[secrets] On crée un Bundle et un Groupe à part pour la gestion des secrets. On pense aussi à ajouter une action pour que les secrets soit lisibles par www-data sur le serveur de l'intranet2.

2013-03-04 20:09:46 +01:00 · 2013-03-04 20:09:46 +01:00 · 7eb774354a
commit 7eb774354a
parent 98f2178da1
3 changed files with 37 additions and 4 deletions
--- a/Bundler/secrets.xml
+++ b/Bundler/secrets.xml
@ -0,0 +1,20 @@
+<Bundle name="secrets">
+ <Group name="secrets">
+   <Group name="bcfg2-server" negate="true">
+     <!-- Sur le serveur les fichiers suivant sont utilises comme
+          sources pour les clients -->
+     <Path name="/etc/crans/secrets" type="directory"/>
+     <Python name="/etc/crans/secrets/secrets.py"/>
+     <Group name="rsync">
+       <Python name="/etc/crans/secrets/rsyncd.secrets"/>
+     </Group>
+     <Python name="/etc/crans/secrets/slon.py"/>
+     <Python name="/etc/crans/secrets/nols.py"/>
+     <Python name="/etc/crans/secrets/README"/>
+     <!-- Il faut penser au setfacl sur le serveur de l'intranet2 (o2) -->
+     <Group name="intranet2-server">
+       <Action name="setfacl-secrets"/>
+     </Group>
+   </Group>
+ </Group>
+</Bundle>
--- a/Metadata/groups.xml
+++ b/Metadata/groups.xml
@ -299,7 +299,7 @@
  <Group name="o2"
         profile="true">
    <Group name="crans-domu-squeeze"/>
-    <Group name="nginx" comment="Pour l'intranet"/>
+    <Group name="intranet2-server"/>
    <Bundle name="check_cert" />
    <Group name="https_cert" />
  </Group>
@ -425,7 +425,10 @@
       a un serveur du Cr@ns. -->

  <Group name="crans" comment="groupe encore plus minimal pour un serveur du Crans">
+    <Group name="secrets"/>
+
    <Bundle name="knownhosts"/>
+    <Bundle name="secrets"/>
  </Group>

  <Group name="crans-common"
@ -441,7 +444,6 @@
    <Group name="mail"/>
    <Group name="apt"/>
    <Group name="cron"/>
-    <Group name="secrets"/>
    <Group name="bcfg2-client"/>
    <Group name="backup-client"/>
    <Group name="munin-node"/>
@ -510,7 +512,6 @@

    <Group name="mail"/>
    <Group name="apt"/>
-    <Group name="secrets"/>
    <Group name="bcfg2-client"/>
    <Group name="backup-client"/>
    <Group name="xen"/>
@ -529,7 +530,6 @@
    <Group name="squeeze"/>
    <Group name="mail"/>
    <Group name="apt"/>
-    <Group name="secrets"/>
    <Group name="bcfg2-client"/>
    <Group name="backup-client"/>
    <Group name="rsyslog-client"/>
@ -724,6 +724,11 @@
    <Group name="intranet-server-backend"/>
  </Group>

+  <Group name="intranet2-server"
+     comment="le serveur HTTPS (port 443) gérant intranet2.crans.org">
+    <Group name="nginx" comment="Pour l'intranet"/>
+  </Group>
+
  <Group name="wiki">
    <Bundle name="moinmoin" />
  </Group>
--- a/Rules/secrets.xml
+++ b/Rules/secrets.xml
@ -0,0 +1,8 @@
+<!-- Règles pour secrets //-->
+<Rules priority="1">
+  <Group name="intranet2-server">
+   <Action name="setfacl-secrets" timing="post"
+     when="modified" status="check"
+     command="setfacl -m u:www-data:rx /etc/crans/secrets; setfacl -m u:www-data:r /etc/crans/secrets/secrets.py"/>
+  </Group>
+</Rules>