Orwell a écrit 100 commentaires

Merci à tous pour vos réponses.
Désolé de ne pas avoir répondu plus tôt.
Je vais tester la solution d'un frontend tcp en 25 et d'un backend tcp en 587.

Ok, c'est très clair.
Merci

Ok mais je n'ai pas bien compris quel est le standard et qu'est-ce qui pose problème avec les noms en .local.

Sauf erreur de ma part ce n'est pas un nom de domaine public. Alors pourquoi serait il déconseillé de l'utiliser à usage privé?

Si quelqu'un peut vulgariser pour moi sans me renvoyer à une RFC encyclopédique et de surcroit en anglais.

Et désolé je viens de monde MS (mais je ne prends pas partie).

Merci pour vos explications

Hello,

Merci de vos réponses.
Finalement j'ai pu observer que le problème ne se produit qu'en VPNSSL.
J'utilise le VPNSSL intégré à mes Firewalls (Fortinet forticlient) et quand je suis connecté avec forticlient depuis un poste Linux la résolution dns des noms en .local ne fonctionne pas.
Je vais ouvrir un ticket chez l'éditeur.

Merci encore pour votre aide

ok merci je vais tester.
Comment fait on ça sur ubuntu ?

Voici le résultat des commandes host web0.mydomain.local et nslookup web0.mydomain.local

user@cheick-HP-ProBook-430-G7:~$ host web0.mydomain.local
    Host web0.mydomain.local not found: 3(NXDOMAIN)

user@HP-ProBook-430-G7:~$ nslookup web0.domain.local
Server:     ::1
Address:    ::1#53
server can't find web0.mydomain.local: NXDOMAIN
user@HP-ProBook-430-G7:~$

et le contenu du fichier /etc/resolv.conf

# This file is managed by man:systemd-resolved(8). Do not edit.
#
# This is a dynamic resolv.conf file for connecting local clients to the
# internal DNS stub resolver of systemd-resolved. This file lists all
# configured search domains.
#
# Run "resolvectl status" to see details about the uplink DNS servers
# currently in use.
#
# Third party programs must not access this file directly, but only through the
# symlink at /etc/resolv.conf. To manage man:resolv.conf(5) in a different way,
# replace this symlink by a static file or a different symlink.
#
# See man:systemd-resolved.service(8) for details about the supported modes of
# operation for /etc/resolv.conf.
nameserver 127.0.0.53
options edns0 trust-ad

C'est fait.
Merci bcp. Ca focntionne.

Hello,

En effet, je viens de découvrir que ce filesystem était monté sur un autre serveur Linux mais cette fois en CIFS.
J'ai aussi appris que ce filesystem et les sous dossiers yyyy_ww sont utilisés par au un autre script qui si le dossier n'est pas présent le créé.
C'est juste sur le serveur où le FS est monté en CIFS que le deuxième script s'exécute.
Après modification du fstab pour le monter en nfs plutôt qu'en CIFS et chown/chgrp au profit du user www-data tout est rentré dans l'ordre.

Merci à tous pour votre aide

Merci Flavien.

Je ne suis pas un grand unixien, mes connaissances sont limités en la matière.

C'est quoi les donnés smart ?

Merci de ton aide.

Hello,

J'ai finalement trouvé comment faire.
il fallait indiquer dans les lignes concernées du /etc/fstab le uid et le gid du user et du group www-data.

//192.168.93.50/prod/in /mnt/cifs/stream/in cifs credentials=/etc/cifs/.wincredentials,uid=33,gid=33,iocharset=utf8
//192.168.93.50/prod/out /mnt/cifs/stream/out cifs credentials=/etc/cifs/.wincredentials,uid=33,gid=33,iocharset=utf8

J'ai finalement réussi à faire du multipipeline.

Mais merci pour ta réponse.
Je ne savais pas comment faire avant des services systemd avant.
Désormais c'est bon.

Merci

J'ai réussi à faire du multipeline à l'aide de la doc que tu m'as fourni.
Merci.

Bonjour,

Je viens de me rendre compte que c'était une erreur de ma part.
J'avais précédement configuré des VIP de test sur mon FW.
J'ai ensuite réatribué ces mêmes IP à mes hosts ubuntu persuadé que j'avais supprimé les VIP de test de mon FW.
Il y avait donc des conflits IP.

Désolé de vous avoir sollicité sans avoir checké les basics et merci pour votre aide.

Bonne journée

Ok merci beaucoup.
Effectivement s'il faut installer la machinerie php pour que le script s’exécute en permanence il vaut mieux que je passe par le cron.

Merci walter.
Je n'y avais pas pensé.
J'attends quand même de voir la solution de Xulops pour l’impersonation www-data par curiosité.

Hello,

Merci Xulops.
J'ai bien compris le principe.
Par contre comment faire pour que le script s’exécute en tant que www-data ?
J'imagine qu'un script /etc/init.d/ linké dans /etc/rc2.d s’exécute avec des droits root même si l'utilisateur root n'est pas loggé?
Est-ce que donc dans le toto.sh il est raisonnable d'appeler titi.php avec un commande sudo -u www-data?

Y a t'il une autre façon de faire plus propre ?

Merci

Merci beaucoup à vous tous pour vos réponses.
Je vais voir ce que donne FirewallBuilder.

Bonne journée

Merci à vous tous

J'ai finalement trouvé une autre solution en construisant un conteneur à partir d'une image ubuntu.
```
FROM ubuntu:18.04

Apache ENVs

ENV APACHE_RUN_USER www-data
ENV APACHE_RUN_GROUP www-data
ENV APACHE_SERVER_NAME web.monsite.fr
ENV APACHE_SERVER_ADMIN moi@monsite.fr
ENV APACHE_SSL_CERTS /var/www/ssl/wildcardem.cert
ENV APACHE_SSL_PRIVATE /var/www/ssl/private.key
ENV APACHE_SSL_PORT 443
ENV APACHE_LOG_LEVEL info
ENV APACHE_SSL_LOG_LEVEL info
ENV APACHE_SSL_VERIFY_CLIENT optional
ENV APACHE_HTTP_PROTOCOLS http/1.1
ENV APPLICATION_URL https://${APACHE_SERVER_NAME}:${APACHE_SSL_PORT}

Install services, packages and do cleanup

RUN apt update \
&& apt install -y apache2 \
&& apt install -y curl \
&& apt install -y python3-pip \
&& apt install -y git \
&& rm -rf /var/lib/apt/lists/*

RUN rm -rf /etc/apache2/sites-available/000-default.conf

RUN a2enmod ssl \
&& a2enmod headers \
&& a2enmod rewrite \
&& a2dismod mpm_prefork \
&& a2dismod mpm_event \
&& a2enmod mpm_worker \
&& a2enmod proxy_fcgi \
&& a2enmod http2 \
&& a2enmod proxy \
&& a2enmod proxy_http \
&& a2enmod remoteip \
&& a2ensite default-ssl

RUN chown -R www-data:www-data /var/www/
RUN mkdir /var/www/ssl/

RUN chown -R www-data:www-data /var/www/ssl
RUN chown -R www-data:www-data /var/www/html

COPY ./vhostem /etc/apache2/sites-available/httpd.conf
COPY ./content/ /var/www/html/
COPY ./ssl/ /var/www/ssl/

EXPOSE ${APACHE_SSL_PORT}

CMD ["/usr/sbin/apache2ctl", "-DFOREGROUND"]
```

Merci beaucoup pour votre aide

Merci Marc
Voici le resultat, toujours pareil.

root@test-www-1:~# docker run --rm -p 4443:443 -it --name sitedown maintenance:0.1
no listening sockets available, shutting down
AH00015: Unable to open logs

J'ai essayé d'ajouter une directive EXPOSE 443 dans mon docker file mais rien n'y fait.

Voici ce qu'il me dit maintenant.

root@test-www-1:~/docker/maintenance# docker run --rm -p 443:443 -it --name sitedown maintenance:0.1
no listening sockets available, shutting down
AH00015: Unable to open logs

C'est étrange car j'ai fait un netstat -tulpn pour voir si le port 443 était déjà occupé mais il ne l'est pas.

Ah d'accord, tu veux dire modifier la directive Load module en pointant le bon emplacement ?
Merci bcp.

Merci pour vos réponses.

En effet la commande de Marc > docker run --rm -p 443:443 it --name sitedown maintenance
permet de voir les logs apache.

J'ai modifié mon vhost de la façon suivante car au début l'erreur était un truc du genre module NPM not loaded

_<VirtualHost *:443>
   ServerAlias *.monsite.fr
   DocumentRoot /usr/local/apache2/htdocs/
   SSLCertificateFile /var/www/ssl/wildcardem.cert
   SSLCertificateKeyFile /var/www/ssl/private.key
</VirtualHost>

LoadModule mpm_event_module modules/mod_mpm_event.so
LoadModule ssl_module /usr/lib64/apache2-prefork/mod_ssl.so_

Désormais l'erreur est

httpd: Syntax error on line 9 of /usr/local/apache2/conf/httpd.conf: Cannot load /usr/lib64/apache2-prefork/mod_ssl.so into server: /usr/lib64/apache2-prefork/mod_ssl.so: cannot open shared object file: No such file or directory

Connaissez vous un docker avec un config apache SSL directement exploitable?
Ou avez vous une solution simple pour corriger ce pb et faire ne sorte que ça fonctionne?

Merci

Ok merci.
Désormais c'est tout à fait clair.

ok merci.

Dans ce cas comment indique t-on à un runner qu'il est le principal ou un secondaire ?

Merci Marc,

Là c'est un peu plus clair.
Ce que tu appelles le gitlab-runner principal c'est l'instance gitlab (giltlab server ou gitlab.com) qui contrôle les gitlab runner esclave n'est-ce pas ?