Projet

Général

Profil

Anomalie #8430

Distribution EOLE - Anomalie #8429: Bastion: problème d’application des règles au démarrage et reconfigure

Redéfinir le démarrage de bastion

Ajouté par Daniel Dehennin il y a presque 10 ans. Mis à jour il y a presque 10 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Emmanuel GARETTE
Catégorie:
-
Version cible:
Distribution EOLE - Eole 2.4.0.1
Début:
23/06/2014
Echéance:
04/07/2014
% réalisé:

100%

Temps estimé:
36.00 h
Temps passé:
15.75 h
Distribution:
EOLE 2.4

Description

Vérifier les startlevel et stoplevel.

Revoir les actions du script d’init :

  • stop => mode forteresse
  • start => iptables-restore + scripts annexes
  • reload => stop + start
  • restart => bastion.sh + iptables-save + scripts annexes

Gestion d’un lock pour qu’un second CreoleService bastion start informe que le firewall est déjà actif.

Révisions associées

Révision c459ba5e (diff)
Ajouté par Emmanuel GARETTE il y a presque 10 ans

Gestion des start/stop/reload/restart dans le service bastion

- bastion/bastion : * redéfinition des actions start/stop/reload * il n'est plus possible de lancer deux fois bastion de suite
- bastion/firewall.start : * application du modèle et sauvegarde des règles * génération d'un fichier "status"
- diagnose/04-network : affichage du status de la génération des règles iptables

fixes #8430 @6h

Révision dbcf93bd (diff)
Ajouté par Emmanuel GARETTE il y a presque 10 ans

faire la regénération des règles iptables au reconfigure + meilleur status sur le service bastion (ref #8430)

Révision f9ab1ce3 (diff)
Ajouté par Emmanuel GARETTE il y a presque 10 ans

typo (ref #8430)

Révision 327503c6 (diff)
Ajouté par Emmanuel GARETTE il y a presque 10 ans

Gestion de bastion sur un module sans Era

  • rajoute stopother dans le stop
  • renvoi une erreur si creoled n'est pas démarré
  • gestion des messages si Era n'est pas installé
  • iptables-save si Era n'est pas installé

fixes #8430 @3h

Révision 47dccbe0 (diff)
Ajouté par Emmanuel GARETTE il y a presque 10 ans

au start s'il n'y a pas de cache, forcer le mode forteresse (ref #8430)

Révision 3fd248e3 (diff)
Ajouté par Emmanuel GARETTE il y a presque 10 ans

test à l'envers (ref #8430)

Révision 2d1ff22f (diff)
Ajouté par Daniel Dehennin il y a presque 10 ans

Le script d’init de bastion était mal activé

L’activation du script d’init de bastion ne fonctionne pas correctement.

  • debian/rules: Correction des paramètres passés à « dh_installinit ».

Ref: #8430 @30m

Révision 41874d1a (diff)
Ajouté par Daniel Dehennin il y a presque 10 ans

Bastion ne peut pas redémarrer avant l’instance

  • bastion/bastion (firewall_start): Vérifier que le module est instancié
    avant de génerer les règles.

Ref: #8430 @15m

Révision 89b45034 (diff)
Ajouté par Emmanuel GARETTE il y a presque 10 ans

si pas de règle ipset exporté (si pas era par exemple) ne pas considéré comme étant un problème (ref #8430)

Révision d8a1fd20 (diff)
Ajouté par Emmanuel GARETTE il y a presque 10 ans

ajout d'un agent Zéphir pour bastion ref #8430 @2h
correction dans l'agent freshclam, dans un cas le status n'est pas défini correctement

Révision 36c46123
Ajouté par Philippe Caseiro il y a presque 10 ans

Merge branch 'master' into dist/ubuntu/precise/master

  • master: (43 commits)
    diagnose/04-zfirewall : Corrections d'affichage du diagnose de firewall
    pretemplate/00-timezone : Utilisation de CreoleRun all dans 00-timezone
    dicos/01_container.xml : Suppression de lxc et lxc-net des services "managed"
    Maj time_zone Asia/Riyadh + liste de choix ouverte
    configuration de rsyslog dans les conteneurs (fixes #8636 @1h)
    configuration de vim dans les conteneurs (fixes #8627)
    ajout d'un diagnose pour les conteneurs (ref #8629 @1h)
    configurer le timezone dans les conteneurs (fixes #8635)
    générer les règles de firewall et tcpwrapper dans les conteneurs (ref #8638 @2h)
    ajout d'un nouveau script de démarrage pour les conteneurs (ref #8638 @1h)
    génération des règles pour le conteneur + gestion du service bastion (ref #8638 @3h)
    redémarrer lxc-net (ref #8631)
    la variable ssl_country_name doit etre en majuscule (fixes #8585 @1h)
    Ajout d'un saut de ligne pour diagnose -L
    creation d'un dossier pour eviter des warnings, (ref #8106)
    supprime l'option -a de Query-Auto qui n'a plus de sens + reactive Query-Auto dans diagnose (fixes #8580 @1h)
    Il manque un espace entre l'heure et la date.
    afficher le status du firewall dans diagnose (ref #8474)
    si pas de règle ipset exporté (si pas era par exemple) ne pas considéré comme étant un problème (ref #8430)
    templatisation du fichier /etc/hosts.deny (ref #8488)
    ...

Historique

#1 Mis à jour par Daniel Dehennin il y a presque 10 ans

  • Echéance mis à 04/07/2014
  • Version cible mis à Eole 2.4.0.1
  • Temps estimé mis à 36.00 h

#2 Mis à jour par Emmanuel GARETTE il y a presque 10 ans

Liste des cas gérée pour "bastion restart" et "bastion reload" et "bastion start" ("bastion stop" fonctionne tout le temps et passe en mode forteresse).

1/ si jamais eu de modèle appliqué
 * si problème dans le modèle (nom du modèle inconnu ou variable inexistante dans un modèle)
  a/ reload : passe en mode forteresse et demande de faire un restart
  b/ start : en erreur et pas de demande de relancer reload et lance le mode forteresse
  c/ restart : en erreur et pas de demande de relancer reload et relance le mode forteresse  
 * si pas de problème dans le modèle
  a/ reload : passe en mode forteresse et demande de faire un restart
  b/ start : applique le modèle, crée le cache et le restaure
  c/ restart : passe en mode forteresse, applique le modèle, crée le cache et le restaure
2/ si un modèle est déjà appliqué et bastion démarré
 * si problème dans le modèle (nom du modèle inconnu ou variable inexistante dans un modèle)
  a/ reload : passe en mode forteresse et applique le cache sans regénérer les règles
  b/ start : erreur, il est déjà lancé
  c/ restart : passe en mode forteresse, erreur sur le modèle, erreur à la mise en cache (propose un reload) et repassage en mode forteresse
 * si pas de problème dans le modèle
  a/ reload : passe en mode forteresse et applique le cache sans regénérer les règles
  b/ start : erreur, il est déjà lancé
  c/ restart : passe en mode forteresse, applique le modèle, crée le cache et le restaure
3/ si un modèle est déjà appliqué et bastion arrêté
 * si problème dans le modèle (nom du modèle inconnu ou variable inexistante dans un modèle)
  a/ reload : passe en mode forteresse et applique le cache sans regénérer les règles
  b/ start : applique le cache sans regénérer les règles
  c/ restart : passe en mode forteresse, erreur sur le modèle, erreur à la mise en cache (propose un reload) et repassage en mode forteresse
 * si pas de problème dans le modèle
  a/ reload : passe en mode forteresse et applique le cache sans regénérer les règles
  b/ start : applique le cache sans regénérer les règles
  c/ restart : passe en mode forteresse, applique le modèle, crée le cache et le restaure

#3 Mis à jour par Emmanuel GARETTE il y a presque 10 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

#4 Mis à jour par Emmanuel GARETTE il y a presque 10 ans

  • Statut changé de Résolu à À valider
  • % réalisé changé de 100 à 50

#5 Mis à jour par Emmanuel GARETTE il y a presque 10 ans

  • Statut changé de À valider à Résolu
  • % réalisé changé de 50 à 100

#6 Mis à jour par Daniel Dehennin il y a presque 10 ans

  • Assigné à mis à Emmanuel GARETTE

#7 Mis à jour par Daniel Dehennin il y a presque 10 ans

  • Projet changé de Distribution EOLE à eole-common

#8 Mis à jour par Benjamin Bohard il y a presque 10 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF