Project

General

Profile

Anomalie #4523

Mumble-web cassé

Added by Christian P. Momon about 2 years ago. Updated about 2 years ago.

Status:
Fermé
Priority:
Élevée
Assignee:
Christian P. Momon
Category:
-
Target version:
Start date:
06/01/2020
Due date:
% Done:

0%

Estimated time:
Difficulté:
2 Facile

Description

Icinga2 nous prévient que :

Plugin Output
HTTP CRITICAL: HTTP/1.1 502 Bad Gateway 

Dans un navigateur, https://mumble.april.org/ affiche :

Erreur 50x
Le service demandé n'est pas accessible pour le moment
Veuillez réessayer ultérieurement.
Merci !


Files

mumbleerror.png (17.7 KB) mumbleerror.png Christian P. Momon, 06/01/2020 11:43 PM

History

#1

Updated by Christian P. Momon about 2 years ago

D'après l'historique dans Icinga2, ça a commencé à 2020-05-31 06:50:57.

#2

Updated by Christian P. Momon about 2 years ago

  • Description updated (diff)
#3

Updated by Christian P. Momon about 2 years ago

#4

Updated by Christian P. Momon about 2 years ago

Sur la vm mumble, redémarrage du service mumble-web et journal -f :

juin 01 23:25:05 mumble systemd[1]: Stopped Mumble web interface.
juin 01 23:25:05 mumble systemd[1]: Started Mumble web interface.
juin 01 23:25:10 mumble websockify[3297]: WebSocket server settings:
juin 01 23:25:10 mumble websockify[3297]:   - Listen on :8443
juin 01 23:25:10 mumble websockify[3297]:   - Flash security policy server
juin 01 23:25:10 mumble websockify[3297]:   - Web server. Web root: /var/www/mumble-web/dist
juin 01 23:25:10 mumble websockify[3297]:   - SSL/TLS support
juin 01 23:25:10 mumble websockify[3297]:   - Deny non-SSL/TLS connections
juin 01 23:25:10 mumble websockify[3297]:   - proxying from :8443 to localhost:64738 (using SSL)
juin 01 23:25:10 mumble websockify[3297]: 172.16.0.1: new handler Process
juin 01 23:25:10 mumble websockify[3297]: handler exception: [Errno 13] Permission denied
juin 01 23:25:10 mumble websockify[3297]: exception
juin 01 23:25:10 mumble websockify[3297]: Traceback (most recent call last):
juin 01 23:25:10 mumble websockify[3297]:   File "/usr/lib/python2.7/dist-packages/websockify/websocket.py", line 933, in top_new_client
juin 01 23:25:10 mumble websockify[3297]:     client = self.do_handshake(startsock, address)
juin 01 23:25:10 mumble websockify[3297]:   File "/usr/lib/python2.7/dist-packages/websockify/websocket.py", line 840, in do_handshake
juin 01 23:25:10 mumble websockify[3297]:     keyfile=self.key)
juin 01 23:25:10 mumble websockify[3297]:   File "/usr/lib/python2.7/ssl.py", line 931, in wrap_socket
juin 01 23:25:10 mumble websockify[3297]:     ciphers=ciphers)
juin 01 23:25:10 mumble websockify[3297]:   File "/usr/lib/python2.7/ssl.py", line 542, in __init__
juin 01 23:25:10 mumble websockify[3297]:     self._context.load_cert_chain(certfile, keyfile)
juin 01 23:25:10 mumble websockify[3297]: IOError: [Errno 13] Permission denied

#5

Updated by Christian P. Momon about 2 years ago

En relisant attentivement les logs :

juin 01 23:25:10 mumble websockify[3297]:   File "/usr/lib/python2.7/ssl.py", line 542, in __init__
juin 01 23:25:10 mumble websockify[3297]:     self._context.load_cert_chain(certfile, keyfile)
juin 01 23:25:10 mumble websockify[3297]: IOError: [Errno 13] Permission denied

Or :

(April) root@mumble:/var/lib/dehydrated/certs/mumble.april.org# ls -l
total 40K
-rw------- 1 mumble-server root 1,7K mars  27 16:28 cert-1585322895.csr
-rw------- 1 mumble-server root 2,3K mars  27 16:28 cert-1585322895.pem
-rw------- 1 root          root 1,7K mai   31 06:47 cert-1590900424.csr
-rw------- 1 root          root 2,3K mai   31 06:47 cert-1590900424.pem
lrwxrwxrwx 1 root          root   19 mai   31 06:47 cert.csr -> cert-1590900424.csr
lrwxrwxrwx 1 root          root   19 mai   31 06:47 cert.pem -> cert-1590900424.pem
-rw------- 1 mumble-server root 1,7K mars  27 16:28 chain-1585322895.pem
-rw------- 1 root          root 1,7K mai   31 06:47 chain-1590900424.pem
lrwxrwxrwx 1 root          root   20 mai   31 06:47 chain.pem -> chain-1590900424.pem
-rw------- 1 mumble-server root 3,9K mars  27 16:28 fullchain-1585322895.pem
-rw------- 1 root          root 3,9K mai   31 06:47 fullchain-1590900424.pem
lrwxrwxrwx 1 root          root   24 mai   31 06:47 fullchain.pem -> fullchain-1590900424.pem
-rw------- 1 mumble-server root 3,2K mars  27 16:28 privkey-1585322895.pem
-rw------- 1 root          root 3,2K mai   31 06:47 privkey-1590900424.pem
lrwxrwxrwx 1 root          root   22 mai   31 06:47 privkey.pem -> privkey-1590900424.pem
-rw-r--r-- 1 root          root    0 juin   2 14:17 t

On voit que :
  • les anciens fichiers de certificat appartiennent à mumble-server ;
  • les nouveaux fichiers de certificats générés le 31 mai (aux environs de la panne) appartiennent à root.

En faisant un chown sur les nouveaux certificats, le site est à nouveau accessible.

#6

Updated by Christian P. Momon about 2 years ago

  • Status changed from Nouveau to Résolu
  • Assignee set to Christian P. Momon

Ajout d'une ligne chown dans le /etc/cron.weekly/dehydrated :

 date >> /var/log/dehydrated.log 2>&1
 /usr/bin/dehydrated -c >>/var/log/dehydrated.log 2>&1

+chown mumble-server /var/lib/dehydrated/certs/mumble.april.org/*
+
 find /var/lib/dehydrated/certs/ -name 'fullchain-*.pem' -mmin -500 -exec systemctl restart mumble-web >>/var/log/dehydrated.log 2>&1 \;

#7

Updated by Quentin Gibeaux about 2 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF