NoCloud-Auto-Installer issueshttps://gitlab.tetras-libre.fr/nocloud/NoCloud-Auto-Installer/-/issues2024-03-16T22:48:39Zhttps://gitlab.tetras-libre.fr/nocloud/NoCloud-Auto-Installer/-/issues/16Lancer le service de maintenance à la mise à jour des serveurs docker2024-03-16T22:48:39ZDavid BeniamineLancer le service de maintenance à la mise à jour des serveurs docker## Problème
Certains services (Dolibarr, Nextcloud notament) durant leur maintenance montre des pages de mise à jour que les utilisateurs ne doivent pas voir.
D'autres, notamment Nextcloud renvoient des erreurs 401 sur la plupart des p...## Problème
Certains services (Dolibarr, Nextcloud notament) durant leur maintenance montre des pages de mise à jour que les utilisateurs ne doivent pas voir.
D'autres, notamment Nextcloud renvoient des erreurs 401 sur la plupart des pages pendant la maintenance, ce qui amène à des bans fail2ban.
Certains affichent des messages d'erreur (Tétras Lab, Gitlab).
Bref pendant les maintenance on veut cacher les services quand c'est faisable
## Solution
Pour les serveurs dockerizé, on a développé [un service](https://gitlab.tetras-libre.fr/nocloud/docker/maintenance) qui prend le pas pour tous les domaines spécifiés dans le `.env` sauf pour les clients dont l'IP est spécifié dans le `.env`, et affiche une page statique de maintenance.
Il faudrait au début de la mise à jour lancer ce service pour tous les domaines servis par Traefik puis l'arrêter à la fin.
## TODO
Dans `upgradeTraefik.sh`, avant la première mise à jour, il faudrait :
1. Cloner le [dépôt maintenance](https://gitlab.tetras-libre.fr/nocloud/docker/maintenance) dans `/home/dockerweb/maintenance` si ce n'est pas déjà fait, sinon puller le dépôt.
2. Mettre à jour dans le `.env` de ce service la variable `HOSTS` qui doit contenir la liste des domaines servis par Traefik voir #15 et la variable IGNORE_IPS qui doit contenir l'IP de tétras `$(dig tetrix.tetras-libre.fr)`
3. Démarrer ce service
4. Faire la suite des mises à jour traefik
5. Demander une confirmation manuelle affichant la liste des domaines avant de désactiver le service de maintenance
@elian te sent-tu de faire tout ou partie de ce ticket ?https://gitlab.tetras-libre.fr/nocloud/NoCloud-Auto-Installer/-/issues/15Liste des noms de domaines2024-03-15T10:49:06ZDavid BeniamineListe des noms de domainesDans la procédure de mise à jour on veut voir les noms de domaines du serveur.
Pour apache on à ces lignes [ici](https://gitlab.tetras-libre.fr/nocloud/NoCloud-Auto-Installer/-/blob/master/upgradeWebServer.sh?ref_type=heads#L32) :
```b...Dans la procédure de mise à jour on veut voir les noms de domaines du serveur.
Pour apache on à ces lignes [ici](https://gitlab.tetras-libre.fr/nocloud/NoCloud-Auto-Installer/-/blob/master/upgradeWebServer.sh?ref_type=heads#L32) :
```bash
echo -e "\tPlease check that the following services are up and running"
if [ "${WEB_SERVER}" == "apache2" ]
then
apache2ctl -S 2>/dev/null | awk '/namevhost/{print "https://"$4}' | sort -u | grep -v "127.0...1"
else
awk '/^[ \t]*(server_name|server_alias)/{gsub(/;$/, "", $2); print "https://"$2}' /etc/nginx/*-enabled/* | sort -u
fi
```
Il faudrait :
1. [ ] Déplacer le bout de script ci-dessus à la toute fin de `upgradeAll.sh`
2. [ ] Faire un équivalent pour traefik (chercher les label docker des conteneurs docker)Elian LorauxElian Lorauxhttps://gitlab.tetras-libre.fr/nocloud/NoCloud-Auto-Installer/-/issues/12Desactivation de la connexion SSH par mot de passe2024-03-15T09:08:07ZElian LorauxDesactivation de la connexion SSH par mot de passeLors d'un installation no cloud (ici pour nyrlatotep et Xema), après l'execution du script d'installation, le connexion ssh par mot de passe est toujours possible.
C'est un problème de configuration dans `/etc/ssh/sshd_config`. Le param...Lors d'un installation no cloud (ici pour nyrlatotep et Xema), après l'execution du script d'installation, le connexion ssh par mot de passe est toujours possible.
C'est un problème de configuration dans `/etc/ssh/sshd_config`. Le paramètre `PasswordAuthentication` devrait être à `no` alors que actuellement il est juste commenté.https://gitlab.tetras-libre.fr/nocloud/NoCloud-Auto-Installer/-/issues/14Fail2ban failed avec l'installation traefik2024-03-01T07:35:09ZElian LorauxFail2ban failed avec l'installation traefikLors d'une installation NoCloud avec Traefik, le fail2ban plante tant que le container docker Traefik na jamais été lancé car fail2ban ne trouve pas le fichier de log. Ce fichier n'existe pas tant que Traefik n'a jamais été lancé.Lors d'une installation NoCloud avec Traefik, le fail2ban plante tant que le container docker Traefik na jamais été lancé car fail2ban ne trouve pas le fichier de log. Ce fichier n'existe pas tant que Traefik n'a jamais été lancé.https://gitlab.tetras-libre.fr/nocloud/NoCloud-Auto-Installer/-/issues/10Mettre en pause fail2ban pendant les mises à jour2024-02-06T08:41:15ZDavid BeniamineMettre en pause fail2ban pendant les mises à jourDurant les mises à jour, les applications sont souvent injoignables générant des erreurs 401 qui peuvent résulter en des bans fail2ban.
Il faudrait mettre en pause fail2ban durant cette période et être sûr que au redémarrage il ne banni...Durant les mises à jour, les applications sont souvent injoignables générant des erreurs 401 qui peuvent résulter en des bans fail2ban.
Il faudrait mettre en pause fail2ban durant cette période et être sûr que au redémarrage il ne bannisse pas les IPs fautif durant la période.
À voir si un `fail2ban-client stop <jail>` au début et un `fail2ban-client start <jail>` à la fin du process, sur toutes les jail fait le taf2024-02-29https://gitlab.tetras-libre.fr/nocloud/NoCloud-Auto-Installer/-/issues/9Exaustivité dans les services monitoré par php server mon2024-01-11T08:59:45ZElian LorauxExaustivité dans les services monitoré par php server monActuellement nous n'avons aucun moyen de vérifier que tous les services sont monitoré par php server mon. Cas exemple, Demo pour l'EPI down et on s'en est pas rendu compte.
L'idée est pouvoir faire une remonté via GLPI pour lister des s...Actuellement nous n'avons aucun moyen de vérifier que tous les services sont monitoré par php server mon. Cas exemple, Demo pour l'EPI down et on s'en est pas rendu compte.
L'idée est pouvoir faire une remonté via GLPI pour lister des services de tous les hôtes pour faire la corréspondance avec la base php server mon et alerter en cas de différence entre GLPI et php server monhttps://gitlab.tetras-libre.fr/nocloud/NoCloud-Auto-Installer/-/issues/8Avoir le pourcentage d'occupation disque dans l'objet du mail2024-01-02T15:46:12ZElian LorauxAvoir le pourcentage d'occupation disque dans l'objet du mailDemande accessoire de Daxid, si c'est possible de mettre l'occupation de disque dans l'objet du mail c'est parfaitDemande accessoire de Daxid, si c'est possible de mettre l'occupation de disque dans l'objet du mail c'est parfaithttps://gitlab.tetras-libre.fr/nocloud/NoCloud-Auto-Installer/-/issues/4Ajouter le header interest-cohort sur toutes les applis2021-04-27T14:40:38ZDavid BeniamineAjouter le header interest-cohort sur toutes les applis[Google prévoit de remplacer les cookier tiers par le mécanisme Floc](https://framablog.org/2021/04/20/developpeurs-developpeuses-nettoyez-le-web/) avec ce système, google chrome pistera de lui même les utilisateurs sur tous les sites, s...[Google prévoit de remplacer les cookier tiers par le mécanisme Floc](https://framablog.org/2021/04/20/developpeurs-developpeuses-nettoyez-le-web/) avec ce système, google chrome pistera de lui même les utilisateurs sur tous les sites, sauf si les sites indiquent `Permissions-Policy : interest-cohort=()` dans les headers.
Pour ne pas participer au pistage google il est donc important d'ajouter ce header à tous les services qu'on maintient.David BeniamineDavid Beniamine