voxdemonix a écrit 914 commentaires

Vu que tantôt ca avait l'air d'avoir l'effet escompté en lancant umask 007 avant de créer des fichiers : je tente de forcer l'umask de www-data afin de refaire le test.
Mais actuellement PAS MOYEN.
J'ai édité /etc/profile, /etc/init.d/apache2 et /etc/apache2/envvars puis reboot, rien n'y fait 😭

oui, mais je n'appellerais pas ça du forçage, c'est modifier les permissions par défaut pour les nouveaux fichiers. Il y a toujours un umask.

Je suppose donc qu'il est obligatoire de passer par les ACL expliquées brièvement plus haut?

Donc si je résume :
-umask côté serveur pour "ne pas interdire" des permissions
-acl côté serveur pour forcer les bonnes permissions
-acl côté client pour forcer les bonnes permissions
?

Ca avance grâce a toi, merci :)

Si tu as assez d'espace disque sur ClusterOne, tu peux tenter démonter la partition sshfs et vérifier avec quels droits ton utilisateur créé les fichiers.

Je dois passer par la ligne de commande, si je démonte la partition ZoneMinder ne retrouve plus ses jeunes.

Sur le client

root@ClusterOne:/tmp# sudo -u www-data touch /media/storage_SSHFS/from_sshfs_by_www-data_user.test

root@ClusterOne:/tmp# ls -l /media/storage_SSHFS/
total 12
-rw-r----- 1     1002 www-data   0 sep 10 14:41 from_sshfs_by_www-data_user.test

root@ClusterOne:/tmp# sudo -u www-data touch /var/www/html/local_file_from_www-data.test

root@ClusterOne:/tmp# ls -l /var/www/html/local_file_from_www-data.test
-rw-r----- 1 www-data www-data 0 sep 10 14:43 /var/www/html/local_file_from_www-data.test

Sur le serveur

root@machine:/# ls -l /media/ssd/folder/
total 0
-rw-r----- 1 www-data-sshfs www-data   0 Sep 10 14:41 from_sshfs_by_www-data_user.test

Il semble donc falloir aussi forcer le umask de www-data sur le client (j'ai déjà tenté vainement sur le serveur).
C'est fort contre-intuitif.

Qu'est ce que ça donne si tu changes le umask de root avant de faire le touch sur la partition sshfs ?

Les permissions semblent bonne.

Sur le client

root@ClusterOne:/tmp# umask 007

root@ClusterOne:/tmp# touch /media/storage_SSHFS/from_sshfs_without_chmod.test

root@ClusterOne:/tmp# mkdir /media/storage_SSHFS/test

root@ClusterOne:/tmp# touch /media/storage_SSHFS/test/from_sshfs_without_chmod.test

Sur le serveur

root@machine:/# ls -l /media/ssd/folder/
total 0
-rw-rw---- 1 www-data-sshfs www-data   0 Sep 10 14:25 from_sshfs_without_chmod.test
drwxrws--- 1 www-data-sshfs www-data  58 Sep 10 14:28 test

root@machine:/# ls -l /media/ssd/folder/test
total 0
-rw-rw---- 1 www-data-sshfs www-data 0 Sep 10 14:28 from_sshfs_without_chmod.test

J'ai tenté de forcer le umask sur le client en modifiant /etc/profile pour ajouter umask 007 mais même après reboot cela ne change rien.

Ta remarque semble juste d'après ce test :

Sur le client sshfs

root@ClusterOne:/home/# cd /tmp

root@ClusterOne:/tmp# touch from_sshfs.test

root@ClusterOne:/tmp# ls -l from_sshfs.test 
-rw-r--r-- 1 root root 0 sep 10 13:46 from_sshfs.test

root@ClusterOne:/tmp# chmod 770 from_sshfs.test 

root@ClusterOne:/tmp# ls -l from_sshfs.test 
-rwxrwx--- 1 root root 0 sep 10 13:46 from_sshfs.test

root@v:/tmp# mv ./from_sshfs.test /media/storage_SSHFS/
mv: failed to preserve ownership for '/media/storage_SSHFS/from_sshfs.test': Permission denied

root@ClusterOne:/tmp# touch /media/storage_SSHFS/from_sshfs_without_chmod.test

root@ClusterOne:/tmp# ls -l /media/storage_SSHFS/
total 12
-rwxrwx--- 1     1002 www-data   0 sep 10 13:48 from_sshfs.test
-rwxrwx--- 1     1002 www-data   0 sep 10 13:50 from_sshfs_without_chmod.test

(on remarquera que fuse signale des droits identiques)

Sur le serveur :

root@machine:/home/# ls -l /media/ssd/folder/
-rwxrwx--- 1 www-data-sshfs www-data   0 Sep 10 13:48 from_sshfs.test
-rw-r----- 1 www-data-sshfs www-data   0 Sep 10 13:50 from_sshfs_without_chmod.test

A noter que mon script de montage a déjà -o umask=0007, comment je peux forcer ce droit (c'est root qui s'occupe du montage)?

Plus globalement, vu que tu as trois sources potentielles de nouveaux fichiers dans tes répertoires, ça sera plus simple si tu découpes ton problème en trois questions distinctes, et que tu debug ta config en les prenant une par une.

C'est déjà se que je tente :)
Actuellement je tente de partager un dossier pour www-data et www-data-remote (dédié a sshfs), le troisième user (www-data-backup) se débrouille pour le moment avec sa rustine (cron qui chmod/chown toutes les deux minutes).
Précisément voici l'origine du problème : [Retour] Test - Migration Zoneminder Server from X64 to ARM without break

Donc si le droit w n'est pas présent pour le groupe sur le fichier avant le transfert par sftp, il n'y sera toujours pas après.

Tu parles du fichiers local avant d'être envoyé sur le remote storage? Pourtant il me semble avoir lu que l'umask côté client, pour sshfs, n'était qu'une simulation de fuse qui n'avait rien a voir avec la réalité.
Toujours est-il que j'ai tenté

mount /media/storage -o umask=0007

Mais cela n'avait l'air d'avoir aucun effet.

Merci pour tes détails :)

Vu les besoins décrits, c'est effectivement probablement suffisant (modulo le problème d'umask). Alternativement, il est possible de positionner des ACL au niveau du système de fichiers (si les outils sont installés — paquet acl sous Debian — et si l'option est activée sur le système de fichiers — acl dans /etc/fstab) si on n'a pas la possibilité de régler le problème d'umask. Mais cela sous-entend de savoir reconnaître que des ACL sont positionnées, et comment les consulter/modifier (chacl, getfacl, setfacl). Flexibilité++ mais complexité++… ;)

Je n'ai pas encore testé cette piste qui me fait un peu peur (de break mes services).
Y a-t-il un risque à installer les paquets nécéssaire ou bien rien ne se passe tant que je ne vais pas moi-même éditer le /etc/fstab ?

Quand j'aurai enfin réussi a résoudre le soucis de ce thread, j'ouvrirai un tuto sur la création de cluster web histoire que les suivants évitent cette galère :)

Alors j'ai tenté de forcer l'umask pour www-data en éditant /etc/init.d/apache2 et /etc/apache2/envvars afin d'y ajouter umask 0007 (j'ai aussi testé avec 007).

root@machine:/# ls -l /media/ssd/folder/from_www-data.test
-rw-r--r-- 1 www-data www-data   0 Sep 10 12:47 /media/ssd/folder/from_www-data.test

A noter que hier pendant un moment j'ai eu des fichiers créé en drwxrws--- mais dont les fichiers créé par www-data dedans se retrouvaient a nouveau avec rw-r--r--.

Pour SSHFS, j'ai ajouté umask 0007 dans le /home/www-data-remote/.profile, /etc/profile et ai édité /etc/ssh/sshd_config

afin de faire remplacer

Subsystem sftp /usr/lib/openssh/sftp-server

par

Subsystem sftp /usr/lib/openssh/sftp-server -u 0007

Résultat:

-rw-r----- 1 www-data-remote www-data   0 Sep 10 12:43 from_sshfs.test

Mais rien n'y fait, après avoir eu très temporairement un comportement qui semblait proche de celui escompté, je n'ai de nouveau plus que des fichiers en rw-r--r--.

umask est définitif ou sa respawn a chaque reboot? (je pense pas qu'il y aille de .profile pour les utilisateurs sans home)

Je pense tester avec umask u+rwx,g+rwx,o-rwx je retirerai l’exécution si elle n'est pas nécessaire pour les scripts php.

Merci pour les infos :)

L'équivalent du chmod 770 est donc umask 007, sauf qu'il agira au niveau utilisateur ? (en se basant sur wiki)
Un peu flippant la commande ^ ^ (si ça foire ça va provoquer une cascade ^ ^ )

Lorsque www-data-remote crée un dossier, les fichiers se retrouvent avec comme droit

drwxr-sr-x 1 www-data-remote www-data

Se qui provoque un permission denied pour www-data.

Je bloque sur le point 3.

La pour le test j'ai usermod -G user1,user2,user3 userX pour chaque utilisateur et j'ai encore des permission denied en série.

Ce sera moi !
Et ma première action, en tant que votre nouvelle divinité incontestée, sera de faire entièrement recoder Linux en Wallon, ainsi qu'abandonner Python au profit de Windev !

Si tu as vraiment testé et que la situation est avérée, alors on peut en déduire qu'OpenVPN ne push que des DNS primaire et qu'il réparti ensuite les requêtes dessus.
La question étant "Peut-il injecter un DNS secondaire ou uniquement des primaires". (google à plus tôt l'air d'indiquer que c'est le second cas de figure, rajoutant un énième défaut a ce logiciel)

(si vous utilisez HaProxy, vous pouvez déplacer les deux lignes de paramètres concernant la redirection http=>https depuis votre backend vers vos frontends)

Ptite erreur, c'est "depuis votre paragraphe backend vers vos paragraphes frontend".
Un exemple sera fourni dans le wiki.

Après tests sur plusieurs Android, Windows et Ubuntu, ça fonctionne.

Juste parfois un client qui choisit d'utiliser le DNS secondaire plus tôt que primaire durant une ou deux requêtes. (Se qui peut casser un éventuelle streaming vidéos)

Après, peut être que je ne comprends pas le terme "cluster" comme vous l'entendez.

De souvenir, je ne pouvais pas faire pareil avec PostGreSQL qu'avec Galera Cluster (un serveur multi-maitre (répartition de charge) avec Haute-Disponibilité (si un serveur pète ça continue de just work) et éventuellement la possibilité d'ajouter un arbitre).
De tête, pour faire pareil, il fallait ajouter des add-on a PostGreSQL. Les dits modules ne fonctionnant pas sur ARM (mais bon, a l'époque Galera Cluster et MySQL Cluster n'aimaient pas ARM non plus).

Avec OpenVPN c'est ultra simple :
ça se résume a ajouter deux push nameserver dans le fichier de conf du serveur, un push vers le rogue DNS isolé du net et un push vers le DNS de google.

L’erreur ne doit donc pas être dans la configuration réseau, mais à la ligne 7 du script captive_alternative.bash.

Gros merci pour ton retour, l'erreur est corrigé.

Pour l'anecdote, il est OBLIGATOIRE que le serveur puisse accepter les connexions en HTTP (sans S). (si vous utilisez HaProxy, vous pouvez déplacer les deux lignes de paramètres concernant la redirection http=>https depuis votre backend vers vos frontends)

Il semble aussi fonctionner pour remplacer http://detectportal.firefox.com/success.txt

j’avais déjà un nginx sous la main et n’ai donc pas utilisé le script indiqué sur la page wiki

J'ai volontairement privilégié netcat vs apache2/nginx pour diminuer l'impact machine. (ainsi que la configuration)

Sur certains routeurs (BBOX de Proximus entre autre), tu peux pusher les serveurs DNS primaire et secondaire aux clients.
Tu dois donc pouvoir, en théorie, depuis le wifi de ton RPI faire pareil. Et donc pusher le primaire vers dnschef sur ton RPI et le secondaire vers un publique.
Ainsi :

• quand un client interroge www.tonSite.com, il est renvoyé par DNSChef sur ton serveur

• quand un client interroge www.google.com, il reçoit un timeout de DNSChef et interroge le serveur DNS secondaire.

Par contre ce n'est pas noël : des bugs peuvent apparaitre (du genre parfois le client DNS tentera de résoudre www.tonSite.com depuis ton DNS secondaire)

J'ai regardé je ne comprend pas bien à quelle problématique répond le tuto que tu as mis en lien, si tu peux détailler le cas d'utilisation.

Tu as dis avoir besoin que ton serveur soit joignable via un nom de domaine (très probablement pour respecter les vhost d'apache2).
DNSChef est un rogue DNS (aussi appelé "serveur DNS menteur"). C'est a dire qu'il te permet de dire (lorsqu'un client DNS l’interroge) que www.tonSite.com se trouve à l'adresse 192.168.42.42 et ce peu importe se que les "vrai" serveur DNS répondraient.
Donc si tu le configure "au dessus" de dnsmasq, quand tes users vont se connecter et taper www.tonSite.com dans leur navigateur, leur machine va joindre ton serveur ou toute autre IP que tu auras indiqué.
Dans ton cas il faut configurer ton wifi pour que tes clients interrogent DNSChef et non dnsmasq.

Ce n'est pas un problème spécifique aux smartphones. Avec un PC je peux reproduire la même problématique :

Le pc te permet d'utiliser autant de carte réseau que tu veux, même d'en créer. A toi ensuite de gérer, via les "route" par où doivent transiter les paquets.
Dans un shell tapes route -n pour les afficher.

Le WIFI sur lequel je me connecte qui est sur la raspberry ne donne pas d'accès Internet. Donc en théorie Android devrait pouvoir garder sa connectivité Internet par la data.

Ce n'est pas se que j'ai observé sur les machines connectées à mon réseau. (on en discute en ce moment ici).

La problématique est que si j'active sur le smartphone simultanément internet en 3G et le WIFI pour la raspberry le comportement est aléatoire.

Quand tu es connecté au wifi, ton smartphone reste connecté à la 3G? (normalement quand tu switch sur wifi, android coupe auto la "data" 3G/4G/5G)

mon site example.local n'est pas accessible car le DNS internet n'arrive pas à le résoudre.

Tu peux suivre ce tuto : [Tuto/HowTo] Mettre en place un serveur DNS aux noms de domaines parametrable (Rogue DNS) (la section concernant dnschef uniquement, tu n'as pas besoin de bind9)

Je ne suis pas un utilisateur de PostGreSQL donc mon avis vaut se qu'il vaut.
Il y a quelques mois mon défi s'était les databases clusters et PostGreSQL était second dans ma liste.
Il s'est avéré que le module de cluster n'était pas encore intégré (il est sorti il y a 3-4 mois il me semble), ultra difficile à mettre en place (*1) et ne disposant pas encore des capacité de Galera Cluster ou MySQL Cluster.
Je ne n'ai pas suivis l'avancée depuis.

Si tu réussi a mettre en place un Cluster PostGreSQL capable de faire, avec stabilité, de la synchro asynchrone et de la Haute Dispo : n'hésites pas a en faire un retour détaillé, j'en referai un tuto :)

*1 et ce malgré l'aide que je recevais (live twitch) de dev et sysadmin qui eux utilisent PostGreSQL en monoserveur tout les jours.

Merci pour ton retour. 😉

ne vaut il mieux pas changer les réglages du téléphone que de rediriger via le DNS tous les services connus de détection de portail captif vers un serveur local ?

C'est plus propre a échelle personnelle, mais n'aura pas d'effet sur les invités.
Dans le premier lien que tu partage: sont-ce des commandes a employer dans le terminal ?
Quid après un reboot ?

je ne serais pas surpris qu’Android refuse explicitement les adresses privées

C'est le plus probable.

Si quelqu'un dispose d'un peu de motivation et d'une passerelle permettant d'analyser le trafic réseau:
J'aurais besoin d'infos (*1) afin de comprendre "pourquoi, lorsque le serveur captive.apple.com est sur le même LAN, avec Android 7 ou +, le smartphone renvoi vers une page de portail de connexion?".
Ceci afin de terminer la procédure de mise en place d'une alternative.

Merci ;)

*1 au pire simplement un fichier .pcap contenant en brute les infos.