crans/scripts
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
4609 commits 4 branches 0 tags 9.6 MiB
Commit graph

853 commits

Author SHA1 Message Date
Vincent Le Gallic
f564fb66b1 [autostatus] iso -> utf-8 2013-02-26 10:56:07 +01:00
Valentin Samir
349e424d1d [firewall6.py] Lors d'un restart, ça ne sert à rien de vider d'abord les règles, ip6tables-restore sans option effectue très bien la substitution des nouvelles règles aux anciennes 2013-02-25 02:12:35 +01:00
Valentin Samir
d8e716f22b [config.py, firewall6.py, ipt.py] On passe la policy de FORWARD en ipv6 à accept, pour mise à jour des blacklistes, on ne réappliques que les chaines concernées. Possibilité de recharger les blacklistes en ligne de commande. 2013-02-25 01:47:14 +01:00
Valentin Samir
5406f3fcd4 [config.py, bind.py] tv.crans.org est maintenant sur sable et signé 2013-02-22 18:54:08 +01:00
Valentin Samir
d735b21bb9 [generate.py,ldap_crans.py] On ne programme plus la reconfiguration de services qui n'existent plus. 2013-02-13 15:15:18 +01:00
Valentin Samir
ab5320bfd2 [gestion/gen_confs/firewall6.py,gestion/ipt.py] Ménage dans les règles après que komaz soit devenue routeur pour le wifi et avoir permis les etensions de vie privée. 2013-02-13 15:14:04 +01:00
Valentin Samir
58b2dbe647 [bind] On signe avec dnssec crans.org et ses sous domaies (sauf tv.crans.org) 2013-02-13 15:12:50 +01:00
Valentin Samir
15c518cc17 [deconnexion, ipt, surveillance] On compte l'upload ipv6 par adresses mac à partir de la correspondance fournie par la parssage des logs du firewall par mac_ip. On affiche un avertissement si on trouve deux mac avec le même ip sur les 3 derniers jours 2013-02-09 17:45:37 +01:00
Valentin Samir
fee4e88908 [firwall_new] Dans le dictionnaire des machines accessible depuis accueil, on stocke aussi le dns de la machine, on modifie firewall_new en conséquence. 2013-02-09 17:43:46 +01:00
Valentin Samir
9477bafd68 [firewall6] De l'ipv6 sur le vlan évènement 2013-02-09 17:42:39 +01:00
Valentin Samir
74468eb34d [firewall6, ipt] Routage du wifi via komaz, ajout d'une zone serveur distincte des machines filaires, clamp-mss-to-pmtu 2013-02-09 17:41:50 +01:00
Vincent Le Gallic
c039058708 Enregistrement des droits d'exécution. Aucune vraie modif. 
Darcs n'enregistrait pas les permissions des fichiers.
 2013-01-31 05:36:25 +01:00
Valentin Samir
d69de27ff0 [bind] mise en forme de la position des bornes 
Ignore-this: 462b62faececcf5b4e275798f8e4a5cf

darcs-hash:20130129225709-3a55a-9c18478c18c661ce047c103b3c04ded7c2978464.gz
 2013-01-29 23:57:09 +01:00
Valentin Samir
f03ee193ef [dhcpd_new] Si le serveur n'est pas un dhcp, on ne fait rien au lieu de cracher 
Ignore-this: 516ff478d2ac2d3af213c04d63ec99d1

darcs-hash:20130129225441-3a55a-66b6449471f12c81b1245876ff95e0d55292accf.gz
 2013-01-29 23:54:41 +01:00
Valentin Samir
cc94747a02 [On masque les serveurs ayant un commentaire commençant par < de l'autostatus 
Ignore-this: b7f15a0e3e2289951086ebe270e2b28d

darcs-hash:20130129225328-3a55a-8cc4a4944417e5051bd99da6bbbda6f30d735dff.gz
 2013-01-29 23:53:28 +01:00
Valentin Samir
1782878204 [config,bind] On génère tv.crans.org depuis le script de génération du dns 
Ignore-this: 6e015fb7f695ab3a56c29ffe46d350d4

darcs-hash:20130128015557-3a55a-9f901eaa97df6a61054d44ec84595a5b87664147.gz
 2013-01-28 02:55:57 +01:00
Pierre-Elliott Bécue
54749b0d63 [gen_confs/surveillance.py] Passage à psycopg2 
Ignore-this: 36e4322e837e6864ac15794a299bc32b

darcs-hash:20130126225134-afe24-223d0eea0b7dc5f764718e563f2f79f5b0a24d65.gz
 2013-01-26 23:51:34 +01:00
Pierre-Elliott Bécue
bff0c9f555 Dans la série pgsql => thot, on transfère les bases de données, pour cela, on s'assure que tout est prêt niveau scripts. 
Ignore-this: 1310db9d47caaf448d3727daafb43b77
Et on fait des patchs dégueux parce que psycopg est dans une trop vieille version...

darcs-hash:20130126222239-afe24-302736b502be967e4295205a6b865a9f55fb8e63.gz
 2013-01-26 23:22:39 +01:00
Pierre-Elliott Bécue
b96b691639 [Firewall_new] On vire la classe de vert, et on s'assure que les serveurs passent mac_ip sur leur patte publique aussi. 
Ignore-this: 3743f038f7f9728e1c98db22ef7cf5ae

darcs-hash:20130126222113-afe24-bc71f3415e81d1b10d01b24e3bf566e7d4c9538a.gz
 2013-01-26 23:21:13 +01:00
Valentin Samir
e3115377c5 [pxeboot/mount_ubuntu_live] On a besoin du chemin absolu de la config 
Ignore-this: d844cf47453186f6e1448f77d4fc1cc0

darcs-hash:20130126184758-3a55a-18411176dfe481723fc2051c6c1ce70369f8060c.gz
 2013-01-26 19:47:58 +01:00
Valentin Samir
45f5294da7 [generate] Il ne faut pas gérer le dns sur les slaves avec generate, ça casse le fichier de zone en mettant le slave en master. Il faut lancer /usr/scripts/gestion/gen_confs/bind.py sur bcfg2 puis effectuer un run de bcfg2 sur les slaves. 
Ignore-this: 85e9ce4bccb70f249f8825aafdb82a0

darcs-hash:20130126184606-3a55a-d7e6e089f829082676f8f1967fb18354f5f978ea.gz
 2013-01-26 19:46:06 +01:00
Valentin Samir
76d1808819 [firewall_new] On repasse filtre_p2p après test_mac_ip dans la génération. 
Ignore-this: aea1b5937402467763a07dd09bceb935

darcs-hash:20130126184446-3a55a-ca939b3a4617edce4100c068d6e5f845525d4f84.gz
 2013-01-26 19:44:46 +01:00
Valentin Samir
41c084facc [config,bind] On pousse une partie de la configuration dans config.py pour l'utiliser depuis bcfg2 
Ignore-this: 52f33e0a3a665905915eb30c54bfbffa

darcs-hash:20130126175548-3a55a-38c50d5b7cf7b47b13d78eda81cf5ce063a4d463.gz
 2013-01-26 18:55:48 +01:00
Valentin Samir
9e16d81848 [firewall_new,ipset] Lors de la génération du pare-feu, on restaure les ipsets plutôt que d'ajouter les ips une à une. 
Ignore-this: 29d8a044a6bfcc23724de9831213d1b

darcs-hash:20130125184040-3a55a-cee42abc272c8710a20845b9f3c46189b22fdf5f.gz
 2013-01-25 19:40:40 +01:00
Daniel STAN
14ac4f12ac [firewall/wifi] adapter mss à la mtu du lien 
Ignore-this: dff3807363f21a8a7345ca4f007533f3
Ça ne coûte rien de l'indiquer. Il semble cependant que le problème de
transfert vienne du client (il s'agit alors de forcer la mtu dessus
à l'aide de dhcp)

darcs-hash:20130125143802-28565-e265ba6ce0bd147b2fbbfe51280ac1a4a59bd70e.gz
 2013-01-25 15:38:02 +01:00
Valentin Samir
52d583d87c [bind.py] On retire charybde des authoritaire, on ajoute ovh dans les délégation de tv.crans.org, on diminue le ttl par defaut. 
Ignore-this: 80ceca268f9a07de3efb98f7af3a81e4

darcs-hash:20130125032751-3a55a-5487bf4328023dbda4f83f26834a7a2239651911.gz
 2013-01-25 04:27:51 +01:00
Valentin Samir
7f4bfdad17 [firewall_new] On ajoute une interface wifi sur komaz pour y router directement le wifi. On fait les modification nécessaire dans le pare-feu pour cela. On fait en sorte que le routage via gordon fonctionne toujours, du moins pour un temps. 
Ignore-this: 3101c19683d2c38eeb8cf8a01d76e22e

darcs-hash:20130125032321-3a55a-58b229a31b25f46fb5e08b2b18eeb7f78b75098e.gz
 2013-01-25 04:23:21 +01:00
Pierre-Elliott Bécue
2a7dd72069 [Scripts] On rajoute un champ rid qui fait le lien avec les plages d'ip, et on rend le mid strictement croissant. 
Ignore-this: 199e9ff5f09e1fe600c1066179f4e47b
Ce patch est un test, il ne restera en prod que si ça fonctionne. L'idée est qu'on souhaiterait conserver les vieilles machines comme les vieux adhérents, sauf demande explicite de suppression, par ailleurs, l'association mid <=> ip est très utile pour pas mal de choses. Pour la conserver, on crée un identifiant rid, qui supplante le mid, qui est lui choisi comme l'aid ou le fid, en incrémentant.

Ce patch vise à implémenter cela. S'il génère des bugs, il subira un rollback.

darcs-hash:20130123021650-b6762-347428d75f066f7f4821ca067d8c9bb6a4396bf5.gz
 2013-01-23 03:16:50 +01:00
Valentin Samir
70f5ff906a [config,populate_sshFingerprint] Si la clef est trop vielles, on génère à coté des clef de remplacement et on mets leurs hash dans le motd. 
Ignore-this: b8ee0ed7e960aeb41593d1f67d9e90a

darcs-hash:20130122010422-3a55a-5842aac4d5bb36731549738200e3043e32e68185.gz
 2013-01-22 02:04:22 +01:00
Daniel STAN
f867321e39 [generate/supervision] mails en utf-8 
Ignore-this: cb2ea9ee2f6e37c135e515d752934446
L'expérience montre qu'encoder en utf-8 est davantage fail proof (quite à écrire
de l'apf4242)
On utilise email.mime pour ne pas trop mettre les mains dans le cambouis
(typiquement, il me manquait un content-transfer-encoding: 8bit avec
 l'ancienne méthode)

darcs-hash:20130120231043-28565-b17c7fd4c90e4c2c7d0a34a2d1f0dde8be1e2864.gz
 2013-01-21 00:10:43 +01:00
Valentin Samir
7141c2c7da [dhcpd_new,ldap_crans] Mise à jour dynamique du dhcp à l'édition, la création ou la suppression d'une machine via ldap_crans 
Ignore-this: 96d21c9e9d12fc10faff670c8c1b2560

darcs-hash:20130120030947-3a55a-5e038fafa3d29f9e5772f808aa35a817e43b5b4d.gz
 2013-01-20 04:09:47 +01:00
Valentin Samir
b844853894 [config.py,bind.py,populate_sshFingerprint.py] Configuration pour sshfp dans config.py, ajout d'un script pour ajouter les clef des serveur dans ldap 
Ignore-this: 5fe4b7490ca1f97168b6ce457374ffb5

darcs-hash:20130118011803-3a55a-2fb24947d4f3807082ae5f0da41741e0ef0086c8.gz
 2013-01-18 02:18:03 +01:00
Valentin Samir
151c6fec97 [bind.py] Gestion plus propre des alias de domaines 
Ignore-this: f2bc99e92c9e384087778340a9b1308b

darcs-hash:20130112182407-3a55a-46b838ec99e93c7abd62a1d8d3caae6b2d60211b.gz
 2013-01-12 19:24:07 +01:00
Valentin Samir
d859a4e0e8 [bind.py] Ajout des DS pour wifi.crans.eu et v6.crans.eu, ajout des champs SSHFP depuis ldap, hack sale avec os.chmod pour que bind puisse toujours écrire dans les fichiers de zone sur les slaves même quand "quelqu'un" lance un generate.py --dns 
Ignore-this: e90db43493bb2e4f69e27518f755ae16

darcs-hash:20130112034846-3a55a-ffc5138ac8e44f6a171df956804bec91e22d613b.gz
 2013-01-12 04:48:46 +01:00
Valentin Samir
73bd82682e [bind.py] Possibilité de déclarer des zones signé par opendnssec. 
Ignore-this: 68a00379301354ac38bc7e1a6a2d370b

darcs-hash:20130110235501-3a55a-66368702a1203be2e123d99709ebdbf3d2cc430e.gz
 2013-01-11 00:55:01 +01:00
Valentin Samir
a9b4bac51c [pxeboot] fin du déplaçage, ajout d'un script pour remonter les iso pour les livecd 
Ignore-this: 69f5cdde1f97fcd8419f1668f2b52496

darcs-hash:20130107201936-3a55a-0c8cd96190c61399c77c362a533076ee4b28513b.gz
 2013-01-07 21:19:36 +01:00
Valentin Samir
9c0bd6214c [pxeboot] déplacement dans sous dossier 
Ignore-this: 18e960e24c9e222b0e6d9615a7f59d52

darcs-hash:20130107201907-3a55a-ccd03af79d155a4f523bfe0a6c4657912f914527.gz
 2013-01-07 21:19:07 +01:00
Valentin Samir
5731cc63e5 [firewall_new] On remonte aussi la limite ssh pour les machines des adhérents 
Ignore-this: 1eddb79e5226399b7f0511bc6bd9ee7d

darcs-hash:20130107201753-3a55a-276d660bf9ece2a4f604307bea35af66ce319fd7.gz
 2013-01-07 21:17:53 +01:00
Valentin Samir
8817dc95b5 [bind.py] On ajoute un champs TXT pour les bornes avec leur position 
Ignore-this: b9373720d6895036f6d72ef7f61b40db

darcs-hash:20130107201656-3a55a-3286cd9e51c157918bdf3db6f157d2629585e529.gz
 2013-01-07 21:16:56 +01:00
Valentin Samir
a09261d3b1 [bind.py] SRV record pour le sip 
Ignore-this: 2af02b214edaf26f2d4c62be532b2066

darcs-hash:20130103151331-3a55a-38c141614ea1a4e9e948ee0b197234b459078326.gz
 2013-01-03 16:13:31 +01:00
Daniel STAN
a8bb2727f1 [autostatus] info sup: 138.231.132.101 == pioneer 
Ignore-this: aa8b3ce152404b56bf606b0e20706fa2

darcs-hash:20121218232858-28565-490e7f69c9e203d6cb73e61b1b9707ea6e5c4a84.gz
 2012-12-19 00:28:58 +01:00
Valentin Samir
ed432829f1 [firewall_new] On fixe le MSS TCP sur appartement, crans et ens en fonction de la MTU du lien 
Ignore-this: ccb0455afc0cd9aa9b1686b555d934f

darcs-hash:20121218170003-3a55a-9dfbbca5af6e46a00f37c3a086a3043fd457ca52.gz
 2012-12-18 18:00:03 +01:00
Daniel STAN
8face5a3e7 [autostatus.py] retrait d'un switch et AP wifi non placés 
Ignore-this: 6c6d7e39b6d89b45b812a9b24811c5c3

darcs-hash:20121215173129-28565-e385c402eb4458647b1a6a40c6ef329dc73ee31f.gz
 2012-12-15 18:31:29 +01:00
Daniel STAN
0a7258b1bc [switchs.py] logging vers thot 
Ignore-this: f8651fc9e90f43bf84f34eb3d46616a2
Cette modification a déjà été propagée par cluster-ssh (gruik)

darcs-hash:20121215162202-28565-a9c0e948841f1ab967f664e6600d4e6af19dc011.gz
 2012-12-15 17:22:02 +01:00
Valentin Samir
4ca0088778 [firewall_new] On augmente la limite de détection de flood 
Ignore-this: 1a82498a6f8b4fbff10924d3686364d

darcs-hash:20121213222258-3a55a-eeaa7fe93a3161544b09a40020b7a77e588ee0ea.gz
 2012-12-13 23:22:58 +01:00
Valentin Samir
f2ebf9145b [firewall_new] ips non routables ++ 
Ignore-this: ac162a5f04da481753f6c052271accc2
0.0.0.0/8 RFC1700
127.0.0.0/8  RFC5735
192.0.2.0/24 RFC5737
198.18.0.0/15 RFC2544
198.51.100.0/24 RFC5737
198.51.100.0/24  RFC5737
203.0.113.0/24 RFC5737
240.0.0.0/4  RFC5735

darcs-hash:20121213221807-3a55a-993e9ee148d802e09ac3ccb599812726a7666d55.gz
 2012-12-13 23:18:07 +01:00
Valentin Samir
6e27d6a09a [config,firewall_new, firewall6] On pousse de la conf commune à firewall_new et firewall6 dans config 
Ignore-this: d132731f820f32809f1690716ccff1da

darcs-hash:20121209173407-3a55a-73c9883fdebfe7aaf71f6bbb2a0fc83306f98fbc.gz
 2012-12-09 18:34:07 +01:00
Valentin Samir
f8332851b4 [ipt,firewall6,firewall_new] Mise à jour du blocage des tracker torrent udp, les port 445 et 135 sont retirer du trigger VIRUS (mais toujours bloqués) 
Ignore-this: ea68ea4670ec109a2575a243c2e89ca6

darcs-hash:20121209172425-3a55a-3fb45d35a11fc552e0c1e786d181334272913123.gz
 2012-12-09 18:24:25 +01:00
Pierre-Elliott Bécue
ab6202f37c [SOGo] On patche un peu partout pour pouvoir rendre le champ mail de ldap plus propre. 
Ignore-this: aed0fb0c7f88d3feb1f0be35b11780bf

darcs-hash:20121201132852-b6762-f77d73b568bc1ad0fef3c9341cb2a00a34a09a0c.gz
 2012-12-01 14:28:52 +01:00
Valentin Samir
e6777ccb12 [firewall_new] fucking limitation à 3 connexions ssh / min deuxième édition 
Ignore-this: b89cfa9dd6329fc2f9d7a56b236beab9

darcs-hash:20121201013720-3a55a-e5178039494da4537ee718fe7bf14279c3d13246.gz
 2012-12-01 02:37:20 +01:00