Projet

Général

Profil

Anomalie #4523

Mumble-web cassé

Ajouté par Christian P. Momon il y a presque 4 ans. Mis à jour il y a presque 4 ans.

Statut:
Fermé
Priorité:
Élevée
Assigné à:
Christian P. Momon
Catégorie:
-
Version cible:
Juin 2020
Début:
01/06/2020
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
2 Facile

Description

Icinga2 nous prévient que :

Plugin Output
HTTP CRITICAL: HTTP/1.1 502 Bad Gateway

Dans un navigateur, https://mumble.april.org/ affiche : 

Erreur 50x
Le service demandé n'est pas accessible pour le moment
Veuillez réessayer ultérieurement.
Merci !

Fichiers

mumbleerror.png (17,7 ko) mumbleerror.png Christian P. Momon, 01/06/2020 23:43

Historique

#1

Mis à jour par Christian P. Momon il y a presque 4 ans

D'après l'historique dans Icinga2, ça a commencé à 2020-05-31 06:50:57.

#2

Mis à jour par Christian P. Momon il y a presque 4 ans

  • Description mis à jour (diff)
#3

Mis à jour par Christian P. Momon il y a presque 4 ans

#4

Mis à jour par Christian P. Momon il y a presque 4 ans

Sur la vm mumble, redémarrage du service mumble-web et journal -f :

juin 01 23:25:05 mumble systemd[1]: Stopped Mumble web interface.
juin 01 23:25:05 mumble systemd[1]: Started Mumble web interface.
juin 01 23:25:10 mumble websockify[3297]: WebSocket server settings:
juin 01 23:25:10 mumble websockify[3297]:   - Listen on :8443
juin 01 23:25:10 mumble websockify[3297]:   - Flash security policy server
juin 01 23:25:10 mumble websockify[3297]:   - Web server. Web root: /var/www/mumble-web/dist
juin 01 23:25:10 mumble websockify[3297]:   - SSL/TLS support
juin 01 23:25:10 mumble websockify[3297]:   - Deny non-SSL/TLS connections
juin 01 23:25:10 mumble websockify[3297]:   - proxying from :8443 to localhost:64738 (using SSL)
juin 01 23:25:10 mumble websockify[3297]: 172.16.0.1: new handler Process
juin 01 23:25:10 mumble websockify[3297]: handler exception: [Errno 13] Permission denied
juin 01 23:25:10 mumble websockify[3297]: exception
juin 01 23:25:10 mumble websockify[3297]: Traceback (most recent call last):
juin 01 23:25:10 mumble websockify[3297]:   File "/usr/lib/python2.7/dist-packages/websockify/websocket.py", line 933, in top_new_client
juin 01 23:25:10 mumble websockify[3297]:     client = self.do_handshake(startsock, address)
juin 01 23:25:10 mumble websockify[3297]:   File "/usr/lib/python2.7/dist-packages/websockify/websocket.py", line 840, in do_handshake
juin 01 23:25:10 mumble websockify[3297]:     keyfile=self.key)
juin 01 23:25:10 mumble websockify[3297]:   File "/usr/lib/python2.7/ssl.py", line 931, in wrap_socket
juin 01 23:25:10 mumble websockify[3297]:     ciphers=ciphers)
juin 01 23:25:10 mumble websockify[3297]:   File "/usr/lib/python2.7/ssl.py", line 542, in __init__
juin 01 23:25:10 mumble websockify[3297]:     self._context.load_cert_chain(certfile, keyfile)
juin 01 23:25:10 mumble websockify[3297]: IOError: [Errno 13] Permission denied

#5

Mis à jour par Christian P. Momon il y a presque 4 ans

En relisant attentivement les logs :

juin 01 23:25:10 mumble websockify[3297]:   File "/usr/lib/python2.7/ssl.py", line 542, in __init__
juin 01 23:25:10 mumble websockify[3297]:     self._context.load_cert_chain(certfile, keyfile)
juin 01 23:25:10 mumble websockify[3297]: IOError: [Errno 13] Permission denied

Or :

(April) root@mumble:/var/lib/dehydrated/certs/mumble.april.org# ls -l
total 40K
-rw------- 1 mumble-server root 1,7K mars  27 16:28 cert-1585322895.csr
-rw------- 1 mumble-server root 2,3K mars  27 16:28 cert-1585322895.pem
-rw------- 1 root          root 1,7K mai   31 06:47 cert-1590900424.csr
-rw------- 1 root          root 2,3K mai   31 06:47 cert-1590900424.pem
lrwxrwxrwx 1 root          root   19 mai   31 06:47 cert.csr -> cert-1590900424.csr
lrwxrwxrwx 1 root          root   19 mai   31 06:47 cert.pem -> cert-1590900424.pem
-rw------- 1 mumble-server root 1,7K mars  27 16:28 chain-1585322895.pem
-rw------- 1 root          root 1,7K mai   31 06:47 chain-1590900424.pem
lrwxrwxrwx 1 root          root   20 mai   31 06:47 chain.pem -> chain-1590900424.pem
-rw------- 1 mumble-server root 3,9K mars  27 16:28 fullchain-1585322895.pem
-rw------- 1 root          root 3,9K mai   31 06:47 fullchain-1590900424.pem
lrwxrwxrwx 1 root          root   24 mai   31 06:47 fullchain.pem -> fullchain-1590900424.pem
-rw------- 1 mumble-server root 3,2K mars  27 16:28 privkey-1585322895.pem
-rw------- 1 root          root 3,2K mai   31 06:47 privkey-1590900424.pem
lrwxrwxrwx 1 root          root   22 mai   31 06:47 privkey.pem -> privkey-1590900424.pem
-rw-r--r-- 1 root          root    0 juin   2 14:17 t

On voit que :
  • les anciens fichiers de certificat appartiennent à mumble-server ;
  • les nouveaux fichiers de certificats générés le 31 mai (aux environs de la panne) appartiennent à root.

En faisant un chown sur les nouveaux certificats, le site est à nouveau accessible.

#6

Mis à jour par Christian P. Momon il y a presque 4 ans

  • Statut changé de Nouveau à Résolu
  • Assigné à mis à Christian P. Momon

Ajout d'une ligne chown dans le /etc/cron.weekly/dehydrated :

 date >> /var/log/dehydrated.log 2>&1
 /usr/bin/dehydrated -c >>/var/log/dehydrated.log 2>&1

+chown mumble-server /var/lib/dehydrated/certs/mumble.april.org/*
+
 find /var/lib/dehydrated/certs/ -name 'fullchain-*.pem' -mmin -500 -exec systemctl restart mumble-web >>/var/log/dehydrated.log 2>&1 \;

#7

Mis à jour par Quentin Gibeaux il y a presque 4 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF