Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:services:apt-dater [2014/10/22 12:56] – créée zertrin
+++ admin:services:apt-dater [2020/04/25 23:33] – [Liens (potentiellement) utiles] klafyvel
@@ Ligne 1: / Ligne 1: @@
 [[:admin|< retour à la page de l'administration technique]]
-Chaque serveur de FedeRez est configuré pour être mis à jour via [[http://www.ibh.de/apt-dater/ apt-dater]].
+Chaque serveur de FedeRez est configuré pour être mis à jour via [[http://www.ibh.de/apt-dater/|apt-dater]].
 ====== Infos générales ======
-TODO
+===== En speed ====
-====== Mise en place ======
+==== Ajouter une clef pour un admin sur une machine managée par apt-dater ====
-===== Liens (potentiellement) utiles =====
+Sur **chaque** machine(s) concernée(s) (en gros [[admin:serveurs:hexagon|hexagon]], [[admin:serveurs:quigon|quigon]] et [[admin:serveurs:baldrick|baldrick]]):
-  * Site officiel : http://www.ibh.de/apt-dater/
+:!: Attention ici exemples de zertrin et David_5.1, adapter **les clefs et les IP autorisées** à votre cas !
-  * Référence pour la config et la sécurisation d'apt-dater : https://sdeziel.info/apt-dater/index.html
-===== Installation sur les machine managées =====
+  # en tant que root
+  cat << EOF >> ~aptdater/.ssh/authorized_keys
+  no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc,no-X11-forwarding,from="127.0.0.0/8,91.121.177.109,2001:41d0:1:f26d::1" ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBADNkXj0+teRl15r6PasiFBCSy4TPIzBQwpyR+DqDwkd4l6B23wY0A/psfZMoSPV6c2PxgOh7WKZMMrturZTR4wUBAACUHVxJCvroLwbaJvJNqVRBqUhNluWoNLSVpSIskoGOEf9E1dtAM24nZdqThBUFTnK7Ws2umPtiybncpUJOL/UPg== david@sinquin/ks51
+  no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc,no-X11-forwarding,from="127.0.0.0/8,91.121.136.69,2001:41d0:1:b745::1" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIO2O2dQgm7g2/M2Jg9xkSKhPqjHTK/Jx0pOIVP/CDSuv zertrin@gluon
+  EOF
+==== Installer apt-dater sur une machine de management ====
+Installation du paquet (exemple Debian, pour les autres distros, débrouillez vous !):
+  apt-get install apt-dater
+En tant qu'utilisateur normal, lancer une première fois ''apt-dater'' et quittez immédiatement. Cela aura pour effet de créer les fichiers de configuration d'apt-dater dans ''$XDG_CONFIG_HOME/apt-dater'' (c'est à dire en général ''~/.config/apt-dater'').
+Modifier ''~/.config/apt-dater/hosts.conf'' :
+Ajouter (ou remplacer l'entrée d'exemple ''IBH'' par) :
+  [FedeRez]
+  Hosts=aptdater@hexagon.federez.net;aptdater@quigon.federez.net;aptdater@baldrick.federez.net;
+Relancer apt-dater, les serveurs seront dans la section ''Unknown''. Rafraichir les serveurs avec la commande ''g''. En cas de soucis, la commande ''e'' aide au diagnostic.
+====== Mise en place initiale d'apt-dater sur les machines managées ======
+Note: toutes les étapes ci-dessous se font en tant que superutilisateur.
+===== Installation =====
 Installation du paquet :
@@ Ligne 20: / Ligne 45: @@
   apt-get install apt-dater-host
-===== Configuration =====
+===== Configuration initiale =====
+La config suivie ici s'inspire très fortement de celle disponible sur https://sdeziel.info/apt-dater/index.html.
 ==== Ajout d'un utilisateur dédié ====
   adduser --quiet --system --home /var/lib/aptdater --group --shell /bin/sh aptdater
+  adduser aptdater ssh
 ==== Configuration de SSH pour apt-dater ====
@@ Ligne 34: / Ligne 62: @@
 Ajout de la clef d'un admin dans le authorized_keys d'aptdater:
+:!: Attention ici exemple de David_5.1, adapter la clef et les IP autorisées à votre cas !
+  touch ~aptdater/.ssh/authorized_keys
+  chown aptdater: -R ~aptdater/.ssh
   cat << EOF >> ~aptdater/.ssh/authorized_keys
-  command="exec /usr/local/bin/apt-dater-host-wrapper",no-user-rc,no-X11-forwarding,from="5.135.159.117,2001:41d0:8:d975::1" ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDpwXiaxQhSI/9jyxmsVewnsBQeBNWZZhoZaGfpFHWsciy1j/+hC5ectW6kvsbm6mf4YkKx2Hc29oRSm7lsyv3+itBS5HbnzHtdbaKTeWKZIhXI/TlMw8RA0+5qX9vKT0sJhkqFyZoXRpw9tKh7+zehez1FFJV60y8U/qm4mXlgiLZcVh4hXG+U7JfxYAQntWf47sNNoqG06CVFTJs8NR6WE6kpvZTNZrBoHwzdVbPKKaRRrgjyUx7Qxb/1XUnv+Iwe5ZYUlyMF+2jAM1YXk9+fnCkaEIWsJTHEsrVGZaUlDu9qVQOUun4B2kU8pqUK9oqKp7svsqtboi5mWGhcNkMN zertrin@gmail.com
+  no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc,no-X11-forwarding,from="127.0.0.0/8,91.121.177.109,2001:41d0:1:f26d::1" ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBADNkXj0+teRl15r6PasiFBCSy4TPIzBQwpyR+DqDwkd4l6B23wY0A/psfZMoSPV6c2PxgOh7WKZMMrturZTR4wUBAACUHVxJCvroLwbaJvJNqVRBqUhNluWoNLSVpSIskoGOEf9E1dtAM24nZdqThBUFTnK7Ws2umPtiybncpUJOL/UPg== david@sinquin/ks51
   EOF
-  chown aptdater: -R ~aptdater/.ssh
 ==== Configuration de sudo pour apt-dater ====
- cat << "EOF" > /etc/sudoers.d/apt-dater-host
+  cat << "EOF" >> /etc/sudoers.d/apt-dater-host
- # package installation is denied
+  # package installation is denied
- aptdater ALL = (root) NOPASSWD: /usr/bin/apt-get update
+  aptdater ALL = (root) NOPASSWD: /usr/bin/apt-get update
- aptdater ALL = (root) NOPASSWD: /usr/bin/apt-get clean
+  aptdater ALL = (root) NOPASSWD: /usr/bin/apt-get clean
- aptdater ALL = (root) NOPASSWD: /usr/bin/apt-get dist-upgrade
+  aptdater ALL = (root) NOPASSWD: /usr/bin/apt-get dist-upgrade
- aptdater ALL = (root) NOPASSWD: /usr/bin/apt-get --assume-yes dist-upgrade
+  aptdater ALL = (root) NOPASSWD: /usr/bin/apt-get --assume-yes dist-upgrade
- EOF
+  aptdater ALL = (root) NOPASSWD: /usr/bin/apt-get dist-upgrade --assume-yes
+  aptdater ALL = (root) NOPASSWD: /usr/bin/apt-get --quiet --simulate --fix-broken --allow-unauthenticated dist-upgrade
+  aptdater ALL = (root) NOPASSWD: /usr/bin/apt-get dist-upgrade --quiet --simulate --fix-broken --allow-unauthenticated
+  aptdater ALL = (root) NOPASSWD: /usr/sbin/needrestart
+  EOF
   chmod 0440 /etc/sudoers.d/apt-dater-host
+==== Demande de validation des mise à jour ====
+Pour qu'une demande de confirmation de la liste des paquets à mettre à jour soit faite, il faut modifier ''/etc/apt-dater-host.conf'' pour qu'il contienne ''ASSUMEYES=0;'' :
+  sed -i 's/^$ASSUMEYES=1;$/$ASSUMEYES=0;/' /etc/apt-dater-host.conf
 ==== Limitation de la priorité d'apt-dater apt-dater (optionnel) ====
@@ Ligne 57: / Ligne 95: @@
 ==== Création d'un wrapper pour sécuriser apt-dater ====
+<WRAP center round important 60%>
+Ce qui suit n'a jamais été aperçu en état de marche, il est donc déconseillé de l'appliquer sans autre forme de procès.
+</WRAP>
 À placer dans ''/usr/local/bin/apt-dater-host-wrapper''
@@ Ligne 74: / Ligne 116: @@
 LOGGER="/usr/bin/logger"
-APT_DATER_HOST="/usr/local/bin/apt-dater-host"
+APT_DATER_HOST="$(which apt-dater-host)"
 KILL="/bin/kill"
 SLEEP="/bin/sleep"
@@ Ligne 176: / Ligne 218: @@
   chmod 0755 /usr/local/bin/apt-dater-host-wrapper
+======= Le contrôleur =======
+Se référer à la page du [[services:apt-dater:controller|contrôleur]] pour une explication sur son installation.
+====== Liens (potentiellement) utiles ======
+  * Site officiel : http://www.ibh.de/apt-dater/
+  * Référence pour la config et la sécurisation d'apt-dater : https://sdeziel.info/apt-dater/index.html