Projet

Général

Profil

Actions

Demande #3003

fermé

Revoir les procédures de reboot des hosts

Ajouté par Quentin Gibeaux il y a plus de 6 ans. Mis à jour il y a plus de 6 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
Catégorie:
-
Version cible:
Début:
08/03/2018
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
2 Facile

Description

Documenter si ce n'est pas déjà fait une procédure de reboot spécifique pour les hosts qui ont des spécificités (guarana et galanga).
Voir s'il est possible de personnaliser mollyguard pour renvoyer vers un lien vers la procédure.


Fichiers

Mis à jour par Frédéric Couchet il y a plus de 6 ans

Concernant molly-guard :

- le man dit : Before molly-guard invokes the real command, all scripts in /etc/molly-guard/run.d/ have to run and exit successfully; else, it aborts the command.

- le script /etc/molly-guard/run.d/10-print-message parcourt tous les fichiers présents dans /etc/molly-guard/messages.d et fait un cat dessus

Une solution simple est donc de mettre un fichier /etc/molly-guard/messages.d contenant le message d'alerte.

Une solution plus poussée serait d'ajouter un script dans /etc/molly-guard/run.d/ qui affiche le message d'alerte et demande confirmation de lecture du texte à la personne qui a lancé molly-guard.

Mis à jour par François Poulain il y a plus de 6 ans

A première vue ça ne fonctionne pas. :)

(April) root@guarana:~# cat /etc/molly-guard/messages.d/bling
blang
(April) root@guarana:~# reboot
W: molly-guard: SSH session detected!
Please type in hostname of the machine to reboot: ^C
Good thing I asked; I won't reboot guarana ...

Mis à jour par François Poulain il y a plus de 6 ans

Ha en fait il cat les fichiers dont le nom correspond au nom d'appel de la commande.

Mis à jour par François Poulain il y a plus de 6 ans

Premier test sur Guarana :

===================== ATTENTION !! ======================

Vous êtes sur le point de rebooter Guarana, la passerelle
du local de l'April.

Avant de procéder, veuillez svp ouvrir la page
https://admin.april.org/dokuwiki/doku.php?id=sysadm:redemarrer_guarana
et vérifier que vous suivez les points de la procédure
de redémarrage.

En particulier, assurez vous que quelqu'un de qualifié
est disponible au local pour intervenir en cas de besoin.
=========================================================

Mis à jour par François Poulain il y a plus de 6 ans

PoluX[1]_    madix: tu as eu le msg molly-guard ? ça te va ?
madix    PoluX[1]_: le message me paraît bien
mais je ne l'avais pas vu :)
pebkac, d'où ma suggestion « Une solution plus poussée serait d'ajouter un script dans /etc/molly-guard/run.d/ qui affiche le message d'alerte et demande confirmation de lecture du texte à la personne qui a lancé molly-guard. » :)
le pb est surtout qu'on connaît molly-guard et qu'on sait qu'on doit juste taper le nom de la machine :)
PoluX[1]_    madix: oui on peut effectivement faire ça
en plus ça permettra de mettre de la couleur :)
madix    PoluX[1]_: il faut tenir compte du facteur humain malheureusement
en plus, je ne l'avais vraiment pas vu, j'avais bien vu un défilement mais comme j'avais faim j'ai tapé directement guarana
PoluX[1]_    mais comme j'avais faim j'ai tapé directement guarana <-- donc l'entrée à taper ne doit ni être guarana ni « rien » :)
on peut faire un truc du genre « prouvez que vous avez lu ce message en tapant $(pwgen 4 1) »
PoluX[1]_: ça me paraît bien :)
PoluX[1]_    ok on fera ça

Mis à jour par François Poulain il y a plus de 6 ans

J'ai commit ce script :

(April) root@guarana:/etc/molly-guard/run.d# cat 05-april-message 
#!/bin/sh
#
# 05-april-message - molly-guard enforced for hypervisors
#
# Copyright © François Poulain
# Released under the terms of the LPRAB License
# http://sam.zoy.org/lprab/
#
# Try to force user to follow reboot procedure.
#
set -eu

HOSTNAME=$(hostname -s)
PASS=$(pwgen 4 1)

echo "\e[31m===================== ATTENTION !! ======================" 
echo "" 
echo "Vous êtes sur le point de rebooter \e[33m$HOSTNAME\e[31m." 
echo "" 
echo "Il s'agit d'un hyperviseur qui requiert une attention particulière." 
echo "" 
echo "Avant de procéder, veuillez svp ouvrir la page" 
echo "\e[33mhttps://admin.april.org/dokuwiki/doku.php?id=sysadm:redemarrer_$HOSTNAME\e[31m" 
echo "et vérifier que vous suivez les points de la procédure" 
echo "de redémarrage." 
echo "" 
echo "En particulier, assurez vous que quelqu'un de qualifié est" 
echo "disponible pour intervenir physiquement en cas de besoin." 
echo "" 
echo "Pour continuer la procédure de reboot, saisissez $PASS" 
echo "=========================================================\e[39m" 
echo "" 

sigh()
{
  echo "\e[33mCe n'est pas ce $MOLLYGUARD_CMD là que vous recherchez.\e[39m" 
  exit 1
}

echo -n "Saisissez le mot de passe : " 
read USER_PASS || :

[ "$USER_PASS" = "$PASS" ] || sigh

Mis à jour par François Poulain il y a plus de 6 ans

  • Statut changé de Nouveau à Résolu

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

  • Statut changé de Résolu à Fermé
Actions

Formats disponibles : Atom PDF