Étiquette : ubuntu

LightDM sous Ubuntu 11.10 : Problème avec les homedirs NFS et l’option root_squash

CyrilLeave a comment

LightDM 1.0.6 est le gestionnaire de connexions fourni par défaut sous (X)ubuntu 11.10.
Hors il s’avère qu’il est impossible de démarrer une session lorsque le répertoire personnel de l’utilisateur cherchant à se logguer se trouve sur un partage NFS possédant dans ses options d’export l’option root_squash et que les droits du répertoire personnels sont à 700.

L’option root_squash permet d’éviter que le root de la machine cliente ait les droits root sur le serveur NFS en mappant son UID(0) vers l’UID de l’utilisateur Nobody.

En regardant le code source de lightdm 1.0.6, dans le fichier session.c, nous y voyons :

    /* Change working directory */
    if (chdir (user_get_home_directory (user)) != 0)
    {
        g_warning ("Failed to change to home directory %s: %s", user_get_home_directory (user), strerror (errno));
        _exit (EXIT_FAILURE);
    }

    /* Change to this user */
    if (getuid () == 0)
    {
        if (initgroups (user_get_name (user), user_get_gid (user)) < 0)
        {
            g_warning ("Failed to initialize supplementary groups for %s: %s", user_get_name (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }

        if (setgid (user_get_gid (user)) != 0)
        {
            g_warning ("Failed to set group ID to %d: %s", user_get_gid (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }

        if (setuid (user_get_uid (user)) != 0)
        {
            g_warning ("Failed to set user ID to %d: %s", user_get_uid (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }
    }

Nous voyons donc que changement de répertoire a lieu avant le changement d’UID/GID. Sur un système classique cela ne pose pas de soucis car le root a toujours le droit de traverser un répertoire.
Cependant, du fait de l’option root_squash au niveau du partage NFS, ceci n’est plus vrai et donc le programme s’arrête suite à la vérification de la condition (chdir (user_get_home_directory (user)) != 0).

Pour venir à bout de ce problème, nous avons trois possibilités :

– Enlever l’option root_squash mais ceci ajoute une brèche dans la sécurité du service NFS
– Passer les droits sur les répertoires personnels des utilisateurs en 701. De cette manière, l’utilisateur root mappé pourra traverser le répertoire et donc cela ne générera plus d’erreur. Cela peut néanmoins être contraignant s’il y a beaucoup de homedirs à traiter.
– Modifier le code source de LightDM pour inverser la procédure :

    /* Change to this user */
    if (getuid () == 0)
    {
        if (initgroups (user_get_name (user), user_get_gid (user)) < 0)
        {
            g_warning ("Failed to initialize supplementary groups for %s: %s", user_get_name (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }

        if (setgid (user_get_gid (user)) != 0)
        {
            g_warning ("Failed to set group ID to %d: %s", user_get_gid (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }

        if (setuid (user_get_uid (user)) != 0)
        {
            g_warning ("Failed to set user ID to %d: %s", user_get_uid (user), strerror (errno));
            _exit (EXIT_FAILURE);
        }
    }
    /* Change working directory */
    if (chdir (user_get_home_directory (user)) != 0)
    {
        g_warning ("Failed to change to home directory %s: %s", user_get_home_directory (user), strerror (errno));
        _exit (EXIT_FAILURE);
    }

Ainsi, on change l’UID/GID avant de traverser le répertoire. En tout état de cause, un utilisateur doit avoir accès à son répertoire personnel et si ce n’est pas le cas, alors une erreur sera signalée.

Pour plus de facilité, j’ai reconstruis des paquets (X)ubuntu corrigeant cette erreur :

L’installation, après téléchargement des paquets se fait a l’aide de la commande :

sudo dpkg --install xxxxxxxx.deb

Donner un look Unity au LightDM de Xubuntu

Cyril4 Comments

Par défaut, sur Xubuntu 11.10, LightDM ressemble à :

Dans cet article, nous allons essayer de le faire ressembler au LightDM d’Ubuntu 11.10 tout en gardant la charte graphique de Xubuntu.

Tout d’abord, installons les paquets nécessaires :

sudo apt-get install gnome-settings-daemon indicator-session-gtk2 unity-greeter ubuntu-mono light-themes

Modifions le fichier /etc/lightdm/lightdm.conf :

[SeatDefaults]
user-session=xubuntu
greeter-session=unity-greeter

Bien évidemment, vous pouvez garder vos autres personnalisations dans ce fichier. Seule la ligne greeter-session est importante.

Éditons ensuite le fichier /etc/lightdm/unity-greeter.conf pour remplacer la ligne :

background=/usr/share/backgrounds/warty-final-ubuntu.png

par 

background=/usr/share/xfce4/backdrops/xubuntu-greybird.png

et

logo=/usr/share/unity-greeter/logo.png

par

logo=/usr/share/pixmaps/xubuntu.png

Ensuite, téléchargeons le logo déclaré précédemment :

sudo wget -O /usr/share/pixmaps/xubuntu.png http://www.be-root.com/downloads/xubuntu/xubuntu.png

Redémarrons LightDM :

service lightdm restart

Nous obtenons alors un écran d’accueil semblable à celui d’Ubuntu 11.10 :

Puppet : une première configuration simple

Cyril2 Comments

Nous partirons dans la configuration présentée dans l’article précédent sur Puppet.

Pour rappel, Puppet est un logiciel permettant de gérer les configurations de serveurs/machines esclaves depuis un serveur maître appelé puppetmaster. Un agent, appelé puppet agent, est installé sur chaque machine esclave (appelée nœud). A intervalle régulier, l’agent se connecte au puppetmaster et vérifie la configuration actuelle du nœud par rapport à la configuration de référence définie sur le puppet master pour ce nœud. En fonction des différences de configurations constatées, l’agent modifie la configuration du nœud pour la rendre identique à celle définie sur le puppetmaster.

Dans notre exemple, nous avons un serveur puppetmaster fonctionnant sous Centos 6 et un nœud installé sous Ubuntu exécutant l’agent puppet.

La configuration globale de puppet est effectuée dans le répertoire /etc/puppet/ sur le puppetmaster.
La structure du répertoire /etc/puppet est la suivante :

.
|-- auth.conf
|-- fileserver.conf
|-- manifests
|   |-- nodes.pp
|   `-- site.pp
|-- modules
|-- puppet.conf

Configuration des autorisations

Le fichier auth.conf permet de paramétrer les autorisations d’accès entre les nœuds et le puppetmaster (par l’api REST). Son contenu, par défaut, est le suivant :

# Allow authenticated nodes to retrieve their own catalogs:

path ~ ^/catalog/([^/]+)$
method find
allow $1

# Allow authenticated nodes to access any file services --- in practice, this results in fileserver.conf being consulted:

path /file
allow *

# Allow authenticated nodes to access the certificate revocation list:

path /certificate_revocation_list/ca
method find
allow *

# Allow authenticated nodes to send reports:

path /report
method save
allow *

# Allow unauthenticated access to certificates:

path /certificate/ca
auth no
method find
allow *

path /certificate/
auth no
method find
allow *

# Allow unauthenticated nodes to submit certificate signing requests:

path /certificate_request
auth no
method find, save
allow *

# Deny all other requests:

path /
auth any

Bien évidemment, il est possible de remplacer allow * par allow 192.168.0.* ou allow *.be-root.com.

Le fichier fileserver.conf permet de gérer les autorisations d’accès au serveur de fichier de puppet.Dans notre exemple, nous n’utiliserons le transfert de fichiers qu’a travers les modules. Le contenu de ce fichier est alors le suivant :

[modules]
        allow 192.168.0.*

Enfin, le fichier de configuration globale puppet.conf a été crée dans le précédent article.

Définition du site et des noeuds

Par défaut, puppet va lire la configuration globale dans le fichier de site /etc/puppet/manifests/site.pp.
Dans ce fichier, nous allons y mettre :

import "nodes.pp"
$puppetserver="puppet.be-root.com"

# Configuration du Filebucket
filebucket { "main":
  server => puppet,
  path   => false,
}

File { backup => main }

La première ligne permet d’importer le fichier nodes.pp qui contiendra la définition des configurations de tous les nœuds. Nous pourrions très bien, en fonction des besoins organisationnels, rajouter d’autres clauses import et ainsi séparer la configuration des hôtes dans plusieurs fichiers.

La seconde ligne contient le fqdn du serveur puppet. La fin du fichier permet de configurer le filebucket. Le filebucket est un service permettant d’avoir une copie de sauvegarde des fichiers modifiés ou remplacés sur les nœuds.

Dans notre exemple, nous voulons installer le service openssh sur le nœud poste-client.

Nous allons donc définir le noeud poste-client et lui affecter le module ssh que nous définirons plus tard.
Voici donc le contenu du fichier /etc/puppet/manifest/nodes.pp :

node 'poste-client.be-root.com' {
       include ssh
}

Rappel : Pour connaitre le nom du poste tel qu’il est identifié par le puppetmaster, on peut utiliser la commande :

puppetca list --all

Il nous est bien sûr possible de créer par la suite d’autres modules permettant d’autres actions de configuration et le rajouter les clauses include correspondantes dans la définition de l’hôte.

Dans cette configuration, nous allons assigner les modules hôte par hôte. Nous pouvions, si nous avions voulu une configuration globale pour l’ensemble des hôtes, utiliser le nœud spécial default

node default {
       include ssh
}

De même, nous pouvons inclure une notion d’héritage entre les nœuds. Imaginons 2 serveurs web web1.be-root.com, web2.be-root.com et un serveur de mails mail.be-root.com. Sur l’ensemble des 3 serveurs, nous voulons installer ssh et sudo. Sur les serveurs web, nous installerons apache en plus. Sur le serveur de mails, ce sera postfix. La définition des nœuds pourrait alors être :

node base {
  include ssh, sudo
}
node /^web\d+\.be-root\.com$/ inherits base {
  include httpd
}
node 'mail.be-root.com' inherits base {
  include postfix
}

Remarque : plutôt que de définir le nœud correspondant aux serveurs web à l’aide d’une expression régulière, nous aurions pu la définir comme ceci :

node ‘web1.be-root.com’, ‘web2.be-root.com’ inherits base {

Mais revenons à notre cas d’école, dans lequel nous affectons le module ssh

Création du module ssh

Un module est un regroupement de classes, de fichiers et de templates qui servent à configurer un ou plusieurs service sur les nœuds. Les modules sont stockés sous /etc/puppet/modules/nom_du_module.
Dans notre exemple, nous allons créer le module ssh, qui permettra d’installer et de configurer le service openssh.
Nous allons donc créer la structure du répertoire permettant d’accueillir le module :

mkdir -p /etc/puppet/modules/ssh/{files,templates,manifests}

Le répertoire manifests contiendra le fichier init.pp qui est lu en premier lors de l’appel à un module.
Le répertoire files contiendra le fichier un fichier sshd_config à déployer sur les hôtes.
Nous n’utiliserons pas de templates dans cet exemple mais, par convention, nous créons l’ensemble des trois répertoires. Un template est un modèle de fichier de configuration dont le contenu est « dynamique ». Lors du déploiement, il est adapté et modifié en fonction de chaque hôte.

Nous allons donc créer un fichier /etc/puppet/modules/ssh/files/sshd_config :

# Fichier installé par Puppet
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes

Nous allons ensuite créer le fichier /etc/puppet/modules/ssh/manifests/init.pp :

class ssh::install {
        package { "openssh":
                name => $operatingsystem ? {
                        /(Red Hat|CentOS|Fedora)/ => "openssh",
                        Ubuntu => "openssh-server",
                        default=> "openssh"
                 },
                 ensure => latest,
        }
}

class ssh::config {
        file {"/etc/ssh/sshd_config":
                        ensure => present,
                        owner  => 'root',
                        group  => 'root',
                        mode   => 0600,
                        source => "puppet:///modules/ssh/sshd_config",
                        require=> Class["ssh::install"],
                        notify => Class["ssh::service"],
        }
}

class ssh::service {
        service { "sshd":
                        name => $operatingsystem ? {
                           /(Red Hat|CentOS|Fedora)/ => "sshd",
                           Ubuntu => "ssh",
                           default=> "sshd"
                        },
                        ensure     => running,
                        hasstatus  => true,
                        hasrestart => true,
                        enable     => true,
                        require    => Class["ssh::config"],
        }
}

class ssh {
        include ssh::install, ssh::config, ssh::service
}

Dans ce fichier, nous définissons trois classes ssh::install, ssh::config et ssh:service permettant respectivement d’installer les paquets, de déployer le fichier de configuration sshd_config défini précédemment et de lancer le service.
Enfin, nous définissons la classe principale ssh, qui inclus les trois précédentes.

La classe ssh::install :
Dans cette classe, nous définissons le nom du paquet à installer et nous nous assurons d’avoir la dernière version installée.
Du fait des informations fournies par facter, puppet sait quel gestionnaire de paquets utiliser en fonction de la plateforme (apt, yum, portage, …). La liste des providers supportés se trouve ici.

Dans l’exemple, nous faisons une différenciation du nom du paquet à installer en fonction de la plateforme. Si le paquet à le même nom sur l’ensemble des plateformes gérées, nous pourrions avoir simplement :

class ssh::install {
  package { "openssh":
   ensure => latest,
  }
}

Le mot clé latest permet de s’assurer que la dernière version disponible du paquet est installée. Les autres mots clés possibles sont : present, absent, purged, held, latest.

La classe ssh::config :

Cette classe permet de déployer le fichier de configuration sshd_config placé sous le répertoire files. La clause ensure => present permet de s’assurer de la présence du bon fichier.
La cohérence du fichier sur le client est contrôlée par sa signature md5. Si cette signature diffère de celle du fichier présent sur le serveur, le fichier est à nouveau déployé.
Les autres mots clé possibles pour la clause ensure sont absent,present,file,directory,link

Si la clause ensure => absent est utilisée, alors le fichier et supprimé (s’il s’agit d’un répertoire à supprimer, rajouter recurse => true).

La clause ensure permet également de créer un lien symbolique. Par exemple :

file { "/etc/named.conf":
 ensure => link,
 target => "/var/named/chroot/etc/named.conf",
}

A noter que la source, définie par puppet:///modules/ssh/sshd_config correspond sur le disque au fichier /etc/puppet/modules/ssh/files/sshd_config. Les autorisations d’accès sont définies dans le fichier /etc/puppet/fileserver.conf

La classe ssh::service :

Cette classe permet de s’assurer que le service ssh est lancé du fait de la clause ensure => running. Les valeurs possibles sont : stopped ou running.
Comme précédemment, le nom du service (qui correspond au nom du script de démarrage /etc/init.d/……) est défini en fonction de la plateforme.

La clause hasrestart permet de définir si le script de démarrage (/etc/init.d/……) accepte l’argument restart. Les valeurs possibles sont true (par défaut) ou false. Si la valeur choisie est false, alors les commandes stop puis start seront utilisées à la place de la commande restart.

La clause hasstatus permet de définir si le script de démarrage (/etc/init.d/……) accepte l’argument status. Les valeurs possibles sont true (par défaut depuis v2.7.0) ou false. Si le script ne permet pas la commande status, alors une clause status fournissant le nom d’une commande à utiliser pour obtenir l’état du service. Cette commande doit avoir un code de retour à 0 si le service fonctionne.

La clause enable => true permet de définir si le service doit être activé au boot. Les valeurs possibles sont true, false, manual.

L’ensemble des valeurs possibles pour les différentes options se trouve dans la documentation officielle.

Vérification côté client :

Sur la machine poste-client, supprimons le paquet openssh-server si celui-ci était déjà installé.

sudo apt-get remove openssh-server
sudo rm /etc/ssh/sshd_config

L’agent puppet fonctionnant, au bout d’un certain temps, nous voyons dans le fichier /var/log/syslog.conf des lignes du style :

 puppet-agent[11803]: (/Stage[main]/Ssh::Config/File[/etc/ssh/sshd_config]/content) content changed '{md5}8caefdd9e251b7cc1baa37874149a870' to '{md5}e6926fcb58f2cb12a3cdcbd28c3b96c8'
 puppet-agent[11803]: (/Stage[main]/Ssh::Config/File[/etc/ssh/sshd_config]/mode) mode changed '644' to '600'
 puppet-agent[11803]: (/Stage[main]/Ssh::Service/Service[sshd]/enable) enable changed 'false' to 'true'
 puppet-agent[11803]: (/Stage[main]/Ssh::Service/Service[sshd]) Triggered 'refresh' from 1 events
 puppet-agent[11803]: Finished catalog run in 6.26 seconds

Le service ssh est installé, lancé et le fichier sshd_config correspond à celui centralisé sur le serveur puppetmaster.

On remarque que la conformité du fichier est evaluée en fonction de sa signature md5 :

content changed ‘{md5}8caefdd9e251b7cc1baa37874149a870’ to ‘{md5}e6926fcb58f2cb12a3cdcbd28c3b96c8’

Modifions le fichier sshd_config manuellement sur la machine poste-client.
En regardant de nouveau le fichier /var/log/syslog, nous apercevons :

puppet-agent[11803]: (/Stage[main]/Ssh::Config/File[/etc/ssh/sshd_config]/content) content changed '{md5}03b526a2efe419608151356c0ce4185d' to '{md5}e6926fcb58f2cb12a3cdcbd28c3b96c8'
puppet-agent[11803]: (/Stage[main]/Ssh::Service/Service[sshd]) Triggered 'refresh' from 1 events
puppet-agent[11803]: Finished catalog run in 0.92 seconds

Nous nous rendons compte que, puppet ayant remarqué le changement sur le fichier, il va recharger la configuration stockée sur le puppetmaster et cela nous permet donc d’avoir une configuration cohérente.

Cependant, comme indiqué au début de l’article, avant de remplacer le fichier, puppet va effectuer une sauvegarde grace au service filebucket.

Si nous désirons restaurer le fichier que nous avions modifié manuellement, il suffit, sur le poste client, d’éxecuter la commande filebucket en indiquant en argument, la signature md5 du fichier à restaurer et son emplacement :

filebucket restore /etc/ssh/sshd_config 03b526a2efe419608151356c0ce4185d

Bien évidemment, il faut stopper le service puppet sur le poste client sinon, à la prochaine vérification, le fichier sera à nouveau remplacé.

Dans un prochain article, nous détaillerons l’utilisation des templates.

Pour aller plus loin dans l’exploration de puppet, je vous conseille de jeter un oeil au puppet cookbook