https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2019-12-11T11:05:06ZEnsemble Ouvert Libre ÉvolutifDistribution EOLE - Scénario #29368: Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.https://dev-eole.ac-dijon.fr/issues/29368?journal_id=1403412019-12-11T11:05:06ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Fichier</strong> <a href="/attachments/download/2998/exterieur_admin.png">exterieur_admin.png</a> <a class="icon-only icon-magnifier" title="Voir" href="/attachments/2998/exterieur_admin.png">Voir</a> ajouté</li><li><strong>Sujet</strong> changé de <i>les informations agents ne sont pas assez restreintes sur le port 8090
Implémenter une règle iptables ou faire trouner sur la loopback.</i> à <i>Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.</i></li><li><strong>Tâche parente</strong> <del><i>#29284</i></del> supprimé</li></ul><p>Je précise que dans les modèles par défaut livrés sur Amon, seules les adresses "ip_admin_ethX" peuvent accéder au port 8090.</p>
<p>Sur les autres modules on pourrait envisager la restriction à l'aide d'eole-firewall ?<br /><pre>
# rgrep -C1 8090 /usr/share/eole/creole/dicos/99_zephir-stats.xml
<service_access service='z_stats'>
<port>8090</port>
</service_access>
</pre></p>
<p>On pourrait lui appliquer une "service_accesslist" comme ce qui est en place pour l'EAD2 (cf. /usr/share/eole/creole/dicos/22_ead.xml).</p> Distribution EOLE - Scénario #29368: Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.https://dev-eole.ac-dijon.fr/issues/29368?journal_id=1403422019-12-11T11:05:22ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Tracker</strong> changé de <i>Tâche</i> à <i>Scénario</i></li><li><strong>Echéance</strong> mis à <i>17/01/2020</i></li><li><strong>Version cible</strong> changé de <i>sprint 2019 48-50 Equipe MENSR</i> à <i>sprint 2019 51-03 Equipe MENSR</i></li><li><strong>Points de scénarios</strong> mis à <i>1.0</i></li></ul> Distribution EOLE - Scénario #29368: Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.https://dev-eole.ac-dijon.fr/issues/29368?journal_id=1405822019-12-19T09:50:30ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Terminé (Sprint)</i></li></ul> Distribution EOLE - Scénario #29368: Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.https://dev-eole.ac-dijon.fr/issues/29368?journal_id=1407582020-01-09T15:36:29ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Statut</strong> changé de <i>Terminé (Sprint)</i> à <i>Nouveau</i></li></ul> Distribution EOLE - Scénario #29368: Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.https://dev-eole.ac-dijon.fr/issues/29368?journal_id=1409442020-01-16T16:34:48ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Version cible</strong> changé de <i>sprint 2019 51-03 Equipe MENSR</i> à <i>sprint 2020 04-06 Equipe MENSR</i></li></ul> Distribution EOLE - Scénario #29368: Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.https://dev-eole.ac-dijon.fr/issues/29368?journal_id=1409942020-01-20T15:09:13ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Release</strong> mis à <i>EOLE 2.7.1.3</i></li></ul> Distribution EOLE - Scénario #29368: Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.https://dev-eole.ac-dijon.fr/issues/29368?journal_id=1414922020-02-11T11:08:03ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Version cible</strong> changé de <i>sprint 2020 04-06 Equipe MENSR</i> à <i>sprint 2020 07-09 Equipe MENSR</i></li></ul> Distribution EOLE - Scénario #29368: Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.https://dev-eole.ac-dijon.fr/issues/29368?journal_id=1415212020-02-12T09:39:05ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul></ul><p>Joël Cuissinat a écrit :</p>
<blockquote>
<p>Je précise que dans les modèles par défaut livrés sur Amon, seules les adresses "ip_admin_ethX" peuvent accéder au port 8090.</p>
<p>Sur les autres modules on pourrait envisager la restriction à l'aide d'eole-firewall ?<br />[...]</p>
<p>On pourrait lui appliquer une "service_accesslist" comme ce qui est en place pour l'EAD2 (cf. /usr/share/eole/creole/dicos/22_ead.xml).</p>
</blockquote>
<p>En fait, cette restriction est déjà en place depuis EOLE 2.3 !<br /><pre>
root@eolebase:~# rgrep -A6 z_stats /usr/share/eole/creole/dicos/99_zephir-stats.xml
<service>z_stats</service>
<service_access service='z_stats'>
<port>8090</port>
</service_access>
<service_restriction service='z_stats'>
<ip interface='eth0' netmask='netmask_admin_eth0' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth0</ip>
<ip interface='eth1' netmask='netmask_admin_eth1' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth1</ip>
<ip interface='eth2' netmask='netmask_admin_eth2' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth2</ip>
<ip interface='eth3' netmask='netmask_admin_eth3' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth3</ip>
<ip interface='eth4' netmask='netmask_admin_eth4' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth4</ip>
</service_restriction>
</pre></p>
<p>Faut-il aller vraiment plus loin ?</p> Distribution EOLE - Scénario #29368: Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.https://dev-eole.ac-dijon.fr/issues/29368?journal_id=1415562020-02-13T15:00:03ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Terminé (Sprint)</i></li><li><strong>Assigné à</strong> mis à <i>Joël Cuissinat</i></li></ul>