/status
     2.6.1-103 500
        500 http://test-eole.ac-dijon.fr/eole eole-2.6.1/main amd64 Packages
root@scribe:/etc/eole#
--------------------------------------------------------------------------------------------------------------------------------------------------------------
                                                          Génération des fichiers de configuration.                                                           
--------------------------------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------------------------------
                                                                  Configuration des services                                                                  
--------------------------------------------------------------------------------------------------------------------------------------------------------------
[…]
run-parts: executing /usr/share/eole/posttemplate/00-eole-common reconfigure
Génération des règles de pare-feuLe serveur n'est plus protégé. Pour relancer le pare-feu, exécuter "CreoleService bastion restart" 

Activation du mode forteresse sur ens4
Le serveur est protégé. Pour relancer le pare-feu, exécuter "CreoleService bastion restart" 

vim /etc/hosts.allow

#this file is generated by EOLE, don't modify this file
ALL:ALL

reconfigure OK, par contre il manque un saut de ligne : Génération des règles de pare-feuLe serveur n'est plus protégé.

#13 Updated by Gérald Schwartzmann about 6 years ago

  • Status changed from Résolu to En cours
  • Remaining (hours) changed from 0.0 to 0.5

#14 Updated by Gérald Schwartzmann about 6 years ago

~/Dev/EOLE/eole-common[master]$ rgrep "Le serveur n'est plus protégé" 
tmpl/ouvre.firewall:echo "Le serveur n'est plus protégé. Pour relancer le pare-feu, exécuter \"CreoleService bastion restart\"" 
~/Dev/EOLE/eole-common[master]$ rgrep "Le serveur est protégé" 
sbin/ferme.firewall:    echo "Le serveur est protégé. Pour relancer le pare-feu, exécuter \"CreoleService bastion restart\"" 

echo -n ligne 209 du fichier : posttemplate/00-eole-common

#15 Updated by Joël Cuissinat about 6 years ago

  • Status changed from En cours to Résolu

Correction de l'affichage 2.6.1 & 2.6.2

#16 Updated by Gérald Schwartzmann about 6 years ago

Test en 2.6.2
Paramétrage de eole-common-pkg (2.6.2-15) ...

Stop Systemd service mysql                                                                                                                            [  OK  ]
run-parts: executing /usr/share/eole/posttemplate/00-bareoswebui reconfigure
run-parts: executing /usr/share/eole/posttemplate/00-cups reconfigure
run-parts: executing /usr/share/eole/posttemplate/00-eole-common reconfigure
Génération des règles de pare-feu
Activation du mode forteresse sur ens4
Le serveur est protégé. Pour relancer le pare-feu, exécuter "CreoleService bastion restart" 
run-parts: executing /usr/share/eole/posttemplate/00-letsencrypt reconfigure
run-parts: executing /usr/share/eole/posttemplate/00-mysql reconfigure

root@scribe:~# CreoleSet activer_firewall non
root@scribe:~# reconfigure
run-parts: executing /usr/share/eole/posttemplate/00-eole-common reconfigure
Génération des règles de pare-feu
Le serveur n'est plus protégé. Pour relancer le pare-feu, exécuter "CreoleService bastion restart" 

Activation du mode forteresse sur ens4
Le serveur est protégé. Pour relancer le pare-feu, exécuter "CreoleService bastion restart" 
run-parts: executing /usr/share/eole/posttemplate/00-letsencrypt reconfigure
run-parts: executing /usr/share/eole/posttemplate/00-mysql reconfigure
## Génération de base de données ##
Stop Systemd service mysql       

#17 Updated by Gérald Schwartzmann about 6 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

Also available in: Atom PDF