Project

General

Profile

Demande #3003

Revoir les procédures de reboot des hosts

Added by Quentin Gibeaux over 2 years ago. Updated over 2 years ago.

Status:
Fermé
Priority:
Normale
Category:
-
Target version:
Start date:
03/08/2018
Due date:
% Done:

0%

Estimated time:
Difficulté:
2 Facile

Description

Documenter si ce n'est pas déjà fait une procédure de reboot spécifique pour les hosts qui ont des spécificités (guarana et galanga).
Voir s'il est possible de personnaliser mollyguard pour renvoyer vers un lien vers la procédure.


Files

History

#1

Updated by Frédéric Couchet over 2 years ago

Concernant molly-guard :

- le man dit : Before molly-guard invokes the real command, all scripts in /etc/molly-guard/run.d/ have to run and exit successfully; else, it aborts the command.

- le script /etc/molly-guard/run.d/10-print-message parcourt tous les fichiers présents dans /etc/molly-guard/messages.d et fait un cat dessus

Une solution simple est donc de mettre un fichier /etc/molly-guard/messages.d contenant le message d'alerte.

Une solution plus poussée serait d'ajouter un script dans /etc/molly-guard/run.d/ qui affiche le message d'alerte et demande confirmation de lecture du texte à la personne qui a lancé molly-guard.

#2

Updated by François Poulain over 2 years ago

A première vue ça ne fonctionne pas. :)

(April) root@guarana:~# cat /etc/molly-guard/messages.d/bling
blang
(April) root@guarana:~# reboot
W: molly-guard: SSH session detected!
Please type in hostname of the machine to reboot: ^C
Good thing I asked; I won't reboot guarana ...

#3

Updated by François Poulain over 2 years ago

Ha en fait il cat les fichiers dont le nom correspond au nom d'appel de la commande.

#4

Updated by François Poulain over 2 years ago

Premier test sur Guarana :

===================== ATTENTION !! ======================

Vous êtes sur le point de rebooter Guarana, la passerelle
du local de l'April.

Avant de procéder, veuillez svp ouvrir la page
https://admin.april.org/dokuwiki/doku.php?id=sysadm:redemarrer_guarana
et vérifier que vous suivez les points de la procédure
de redémarrage.

En particulier, assurez vous que quelqu'un de qualifié
est disponible au local pour intervenir en cas de besoin.
=========================================================

#5

Updated by François Poulain over 2 years ago

PoluX[1]_    madix: tu as eu le msg molly-guard ? ça te va ?
madix    PoluX[1]_: le message me paraît bien
mais je ne l'avais pas vu :)
pebkac, d'où ma suggestion « Une solution plus poussée serait d'ajouter un script dans /etc/molly-guard/run.d/ qui affiche le message d'alerte et demande confirmation de lecture du texte à la personne qui a lancé molly-guard. » :)
le pb est surtout qu'on connaît molly-guard et qu'on sait qu'on doit juste taper le nom de la machine :)
PoluX[1]_    madix: oui on peut effectivement faire ça
en plus ça permettra de mettre de la couleur :)
madix    PoluX[1]_: il faut tenir compte du facteur humain malheureusement
en plus, je ne l'avais vraiment pas vu, j'avais bien vu un défilement mais comme j'avais faim j'ai tapé directement guarana
PoluX[1]_    mais comme j'avais faim j'ai tapé directement guarana <-- donc l'entrée à taper ne doit ni être guarana ni « rien » :)
on peut faire un truc du genre « prouvez que vous avez lu ce message en tapant $(pwgen 4 1) »
PoluX[1]_: ça me paraît bien :)
PoluX[1]_    ok on fera ça
#6

Updated by François Poulain over 2 years ago

J'ai commit ce script :

(April) root@guarana:/etc/molly-guard/run.d# cat 05-april-message 
#!/bin/sh
#
# 05-april-message - molly-guard enforced for hypervisors
#
# Copyright © François Poulain
# Released under the terms of the LPRAB License
# http://sam.zoy.org/lprab/
#
# Try to force user to follow reboot procedure.
#
set -eu

HOSTNAME=$(hostname -s)
PASS=$(pwgen 4 1)

echo "\e[31m===================== ATTENTION !! ======================" 
echo "" 
echo "Vous êtes sur le point de rebooter \e[33m$HOSTNAME\e[31m." 
echo "" 
echo "Il s'agit d'un hyperviseur qui requiert une attention particulière." 
echo "" 
echo "Avant de procéder, veuillez svp ouvrir la page" 
echo "\e[33mhttps://admin.april.org/dokuwiki/doku.php?id=sysadm:redemarrer_$HOSTNAME\e[31m" 
echo "et vérifier que vous suivez les points de la procédure" 
echo "de redémarrage." 
echo "" 
echo "En particulier, assurez vous que quelqu'un de qualifié est" 
echo "disponible pour intervenir physiquement en cas de besoin." 
echo "" 
echo "Pour continuer la procédure de reboot, saisissez $PASS" 
echo "=========================================================\e[39m" 
echo "" 

sigh()
{
  echo "\e[33mCe n'est pas ce $MOLLYGUARD_CMD là que vous recherchez.\e[39m" 
  exit 1
}

echo -n "Saisissez le mot de passe : " 
read USER_PASS || :

[ "$USER_PASS" = "$PASS" ] || sigh

#9

Updated by François Poulain over 2 years ago

  • Status changed from Nouveau to Résolu
#10

Updated by Quentin Gibeaux over 2 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF