[Résolu] Échec/Raspberry, essais de sauvegarde, ré-installation, restauration, pour un site en nohost.me, créé une série de difficultés

Bonjour.

Nous avons essayé une procédure de sauvegarde, ré-installation, restauration sur un yunohost tournant sur une raspberry, depuis yunohost 2.5 sous jessie, vers raspbian stretch, en utilisant les dernières images yunohost, et nous avons eu quelques soucis.

Voici les petits problèmes auxquels nous somme confrontés:

  1. problème avec la sauvegarde et restauration:
    Nous avions fait une copie de la sauvegarde en plaçant la carte SD de la pi dans le PC et en lançant le navigateur de fichier en sudo. Mais, après la ré-installation, la sauvegarde n’est pas reconnue dans la page web d’aministration de yunohost.

  2. problème avec l’installation du domaine en nohost.me
    Nous avons procédé à la réinstallation complète sur la carte SD de la PI. Pendant la phase postinstallation, au moment du choix du domaine, nous avons voulu choisir le nom du domaine en nohost.me (qui fonctionnait très bien jusqu’alors, avec de jolis certificats letsencrypt), mais la procédure refusait catégoriquement ce choix. Nous avons du utiliser un autre nom (un sous domaine d’un autre domaine) pour terminer la post-installation, sinon nous étions bloqués. Une fois la procédure terminée, nous avons ajouté le domaine en nohost.me dans la page d’administration de yunohost, puis supprimé l’autre site qui ne nous sert plus à rien.

  3. problème avec les certificats pour le site en nohost.me
    L’accès sur la page du site en nohost.me, fait apparaître le joli message d’alerte relatifs aux certificats non conformes. La regénération du certificat pour le site en nohost.me via la page d’administration de yunohost.me, retourne un message “succès”. Mais le message d’alerte de sécurité pour certificat non conforme, reste tout de même présente. Nous n’arrivons pas à régler ce problème.

Nota: les réglages du routeurs sont corrects, ils sont identiques aux réglages qui laissaient fonctionner correctement yunohost sur la pi avant cette tentative de sauvegarde, réinstallation, restauration.

Suite aux échanges sur ce fil de discussions, la résolution à ces problèmes, est résumée dans le post n°36, dont voici la copie/collage:

1 Like

Salut,

je ne suis pas sur de tout suivre mais voila des éléments qui éclaireront peut-être :

problème avec la sauvegarde et restauration:
Nous avions fait une copie de la sauvegarde en plaçant la carte SD de la pi dans le PC et en lançant le navigateur de fichier en sudo. Mais, après la ré-installation, la sauvegarde n’est pas reconnue dans la page web d’aministration de yunohost.

Je ne suis pas sur de comprendre comment tu as fait la sauvegarde et comment tu espérais la restaurer ? Yunohost dispose d’un système de backup/restore, il faut donc créer l’archive de sauvegarde avec celui-ci. Soit via l’interface d’admin, soit via la ligne de commande. Malheureusement pour récupérer l’archive, actuellement il faut je crois manuellement aller la copier (à coup de scp, ou bien en allant la chercher par ex. avec nextcloud…).

problème avec l’installation du domaine en nohost.me
Nous avons procédé à la réinstallation complète sur la carte SD de la PI. Pendant la phase postinstallation, au moment du choix du domaine, nous avons voulu choisir le nom du domaine en nohost.me (qui fonctionnait très bien jusqu’alors, avec de jolis certificats letsencrypt), mais la procédure refusait catégoriquement ce choix. Nous avons du utiliser un autre nom (un sous domaine d’un autre domaine) pour terminer la post-installation, sinon nous étions bloqués. Une fois la procédure terminée, nous avons ajouté le domaine en nohost.me dans la page d’administration de yunohost, puis supprimé l’autre site qui ne nous sert plus à rien.

Oui, c’est une limitation actuelle des domaines en .nohost.me : si l’on veut le réutiliser suite à une réinstallation, il faut d’abord demander sa suppression sur ce thread : Nohost domain recovery - Suppression de domaine en nohost.me, noho.st et ynh.fr . Il y a une pull-request en attente depuis un moment pour ajouter un mot de passe de récupération lorsqu’on enregistre un domaine : [enh] Adding optionnal recovery password + delete interface using password by alexAubin · Pull Request #4 · YunoHost/dynette · GitHub (si tu veux tu peux aller dire “+1” pour que ca motive les gens à la reviewer ;))

problème avec les certificats pour le site en nohost.me
L’accès sur la page du site en nohost.me, fait apparaître le joli message d’alerte relatifs aux certificats non conformes. La regénération du certificat pour le site en nohost.me via la page d’administration de yunohost.me, retourne un message “succès”. Mais le message d’alerte de sécurité pour certificat non conforme, reste tout de même présente. Nous n’arrivons pas à régler ce problème.

Là je ne suis pas sur de te suivre… Mais c’est peut-être du au HSTS : si tu avais déjà accédé depuis ton navigateur à “l’ancienne installation” avec le certificat en Let’s Encrypt, alors ton navigateur peut refuser n’importe quel autre certificat car il pense que c’est une attaque (même is tu as regénéré le certificat). Tu peux tenter avec un autre navigateur et/ou sur une autre machine. Sinon, il faut surement demander à ton navigateur d’oublier l’ancien certificat, en allant dans les paramètres de sécurité avancé, gestion des certificats, puis un truc genre “Supprimer le certif pour tondomaine.nohost.me”.

Salut @CaptainSqrt2, et merci beaucoup pour ce petit bout de chemin numérique en partage avec l’univers intersidéral.

@CaptainSqrt2 a joliment tapoté des 0 et 1 en forme de textes suivants:

Je ne suis pas sur de comprendre comment tu as fait la sauvegarde

J’ai fait la sauvegarde comme tu l’indiques, avec le système de sauvegarde proposé dans les outils d’administration. Puis, j’ai retié la SD card de la RaspberriPI. Je l’ai lue sur mon PC (il tourne sous Ubuntu), en lançant le navigateur de fichier via la commande sudo nautilus pour qu’il accède au contenu de la carte SD en toute tranquilité dans le répertoire de la PI: /home/yunohost.backup.archives/
J’ai ensuite copié l’archive de sauvegarde sur mon PC.

et comment tu espérais la restaurer

Après la ré-installation sur la carte SD, j’ai fait la même manipulation, mais dans l’autre sens: j’ai copié la sauvegarde que j’avais stockée sur mon PC, dans le dossier de sauvegarde du yunohost réinstallé: /home/yunohost.backup.archives/
Je comptais la restaurer de cette façon, en l’activant via l’interface d’administration.

la copier (à coup de scp, ou bien en allant la chercher par ex. avec nextcloud…).

On m’a aussi parlé de la récupérer avec Fillezilla. Mais là, j’ai préféré passer par la lecture de la carte SD. je ne sais pas si cela a eut une incidence. Une question: Y-auait-il un petit tuto pour débutant quelque part à ce sujet ?

des domaines en .nohost.me : si l’on veut le réutiliser suite à une réinstallation, il faut d’abord demander sa suppression sur ce thread : Nohost domain recovery - Suppression de domaine en nohost.me, noho.st et ynh.fr .

Oh, merci beaucoup pour cette info. Cependant, juste pour vérifier: mon site en nohost.me a bien son adresse publique, cette addresse fonctionne, le site fonctionne, depuis l’extérieur et l’intérieur du réseau. Ce que je veux dire, c’est que si tu tapes son URL dans ton navigateur à toi (ou n’importe qui d’autre), cela pointe bien vers ma Pi, et vers le site. On peut y accéder, mais, avec un beau message d’alerte concernant le certificat. Dans l’installation précédente, nous avions réussi à installer un certificat letsencrypt selon la méthode décrite sur un wiki à la page “LaboM”, ce qui permettait de ne pas avoir ce message d’alerte. Dans la réinstallation, nous n’avons pas encore essayé cette méthode. Nous avons uniquement essayé la méthode consistant à utiliser l’interface d’administration: domaine → nomdedomaine → gérer les certificats “certificats SSL” , puis comme cela ne fonctionne pas, “regénérer le certificat”.
Donc, pour résumer: le site en nohost.me refonctionne, il pointe bien vers le site et la pi, mais … nous n’avons pas encore réussi à réinstaller la correpondance entre le certificat généré, et le serveur (enfin, je crois que c’est ça, mais je ne suis vraiment pas sûr).
Aussi: crois-tu qu’il me faille demander la suppression ?

il faut surement demander à ton navigateur d’oublier l’ancien certificat,

Hummm … quelque chose me chiffonne: je n’avais pas “accepté” le certificat avec le navigateur avec l’installation précédente. Je n’avais pas eu à le faire, car, grâce à la méthode LaboM, cela avait généré un joli certificat depuis la Pi, et donc, aucun navigateur n’avait à accepter le certificat, puisqu’il était “listé” par la toile.
À ce stade, nous nous demandons bien que faire, sauf éventuellement à retenter la méthode LaboM … ?

À moins, que, comme tu le dises, il ne soit nécessaire de demander auparavant, la suppression de ce domaine en nohost.me sur ce thread : Nohost domain recovery - Suppression de domaine en nohost.me, noho.st et ynh.fr

Oui, ça aurait du marcher… Qu’est-ce qui n’a pas marché exactement ? La sauvegarde n’était pas listé ? Est-ce que vous aviez garder aussi le .json qui portait le meme nom que l’archive en .tar.gz ?

Comme indiqué au tout début de la page que tu linkes, cette méthode est obsolète depuis la 2.5, il faut préférer installer/gérer les certificats directement avec la fonctionnalité intégrée directement dans Yunohost:

Oui, car c’est un certificat Let’s Encrypt, donc automatiquement reconnu (et accepté) par les navigateurs.

Maintenant, je ne suis pas sur que ce que je propose comme solution soit la bonne, car je ne suis pas sur de quel est le problème exactement … Est-ce que tu as moyen de copier-coller le message exacte que ton navigateur montre ? Ou une capture d’écran éventuellement… Est-ce que tu as essayé sur un autre navigateur / une autre machine ?

Oui, la sauvegarde n’était pas listée, et était indiquée comme comportant un problèe, je ne sais plus exactement les termes.

Non. Nous n’avions copié/collé que l’archive tar.gz sur la réinstallation.

Alors le message exact (j’ai remplacé le nom par nomdomaine):
Sous firefox est:
La connexion n’est pas sécurisée - Les propriétaires de nomdomaine.nohost.me ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s’est pas connecté à ce site web. En savoir plus… Signaler les erreurs similaires pour aider Mozilla à identifier et bloquer les sites malveillants

Et pour Chromium:
Votre connexion n'est pas privée - Il se peut que des pirates soient en train d'essayer de dérober vos informations sur le site nomdomaine.nohost.me (par exemple, des mots de passe, des messages ou des informations sur vos cartes de paiement). NET::ERR_CERT_AUTHORITY_INVALID

Du coup je pense que c’est ça le problème :confetti_ball: Désolé si c’était mal documenté…

Ok, ca peut aussi être du au fait que c’est un certificat auto-signé… Du coup, j’ai pas trop compris : est-ce que tu as bien réinstallé le domaine en .nohost.me sur la nouvelle instance ? Est-ce que tu as bien réinstallé le certif Let’s Encrypt sur ce domaine ?

Ce n’est pas grave … on progresse , on progresse, [quote=“CaptainSqrt2, post:6, topic:3059”]
est-ce que tu as bien réinstallé le domaine en .nohost.me sur la nouvelle instance
[/quote]

Oui, tout à fait. Le domaine est installé sur la nouvelle instance. Il est listé.

Alors, j’ai regénéré le certificat via l’interface d’administration, et l’interface me retourne (avec le nom de mon domaine, ici remplacé par nomdomaine):
Installation avec succès d’un certificat auto-signé pour le domaine nomdomaine.nohost.me !
Mais, j’ai aussi ce message:
Ce domaine ne semble pas prêt pour un certificat Let’s Encrypt. Veuillez vérifier votre configuration DNS et l’accessibilité de votre serveur HTTP.
Et le bouton “installer un certificat lets encrypt” est inopérant.
Par ailleurs, nous n’avons fait aucune manipulation pour installer un certificat letsencrypt sur la nouvelle instance.

Suppression, réactivation du site en nohost.me: j’ai fait la demande.

Ok donc il faut que tu réussisses à installer le certif Let’s Encrypt :wink:

En 2.5, il y a encore quelques problèmes où le serveur pense qu’il est mal configuré (c.f. le message où il demande de vérifier la config DNS et l’accessibilité en HTTP alors que ça semble ok).

Tu peux tenter d’ajouter cette ligne à ton /etc/hosts sur ton instance :

127.0.0.1 tondomaine.nohost.me

puis retenter l’install du certificat via l’interface web.

Si le bouton n’est toujours pas disponible, tu peux forcer une tentative d’install en ligne de commande avec :

yunohost domain cert-install tondomaine.nohost.me --no-checks

+1
AntoineC comme évoqué par mail, la suppression du domaine et sa re-création n’est pas une solution pour moi
plutot tester la solution proposée par CaptainSqrt2 car tu es sur une livebox qui ne sait pas faire de l’hairpinning

Oui, j’avais tenté, mais cela ne fonctionnait pas.

Cette commande entrée en étant connecté à la Pi via root, retourne une erreur:
Error: xxxxxxxxxx.nohost.me challenge did not pass: {u'status': u'invalid', u'validationRecord': [{u'addressesResolved': .../... Error: Certificate installation for xxxxxxx.nohost.me failed ! Exception: [Errno 22] Signing the new certificate failed

Et si on tentait, à ce stade de réinstaller avec la sauvegarde, puisque que j’ai le fichier jason avec moi, ainsi que l’archive tar.gz ? On pourrait voir ce que ça donne ? Non ? Comme tout cela est un test pour voir si on y arrive, on peut essayer ça pour voir ?

Oui, pourquoi pas. Après, je t’avoue que je ne connais pas très bien ce que fait le tuto que tu as suivi pour les certificats, donc je ne sais pas dans quel mesure ils seront renouvelé automatiquement et dans quelle mesure tu pourras installer des certifs pour d’autres domaines facilement… Mais tant que ça te convient c’est ce qui compte

Pour être exact: elle s’en foutait pas mal avec l’ancienne installation qui marchait au poils, mais elle nous fait douter maintenant que la nouvelle installation est présente … et comme elle arrivait à ne pas nous casser les pieds avec l’ancienne installation, alors, cette suspiçion sur les trucs dans la tête pourrait ne pas avoir cours, et ce serait un autre truc qui coincerai tous ces bytes dans les tuyaux … enfin … c’est ce que nous allons espérer en attendant … car si ça marchait alors cela devrait marcher de nouveau puisque la config de la livebox est la même …

Bonjour @AntoineC ,

Pour la sauvegarde/restauration, il y a quelques lignes de commandes dans ce “pour mémoire” :
http://avignu.wiki.tuxfamily.org/doku.php?id=documentation:yunohost-jessie-v2.5.x-rpi3b#pour_memoire
En espérant que cela puisse aider :slight_smile:

ppr

YunoHost n’est pas compatible avec debian stretch pour le moment.

Bonjour @ljf . Oui, merci beaucoup pour ce rappel aux cas où certaines personnes n’avaient pas encore lu ce post sur le fait que YunoHost n’est pas compatible avec debian stretch pour le moment. Cependant, il est aussi indiqué:

Si vous utilisez la Brique Internet,une installation sur un Raspberry Pi avec notre image, ou si vous avez installé avec notre ISO, ET que vous n’avez aucune application de la liste communautaire, alors la mise à jour de votre système ne devrait pas être problématique

Or, la ré-installation que nous expérimentons, se fait à partir des recommandations de la documentation yunohost officielle et son sous-contenu sur l’installation sur une raspberry proposant d’utiliser l’image ISO yunohost officielle pour raspberry. Nous utilisons cette image ISO. Nous n’installons pas d’applications de la liste communautaire. Nous ne faisons “pas une mise à jour”, mais une résinstallation complète en écrasant totalement jessie. Donc, “normalement”, cela devrait peut-être fonctionner.

Sinon, oui, une solution sage pourrait consister à réinstaller sous Jessie, c’est sans doute très juste comme suggestion. Merci !

Salut @ppr. Merci beaucoup pour ce rappel de lien, sur cette page très utile, en effet. Et comme indiqué, il y a aussi la page relative aux sauvegardes de Yunohost.

Il faut un peu - beaucoup :wink: - s’accrocher pour comprendre la partie “pour récupérer …” . Nous pourrions rendre cette petite partie un peu plus accessible pour les personnes béotiennes, nulles, ou archi-débutantes, peut-être en prenant un exemple et en remplaçant les données de l’exemple dans le code … Si j’ai le temps, j’essayerais de proposer un truc dans ce sens … (futur).

Cependant, cela permet de savoir comment faire une sauvegarde de son yunohost, et comment déplacer cette sauvegarde sur un autre support, et comment la déplacer d’un autre support vers son yunohost. Merci beaucoup.

Manque de veine, je ne retrouve plus la sauvegarde. J’ai du faire un rm intempestif.

Et bien, en suivant ce tutoriel LaboM, oui, les certificats sont bels et bien générés, et renouvellés automatiquement. Personnellement, je préférais agir manuellement pour les renouvellements en utilisant la commande indiquée en bas de la section de ce tuto sudo certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start" selon les indications du site certbot en la matière de renouvellement de certificats

La “mise à jour” dont il est question à la fin de cette phrase est celle faite avec apt-get upgrade (ou dist-upgrade) ou yunohost tools postinstall (i.e. aucune de ces manips ne mettent à jour de jessie vers stretch, elles mettent juste à jour les paquets disponibles sous jessie.).

Donc encore une fois, Yunohost n’est pas compatible avec Stretch. Peu importe que tu refasses une réinstallation complète, si tu part avec du Stretch, Yunohost (et probablement tout ton système du coup) ne marchera pas correctement.

Merci CaptainSqrt2 pour cette précision. Cependant, puis-je te poser la question suivante: est-ce tu sais si l’image ISO proposée actuellement par Yunohost pour raspberry, met en jeu debian Stretch ou Jessie ?

Elle est basée sur Jessie, sinon ca voudrait dire que Yunohost supporte Stretch :confused: