crans/crans_bcfg2
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

[secrets] On crée un Bundle et un Groupe à part pour la gestion des secrets. On pense aussi à ajouter une action pour que les secrets soit lisibles par www-data sur le serveur de l'intranet2.

Browse source
This commit is contained in:
Vincent Le Gallic 2013-03-04 20:09:46 +01:00
parent 98f2178da1
commit 7eb774354a
3 changed files with 37 additions and 4 deletions
Download patch file Download diff file Expand all files Collapse all files

20
Bundler/secrets.xml Normal file
View file

@ -0,0 +1,20 @@
<Bundle name="secrets">
<Group name="secrets">
<Group name="bcfg2-server" negate="true">
<!-- Sur le serveur les fichiers suivant sont utilises comme
sources pour les clients -->
<Path name="/etc/crans/secrets" type="directory"/>
<Python name="/etc/crans/secrets/secrets.py"/>
<Group name="rsync">
<Python name="/etc/crans/secrets/rsyncd.secrets"/>
</Group>
<Python name="/etc/crans/secrets/slon.py"/>
<Python name="/etc/crans/secrets/nols.py"/>
<Python name="/etc/crans/secrets/README"/>
<!-- Il faut penser au setfacl sur le serveur de l'intranet2 (o2) -->
<Group name="intranet2-server">
<Action name="setfacl-secrets"/>
</Group>
</Group>
</Group>
</Bundle>

13
Metadata/groups.xml
View file

@ -299,7 +299,7 @@
<Group name="o2" <Group name="o2"
profile="true"> profile="true">
<Group name="crans-domu-squeeze"/> <Group name="crans-domu-squeeze"/>
<Group name="nginx" comment="Pour l'intranet"/> <Group name="intranet2-server"/>
<Bundle name="check_cert" /> <Bundle name="check_cert" />
<Group name="https_cert" /> <Group name="https_cert" />
</Group> </Group>
@ -425,7 +425,10 @@
a un serveur du Cr@ns. --> a un serveur du Cr@ns. -->
<Group name="crans" comment="groupe encore plus minimal pour un serveur du Crans"> <Group name="crans" comment="groupe encore plus minimal pour un serveur du Crans">
<Group name="secrets"/>
<Bundle name="knownhosts"/> <Bundle name="knownhosts"/>
<Bundle name="secrets"/>
</Group> </Group>
<Group name="crans-common" <Group name="crans-common"
@ -441,7 +444,6 @@
<Group name="mail"/> <Group name="mail"/>
<Group name="apt"/> <Group name="apt"/>
<Group name="cron"/> <Group name="cron"/>
<Group name="secrets"/>
<Group name="bcfg2-client"/> <Group name="bcfg2-client"/>
<Group name="backup-client"/> <Group name="backup-client"/>
<Group name="munin-node"/> <Group name="munin-node"/>
@ -510,7 +512,6 @@
<Group name="mail"/> <Group name="mail"/>
<Group name="apt"/> <Group name="apt"/>
<Group name="secrets"/>
<Group name="bcfg2-client"/> <Group name="bcfg2-client"/>
<Group name="backup-client"/> <Group name="backup-client"/>
<Group name="xen"/> <Group name="xen"/>
@ -529,7 +530,6 @@
<Group name="squeeze"/> <Group name="squeeze"/>
<Group name="mail"/> <Group name="mail"/>
<Group name="apt"/> <Group name="apt"/>
<Group name="secrets"/>
<Group name="bcfg2-client"/> <Group name="bcfg2-client"/>
<Group name="backup-client"/> <Group name="backup-client"/>
<Group name="rsyslog-client"/> <Group name="rsyslog-client"/>
@ -724,6 +724,11 @@
<Group name="intranet-server-backend"/> <Group name="intranet-server-backend"/>
</Group> </Group>
<Group name="intranet2-server"
comment="le serveur HTTPS (port 443) gérant intranet2.crans.org">
<Group name="nginx" comment="Pour l'intranet"/>
</Group>
<Group name="wiki"> <Group name="wiki">
<Bundle name="moinmoin" /> <Bundle name="moinmoin" />
</Group> </Group>

8
Rules/secrets.xml Normal file
View file

@ -0,0 +1,8 @@
<!-- Règles pour secrets //-->
<Rules priority="1">
<Group name="intranet2-server">
<Action name="setfacl-secrets" timing="post"
when="modified" status="check"
command="setfacl -m u:www-data:rx /etc/crans/secrets; setfacl -m u:www-data:r /etc/crans/secrets/secrets.py"/>
</Group>
</Rules>