Admins

Concernant molly-guard :

- le man dit : Before molly-guard invokes the real command, all scripts in /etc/molly-guard/run.d/ have to run and exit successfully; else, it aborts the command.

- le script /etc/molly-guard/run.d/10-print-message parcourt tous les fichiers présents dans /etc/molly-guard/messages.d et fait un cat dessus

Une solution simple est donc de mettre un fichier /etc/molly-guard/messages.d contenant le message d'alerte.

Une solution plus poussée serait d'ajouter un script dans /etc/molly-guard/run.d/ qui affiche le message d'alerte et demande confirmation de lecture du texte à la personne qui a lancé molly-guard.

A première vue ça ne fonctionne pas. :)

(April) root@guarana:~# cat /etc/molly-guard/messages.d/bling
blang
(April) root@guarana:~# reboot
W: molly-guard: SSH session detected!
Please type in hostname of the machine to reboot: ^C
Good thing I asked; I won't reboot guarana ...

Ha en fait il cat les fichiers dont le nom correspond au nom d'appel de la commande.

Premier test sur Guarana :

===================== ATTENTION !! ======================

Vous êtes sur le point de rebooter Guarana, la passerelle
du local de l'April.

Avant de procéder, veuillez svp ouvrir la page
https://admin.april.org/dokuwiki/doku.php?id=sysadm:redemarrer_guarana
et vérifier que vous suivez les points de la procédure
de redémarrage.

En particulier, assurez vous que quelqu'un de qualifié
est disponible au local pour intervenir en cas de besoin.
=========================================================

PoluX[1]_    madix: tu as eu le msg molly-guard ? ça te va ?
madix    PoluX[1]_: le message me paraît bien
mais je ne l'avais pas vu :)
pebkac, d'où ma suggestion « Une solution plus poussée serait d'ajouter un script dans /etc/molly-guard/run.d/ qui affiche le message d'alerte et demande confirmation de lecture du texte à la personne qui a lancé molly-guard. » :)
le pb est surtout qu'on connaît molly-guard et qu'on sait qu'on doit juste taper le nom de la machine :)
PoluX[1]_    madix: oui on peut effectivement faire ça
en plus ça permettra de mettre de la couleur :)
madix    PoluX[1]_: il faut tenir compte du facteur humain malheureusement
en plus, je ne l'avais vraiment pas vu, j'avais bien vu un défilement mais comme j'avais faim j'ai tapé directement guarana
PoluX[1]_    mais comme j'avais faim j'ai tapé directement guarana <-- donc l'entrée à taper ne doit ni être guarana ni « rien » :)
on peut faire un truc du genre « prouvez que vous avez lu ce message en tapant $(pwgen 4 1) »
PoluX[1]_: ça me paraît bien :)
PoluX[1]_    ok on fera ça

J'ai commit ce script :

(April) root@guarana:/etc/molly-guard/run.d# cat 05-april-message 
#!/bin/sh
#
# 05-april-message - molly-guard enforced for hypervisors
#
# Copyright © François Poulain
# Released under the terms of the LPRAB License
# http://sam.zoy.org/lprab/
#
# Try to force user to follow reboot procedure.
#
set -eu

HOSTNAME=$(hostname -s)
PASS=$(pwgen 4 1)

echo "\e[31m===================== ATTENTION !! ======================" 
echo "" 
echo "Vous êtes sur le point de rebooter \e[33m$HOSTNAME\e[31m." 
echo "" 
echo "Il s'agit d'un hyperviseur qui requiert une attention particulière." 
echo "" 
echo "Avant de procéder, veuillez svp ouvrir la page" 
echo "\e[33mhttps://admin.april.org/dokuwiki/doku.php?id=sysadm:redemarrer_$HOSTNAME\e[31m" 
echo "et vérifier que vous suivez les points de la procédure" 
echo "de redémarrage." 
echo "" 
echo "En particulier, assurez vous que quelqu'un de qualifié est" 
echo "disponible pour intervenir physiquement en cas de besoin." 
echo "" 
echo "Pour continuer la procédure de reboot, saisissez $PASS" 
echo "=========================================================\e[39m" 
echo "" 

sigh()
{
  echo "\e[33mCe n'est pas ce $MOLLYGUARD_CMD là que vous recherchez.\e[39m" 
  exit 1
}

echo -n "Saisissez le mot de passe : " 
read USER_PASS || :

[ "$USER_PASS" = "$PASS" ] || sigh

J'ai commit https://admin.april.org/dokuwiki/doku.php?id=sysadm:redemarrer_galanga et amendé https://admin.april.org/dokuwiki/doku.php?id=sysadm:redemarrer_guarana

Pour virola et calamus c'est bien rôdé.