Je vais commencer par exposer le contexte pour ensuite poser ma question.
Mon yunohost fait une sauvegarde tous les jours en utilisant un script qui fait appel a la moulinette.
Pour que cette sauvegarde soit faite sur mon NAS j’ai monter le repertoire /home/yunohost.backup/archives sur celui-ci.
Afin de verifier le bon fonctionnement du systeme et plus particulierement le bon fonctionnement de la sauvegarde, mon serveur est supervisé par zabbix grace a l’agent installé. Pour cette verification l’agent va lire le contenu du repertoire /home/yunohost.backup/archives et verifier que les fichiers attendu sont bien présent.
il effectue ces verifications avec son propre user “zabbix”
Pour des raisons de securité le systeme est mis a jour automatiquement tous les mercredis a l’aide d’un playbook ansible.
Mon probleme est le suivant:
Lorsque yunohost est mis a jour avec la moulinette il remet les droits par defaut des repertoires yunohost.backup et archives en: drwxr-x--- admin:root
Cela empeche le user “zabbix” de lire le contenu du repertoire.
Pour resoudre ce probleme j’ai ajouté une modification des droits o+rx a la fin du script de mise a jour pour les repertoires yunohost.backup et archives
Auriez vous une solution plus permanente et élégante pour cela, sachant que je ne souhaite pas ajouter “zabbix” au groupe “root” pour des raisons évidentes.
Bonjour,
Arrête moi tout de suite si je suis hors sujet car je ne maîtrise pas tout ce que tu décris, à savoir Ansible, la moulinette, zabbix…
Pour ce genre de chose, je passe par les ACL plutôt que de changer les droits/propriétaires par défaut. Je ne sais pas si la mise à jour va écraser ceux-ci mais je ne pense pas à priori car ce dossier n’as pas d’ACL de défini par défaut dans Yunohost. En tout cas c’est une piste à suivre ou au moins à tester.
Bonne nouvelle et mauvaise nouvelle.
les ACL ne sont pas écrasé par yunohost lors d’une mise a jour.
Je ne peut pas mettre d’ACL sur le repertoire archive car c’est un point de montage NFS:
setfacl -m u:zabbix:rx archives/
setfacl: archives/: Opération non supportée
Malheureusement je n’ai rien trouvé de probant pour resoudre ce probleme…
Est-ce que quelqu’un aurait de l’expérience sur sur la gestion des ACL et les partages NFS? Parce qu’entre les ACL posix/nfsv4 plus la partie NFS je suis completement perdu.
Je n’y connais rien concernant nfsv4 mais de ce que je comprends, il faudrait l’utiliser de la façon suivante:
nfs4_setfacl -R -a A:df:id_de_zabbix:RX archives
Ceci sans certitudes car je n’ai fais que lire une page ou 2 glanées sur le net, tu as certainement dû trouver les mêmes infos.
Les points dont je ne suis pas sûr, l’option -a (ajout d’un ACE) me parait la plus appropriée. Ou faut-il plutôt utiliser -m (modify ACE) comme pour les ACL posix?
df si j’ai bien compris c’est pour ajouter les ACL pour tous les fichiers et sous-dossiers nouvellement crées dans le répertoire archives.
J’ai pas mal cherché hier et je ne pense pas que cela va fonctionner. Dans l’absolu ce serait possible mais on part avec tellement de handicaps ici que sa ne vaut pas le coup je pense. deja les ACL en nfsv4 ne sont pas installé sur yunohost ce qui m’obligerais a l’installer, sachant que je n’ai pas trop envie d’ajouter des paquets qui auront un impact sur le systeme…
De plus je serais obligé de tenter les ACL en nfsv4 car mon nas (TrueNas) utilise ce type d’ACL et la encore j’ai peu d’espoir que l’implementation freebsd de ACL+NFS fonctionne convenablement avec celles d’une debian…
En bref, je ne pense pas retenir cette solution mais merci quand meme pour la suggestion car elle était pertinente au final et en plus j’ai appris pas mal de choses sur les ACL unix/linux