Fincer
/
central-management-of-multiple-servers
mirror of https://github.com/Fincer/central-management-of-multiple-servers
1
0
Fork 0
Code Issues 0 Projects 0 Releases 0 Wiki Activity
Manage multiple server & client computers with SaltStack (finnish)
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
79 Commits
1 Branch
20 MiB
Branch: master
Branches Tags
${ item.name }
Create branch ${ searchTerm }
from 'master'
${ noResults }
central-management-of-multi.../exercises/h2.md

1064 lines
35 KiB
Raw Permalink Normal View History

Move exercises to their own subfolder
5 years ago
 
  1. Palvelinten hallinta - Harjoitus 2
  2. ==============
  3. 

  4. *Disclaimer:*
  5. --------------
  6. 

  7. Tämä harjoitus on tehty osana Haaga-Helian Tietojenkäsittelyn koulutusohjelman kurssia [Palvelinten hallinta (ICT4TN022, kevät 2018)](http://www.haaga-helia.fi/fi/opinto-opas/opintojaksokuvaukset/ICT4TN022). Kurssin pitäjänä toimii [Tero Karvinen](http://terokarvinen.com/), joka on määritellyt tämän harjoituksen tehtävänkuvaukset. Tehtävien vastaukset ovat Pekka Heleniuksen (allekirjoittanut) tuottamia.
  8. 

  9. *SISÄLLYSLUETTELO*
  10. --------------
  11. 

  12. - [b) Laita käyttäjien kotisivut toimimaan Apachella - Salt](https://github.com/Fincer/central-management-of-multiple-servers/blob/master/h2.md#b-laita-k%C3%A4ytt%C3%A4jien-kotisivut-toimimaan-apachella---salt)
  13. 

  14. - [c) Laita PHP toimimaan käyttäjien kotisivuilla - Salt (Huomaa, että PHP toimii oletuksena kaikkialla muualla kuin käyttäjien public_html-kotisivuilla.)](https://github.com/Fincer/central-management-of-multiple-servers/blob/master/h2.md#c-laita-php-toimimaan-k%C3%A4ytt%C3%A4jien-kotisivuilla---salt-huomaa-ett%C3%A4-php-toimii-oletuksena-kaikkialla-muualla-kuin-k%C3%A4ytt%C3%A4jien-public_html-kotisivuilla)
  15. 

  16. - [d) Rakenna tila (state), joka tekee Apachelle uuden nimipohjaisen virtuaalipalvelimen (name based virtual hosting). Voit simuloida nimipalvelun toimintaa hosts-tiedoston avulla.](https://github.com/Fincer/central-management-of-multiple-servers/blob/master/h2.md#d-rakenna-tila-state-joka-tekee-apachelle-uuden-nimipohjaisen-virtuaalipalvelimen-name-based-virtual-hosting-voit-simuloida-nimipalvelun-toimintaa-hosts-tiedoston-avulla)
  17. 

  18. - [e) Tee tila, joka laittaa esimerkkikotisivun uusille käyttäjille. Voit laittaa esimerkkikotisivu /etc/skel/:iin, niin se tulee automaattisesti ‘adduser tero’ komennolla käyttäjiä luodessa.](https://github.com/Fincer/central-management-of-multiple-servers/blob/master/h2.md#e-tee-tila-joka-laittaa-esimerkkikotisivun-uusille-k%C3%A4ytt%C3%A4jille-voit-laittaa-esimerkkikotisivu-etcskeliin-niin-se-tulee-automaattisesti-adduser-tero-komennolla-k%C3%A4ytt%C3%A4ji%C3%A4-luodessa)
  19. 

  20. - [f) Eri asetukset. Tee Package-File-Service tilalla eri asetuksia kuin ne, mitä tehtiin tunnilla; ja eri kuin mitä teit/teet h2 muissa kohdissa. Voit muuttaa jotain toista asetusta samoista demoneista tai valita kokonaan eri demonit.](https://github.com/Fincer/central-management-of-multiple-servers/blob/master/h2.md#f-eri-asetukset-tee-package-file-service-tilalla-eri-asetuksia-kuin-ne-mit%C3%A4-tehtiin-tunnilla-ja-eri-kuin-mit%C3%A4-teitteet-h2-muissa-kohdissa-voit-muuttaa-jotain-toista-asetusta-samoista-demoneista-tai-valita-kokonaan-eri-demonit)
  21. 

  22. b) Laita käyttäjien kotisivut toimimaan Apachella - Salt
  23. --------------
  24. 

  25. **Vastaus:**
  26. 

  27. Olemme tässä vaiheessa luoneet perusedellytykset Masterille ja Minione(ille). Ks. [harjoitus 1](https://github.com/Fincer/central-management-of-multiple-servers/blob/master/h1.md)
  28. 

  29. Luodaan Master-koneen kansioon _/srv/salt_ state-tiedosto *0_create_indexhtml.sls* komennolla *sudo nano /srv/salt/0_create_indexhtml.sls* ja täydennetään se sisällöllä:
  30. 

  31. ```
  32. # This is a Salt script for installing Apache HTTP daemon with

  33. # default userdir configuration to minion computers

  34. # Author: Pekka Helenius (~Fincer), 2018

  35. 

  36. #########################################

  37. # Install Apache HTTP daemon to minions

  38. 

  39. install_httpd_daemon:
  40.   pkg.installed:
  41.     - pkgs:
  42.       - apache2
  43. 

  44. #########################################

  45. # Enable Apache userdir module

  46. 

  47. httpd_userdir:
  48.   cmd.run:
  49.     - name: /usr/sbin/a2enmod userdir
  50.     - require:
  51.       - pkg: install_httpd_daemon
  52. 

  53. #########################################

  54. # Replace default index.html content

  55. 

  56. httpd_foo-index:
  57.   cmd.run:
  58.     - name: /bin/echo "foo" > /var/www/html/index.html
  59.     - require:
  60.       - cmd: httpd_userdir
  61.       - pkg: install_httpd_daemon
  62. 

  63. #########################################

  64. # Execute public_html script

  65. 

  66. execute_public_html:
  67.   cmd.script:
  68.     - name: salt://0_create_indexhtml.sh
  69.     - runas: root
  70. 

  71. #########################################

  72. # Restart Apache HTTP daemon

  73. 

  74. httpd_service_restart_userdir:
  75.   service.running:
  76.     - name: apache2.service
  77.     - watch:
  78.       - cmd: httpd_userdir
  79. 

  80. ``` 
  81. 

  82. Tiedoston oikeudet tulisi olla: u=rw, g=r, o=r (0644)
  83. 

  84. Harjoituksessa käytetään Debian-pohjaisia Xubuntu-käyttöjärjestelmiä (18.04 LTS).
  85. 

  86. Varmistetaan, että "orja" -alkuisiin orjakoneisiin (minions) saadaan yhteys suorittamalla master-koneella esim. komento:
  87. 

  88. ```
  89. [09/04/2018 22:01:26 - fincer: ~ ]$ sudo salt 'orja*' grains.item osrelease
  90. orjakone:
  91.     ----------
  92.     osrelease:
  93.         18.04
  94. ```
  95. 

  96. Luodaan master-koneelle seuraava shell-skripti */srv/salt/0_create_indexhtml.sh*, joka tuottaa kaikille orjakoneen käyttäjille kansion *public_html* testisivuineen:
  97. 

  98. ```
  99. #!/bin/sh

  100. 

  101. # Find home folders of system users (who are using bash as their default shell)

  102. for userhome in $(grep -E "\/bin\/bash" /etc/passwd | grep -v root | awk -F ':' '{print $(NF - 1)}'); do
  103. 

  104.     # Create public_html for found user
  105.     if [ ! -d "${userhome}"/public_html ]; then
  106.       mkdir -p "${userhome}"/public_html
  107. 

  108.       # Promote this user to be the owner of the created directory
  109.       chown $(stat --format "%u:%g" ${userhome}) "${userhome}"/public_html
  110. 

  111.       # Touch default index file for testing purposes
  112.       echo "This is my test site. I am user $(stat --format \"%U\" ${userhome}). Happy coding!" > "${userhome}"/public_html/index.html
  113.     fi
  114. 

  115. done
  116. ```
  117. 

  118. Suoritetaan tehtävänannossa edellytetty Apache HTTP-daemonin asennus minion-koneille:
  119. 

  120. ```
  121. sudo salt 'orja*' state.apply 0_create_indexhtml
  122. ```
  123. 

  124. Esimerkki-output (masterilla):
  125. 

  126. ```
  127. [09/04/2018 21:45:41 - fincer: salt ]$ sudo salt 'orja*' state.apply 0_create_indexhtml
  128. orjakone:
  129. ----------
  130.           ID: install_httpd_daemon
  131.     Function: pkg.installed
  132.       Result: True
  133.      Comment: All specified packages are already installed
  134.      Started: 03:06:06.583325
  135.     Duration: 377.198 ms
  136.      Changes:   
  137. ----------
  138.           ID: httpd_userdir
  139.     Function: cmd.run
  140.         Name: /usr/sbin/a2enmod userdir
  141.       Result: True
  142.      Comment: Command "/usr/sbin/a2enmod userdir" run
  143.      Started: 03:06:06.962361
  144.     Duration: 19.784 ms
  145.      Changes:   
  146.               ----------
  147.               pid:
  148.                   20406
  149.               retcode:
  150.                   0
  151.               stderr:
  152.               stdout:
  153.                   Module userdir already enabled
  154. ----------
  155.           ID: httpd_foo-index
  156.     Function: cmd.run
  157.         Name: /bin/echo "foo" > /var/www/html/index.html
  158.       Result: True
  159.      Comment: Command "/bin/echo "foo" > /var/www/html/index.html" run
  160.      Started: 03:06:06.982499
  161.     Duration: 3.978 ms
  162.      Changes:   
  163.               ----------
  164.               pid:
  165.                   20411
  166.               retcode:
  167.                   0
  168.               stderr:
  169.               stdout:
  170. ----------
  171.           ID: execute_public_html
  172.     Function: cmd.script
  173.         Name: salt://0_create_indexhtml.sh
  174.       Result: True
  175.      Comment: Command 'salt://0_create_indexhtml.sh' run
  176.      Started: 03:06:06.986594
  177.     Duration: 415.176 ms
  178.      Changes:   
  179.               ----------
  180.               pid:
  181.                   20432
  182.               retcode:
  183.                   0
  184.               stderr:
  185.               stdout:
  186. ----------
  187.           ID: httpd_service_restart_userdir
  188.     Function: service.running
  189.         Name: apache2.service
  190.       Result: True
  191.      Comment: Service restarted
  192.      Started: 03:06:07.435663
  193.     Duration: 124.998 ms
  194.      Changes:   
  195.               ----------
  196.               apache2.service:
  197.                   True
  198. 

  199. Summary for orjakone
  200. ------------
  201. Succeeded: 5 (changed=4)
  202. Failed:    0
  203. ------------
  204. Total states run:     5
  205. Total run time: 941.134 ms
  206. ```
  207. 

  208. Minion-koneelta voimme tarkastaa, onko kansio *public_html* ja tiedosto *index.html* luotu (esim. orjakone:en käyttäjälle fincer):
  209. 

  210. ```
  211. [09/04/2018 21:46:59 - fincer: salt ]$ sudo salt 'orjakone' cmd.run 'cat /home/fincer/public_html/index.html'
  212. orjakone:
  213.     This is my test site. I am user "fincer". Happy coding!
  214. ```
  215. 

  216. c) Laita PHP toimimaan käyttäjien kotisivuilla - Salt (Huomaa, että PHP toimii oletuksena kaikkialla muualla kuin käyttäjien public_html-kotisivuilla.)
  217. --------------
  218. 

  219. **Vastaus:**
  220. 

  221. Tehtävässä pitää orjakoneilta (minions) kytkeä PHP päälle userdir-moduulin kanssa editoimalla konfiguraatiotiedostoa /etc/apache2/mods-available/php*.conf (missä * on php-versio).
  222. Tämä vaihe voidaan tehdä kahdella tavalla:
  223. 

  224. - 1) Luodaan master-koneelle uusi konfiguraatiotiedosto (php*.conf) samalla sisällöllä, mutta kommentoidaan userdir-moduulin edellyttämät rivit tiedostosta (tiedostossa on selkeät ohjeet tähän)
  225. 

  226. - 2) Luodaan skripti, jonka tehtävänä on lisätä kommenttimerkit orjakoneiden php*.conf -tiedoston relevanttiin osioon
  227. 

  228. Molemmat vaihtoehdot määritetään suoritettavaksi master:lla Saltin state-tiedostossa. Toteutetaan vaihtoehto 2.
  229. 

  230. Luodaan master-koneella shell-skripti */srv/salt/1_enable_php-for-userdir.sh* sisällöllä:
  231. 

  232. ```
  233. #!/bin/sh

  234. 

  235. # Enable PHP for userdir module in Apache

  236. # Author: Pekka Helenius, 2018

  237. 

  238. PHP_CONF_FILE="$(ls /etc/apache2/mods-available/php*.conf)"
  239. 

  240. IFS="
  241. "
  242. 

  243. for line in $(cat "${PHP_CONF_FILE}" | sed -n '/\<IfModule mod_userdir\.c>/,/\<\/IfModule>/p;/\<\/IfModule>/q'); do
  244.     sed_line=$(echo "${line}" | sed 's!\*!\\*!g;')
  245.     sed -ir "s!${sed_line}!#${sed_line}!" "${PHP_CONF_FILE}"
  246. done
  247. 

  248. unset IFS
  249. 

  250. ```
  251. 

  252. Luodaan master-koneella toinenkin shell-skripti */srv/salt/1_create_indexphp.sh* seuraavalla sisällöllä:
  253. 

  254. ```
  255. #!/bin/sh

  256. 

  257. # Find home folders of system users (who are using bash as their default shell)

  258. for userhome in $(grep -E "\/bin\/bash" /etc/passwd | grep -v root | awk -F ':' '{print $(NF - 1)}'); do
  259. 

  260.     # Create public_html for found user
  261.     if [ ! -d "${userhome}"/public_html ]; then
  262.       mkdir -p "${userhome}"/public_html
  263. 

  264.       # Promote this user to be the owner of the created directory
  265.       chown $(stat --format "%u:%g" ${userhome}) "${userhome}"/public_html
  266. 

  267.       # Rename existing index.html if exists
  268.       if [ -f "${userhome}"/public_html/index.html ]; then
  269.         mv "${userhome}"/public_html/index.html "${userhome}"/public_html/index.html.old
  270.       fi
  271. 

  272.       # Touch default index PHP file for testing purposes
  273.       echo "<?php print('This is PHP code. I am user $(stat --format \"%U\" ${userhome}). Happy coding!'); ?>" > "${userhome}"/public_html/index.php
  274.     fi
  275. 

  276. done
  277. 

  278. ```
  279. 

  280. Luodaan master-koneelle state-määritystiedosto */srv/salt/1_create_indexphp.sls* sisällöllä:
  281. 

  282. ```
  283. # Author: Pekka Helenius (~Fincer), 2018

  284. 

  285. #########################################

  286. # Variables

  287. 

  288. # PHP module for Apache in Debian

  289. {% set ENABLE_PHP_MODULE = "/usr/sbin/a2enmod $(a2query -m | awk '{print $1}' | grep php)" %}
  290. 

  291. {% set USERDIR_ENABLE_STATUS = "a2query -m | grep userdir | grep 'enabled by' &>/dev/null || /usr/sbin/a2enmod userdir" %}
  292. 

  293. #########################################

  294. # Install PHP addons for Apache HTTP daemon (with dependencies)

  295. 

  296. install_httpd_php:
  297.   pkg.installed:
  298.     - pkgs:
  299.       - apache2
  300.       - libapache2-mod-php
  301. 

  302. #########################################

  303. # Find if userdir module is enabled

  304. 

  305. check_userdir_status:
  306.   cmd.run:
  307.     - name: {{ USERDIR_ENABLE_STATUS }}
  308.     - require:
  309.       - pkg: install_httpd_php
  310. 

  311. #########################################

  312. # Enable PHP for users

  313. 

  314. execute_userdir_php_script:
  315.   cmd.script:
  316.     - name: salt://apache/1_enable_php-for-userdir.sh
  317.     - runas: root
  318.     - require:
  319.       - cmd: check_userdir_status
  320. 

  321. add_indexphp_files:
  322.   cmd.script:
  323.     - name: salt://apache/1_create_indexphp.sh
  324.     - runas: root
  325.     - require:
  326.       - cmd: execute_userdir_php_script
  327. 

  328. #########################################

  329. # Enable PHP module (should be done already, though)

  330. 

  331. enable_httpd_php:
  332.   cmd.run:
  333.     - name: {{ ENABLE_PHP_MODULE }}
  334. 

  335. #########################################

  336. # Restart Apache HTTP daemon

  337. 

  338. httpd_service_restart_php:
  339.   service.running:
  340.     - name: apache2.service
  341.     - watch:
  342.       - cmd: check_userdir_status
  343.       - cmd: execute_userdir_php_script
  344. 

  345. ```
  346. 

  347. Esimerkki-output master-koneella:
  348. 

  349. ```
  350. [09/04/2018 23:13:27 - fincer: ~ ]$ sudo salt 'orjakone' state.apply 1_create_indexphp
  351. orjakone:
  352. ----------
  353.           ID: install_httpd_php
  354.     Function: pkg.installed
  355.       Result: True
  356.      Comment: All specified packages are already installed
  357.      Started: 03:12:05.777863
  358.     Duration: 387.502 ms
  359.      Changes:   
  360. ----------
  361.           ID: check_userdir_status
  362.     Function: cmd.run
  363.         Name: a2query -m | grep userdir | grep 'enabled by' &>/dev/null || /usr/sbin/a2enmod userdir
  364.       Result: True
  365.      Comment: Command "a2query -m | grep userdir | grep 'enabled by' &>/dev/null || /usr/sbin/a2enmod userdir" run
  366.      Started: 03:12:06.167690
  367.     Duration: 37.4 ms
  368.      Changes:   
  369.               ----------
  370.               pid:
  371.                   20663
  372.               retcode:
  373.                   0
  374.               stderr:
  375.               stdout:
  376.                   userdir (enabled by site administrator)
  377. ----------
  378.           ID: execute_userdir_php_script
  379.     Function: cmd.script
  380.         Name: salt://1_enable_php-for-userdir.sh
  381.       Result: True
  382.      Comment: Command 'salt://1_enable_php-for-userdir.sh' run
  383.      Started: 03:12:06.206077
  384.     Duration: 192.94 ms
  385.      Changes:   
  386.               ----------
  387.               pid:
  388.                   20690
  389.               retcode:
  390.                   0
  391.               stderr:
  392.               stdout:
  393. ----------
  394.           ID: add_indexphp_files
  395.     Function: cmd.script
  396.         Name: salt://1_create_indexphp.sh
  397.       Result: True
  398.      Comment: Command 'salt://1_create_indexphp.sh' run
  399.      Started: 03:12:06.399689
  400.     Duration: 142.251 ms
  401.      Changes:   
  402.               ----------
  403.               pid:
  404.                   20734
  405.               retcode:
  406.                   0
  407.               stderr:
  408.               stdout:
  409. ----------
  410.           ID: enable_httpd_php
  411.     Function: cmd.run
  412.         Name: /usr/sbin/a2enmod $(a2query -m | awk '{print $1}' | grep php)
  413.       Result: True
  414.      Comment: Command "/usr/sbin/a2enmod $(a2query -m | awk '{print $1}' | grep php)" run
  415.      Started: 03:12:06.542066
  416.     Duration: 68.876 ms
  417.      Changes:   
  418.               ----------
  419.               pid:
  420.                   20741
  421.               retcode:
  422.                   0
  423.               stderr:
  424.               stdout:
  425.                   Considering dependency mpm_prefork for php7.2:
  426.                   Considering conflict mpm_event for mpm_prefork:
  427.                   Considering conflict mpm_worker for mpm_prefork:
  428.                   Module mpm_prefork already enabled
  429.                   Considering conflict php5 for php7.2:
  430.                   Module php7.2 already enabled
  431. ----------
  432.           ID: httpd_service_restart_php
  433.     Function: service.running
  434.         Name: apache2.service
  435.       Result: True
  436.      Comment: Service restarted
  437.      Started: 03:12:06.635009
  438.     Duration: 87.188 ms
  439.      Changes:   
  440.               ----------
  441.               apache2.service:
  442.                   True
  443. 

  444. Summary for orjakone
  445. ------------
  446. Succeeded: 6 (changed=5)
  447. Failed:    0
  448. ------------
  449. Total states run:     6
  450. Total run time: 916.157 ms
  451. ```
  452. 

  453. d) Rakenna tila (state), joka tekee Apachelle uuden nimipohjaisen virtuaalipalvelimen (name based virtual hosting). Voit simuloida nimipalvelun toimintaa hosts-tiedoston avulla.
  454. --------------
  455. 

  456. **Vastaus:**
  457. 

  458. **HUOM!** Tämän olisi voinut tehdä myös luomalla esim. index.html- ja sivustokonfiguraatiotiedostot masterilla, josta ne siirrettäisiin minioneille (file). Nämä määritykset tehdään state-tiedostossa, luonnollisesti. Paljon parempi tapa, jos on esimerkiksi tarkoitus laittaa juuri samansisältöinen _/etc/apache2/sites-available/*.conf_ -tiedosto/template ja samansisältöinen, masterilta päivitettävissä oleva index.html -tiedosto minioneille. Tein nyt huvikseni seuraavalla tavalla, vaikka tiedän, ettei se nyt ihan nappiin menekkään.
  459. 

  460. Luodaan master-koneen */srv/salt/* -kansioon state/konfiguraatiotiedosto *apache_virtualhost_example.sls* sisällöllä:
  461. 

  462. ```
  463. # Author: Pekka Helenius (~Fincer), 2018

  464. 

  465. #########################################

  466. # Install Apache HTTP daemon to minions

  467. 

  468. install_httpd_daemon:
  469.   pkg.installed:
  470.     - pkgs:
  471.       - apache2
  472. 

  473. #########################################

  474. 

  475. copy_httpd_defaultsite:
  476.   cmd.run:
  477.     - name: '[ ! -f /etc/apache2/sites-available/$(hostname)-example.conf ] && cd /etc/apache2/sites-available && cp 000-default.conf $(hostname)-example.conf || false'
  478.     - require:
  479.       - pkg: install_httpd_daemon
  480. 

  481. create_site_rootdir:
  482.   cmd.run:
  483.     - name: /bin/mkdir -p /var/www/html/$(hostname)
  484.     - require:
  485.       - pkg: install_httpd_daemon
  486. 

  487. enable_httpd_servername:
  488.   cmd.run:
  489.     - name: /bin/sed -i "s/#ServerName www\.example\.com/ServerName $(hostname).example.com/" /etc/apache2/sites-available/$(hostname)-example.conf
  490.     - require:
  491.       - cmd: copy_httpd_defaultsite
  492. 

  493. change_defaultsite_root:
  494.   cmd.run:
  495.     - name: /bin/sed -i "s/DocumentRoot \/var\/www\/html/DocumentRoot \/var\/www\/html\/$(hostname)/" /etc/apache2/sites-available/$(hostname)-example.conf
  496.     - require:
  497.       - cmd: enable_httpd_servername
  498. 

  499. enable_httpd_defaultsite:
  500.   cmd.run:
  501.     - name: /usr/sbin/a2ensite $(hostname)-example.conf
  502.     - require:
  503.       - cmd: change_defaultsite_root
  504.       - cmd: copy_httpd_defaultsite
  505.       - pkg: install_httpd_daemon 
  506. 

  507. add_virtualhost_string:
  508.   cmd.run:
  509.     - name: /bin/echo "127.0.0.1 $(hostname).example.com" > /etc/hosts
  510.     - require:
  511.       - cmd: enable_httpd_defaultsite
  512. 

  513. add_defaultsite_indexfile:
  514.   cmd.run:
  515.     - name: '[ ! -f /var/www/html/$(hostname)/index.html ] && /bin/echo "This is default HTML template for $(hostname) ($(hostname).example.com), created on $(date \"+%d-%m-%Y at %X\")" > /var/www/html/$(hostname)/index.html'
  516.     - require:
  517.       - cmd: create_site_rootdir
  518.       - cmd: add_virtualhost_string
  519.       - cmd: enable_httpd_defaultsite
  520. 

  521. restart_httpd_service:
  522.   service.running:
  523.     - name: apache2.service
  524.     - watch:
  525.       - cmd: enable_httpd_defaultsite
  526.       - cmd: add_defaultsite_indexfile
  527. ```
  528. 

  529. Ajetaan em. state masterilta minion-koneelle nimeltä "orjakone" (vain tälle yhdelle koneelle, ei muita orjia nyt!):
  530. 

  531. ```
  532. [10/04/2018 00:13:12 - fincer: ~ ]$ sudo salt 'orjakone' state.apply apache_virtualhost_example
  533. orjakone:
  534. ----------
  535.           ID: install_httpd_daemon
  536.     Function: pkg.installed
  537.       Result: True
  538.      Comment: All specified packages are already installed
  539.      Started: 05:20:27.160570
  540.     Duration: 360.254 ms
  541.      Changes:   
  542. ----------
  543.           ID: copy_httpd_defaultsite
  544.     Function: cmd.run
  545.         Name: [ ! -f /etc/apache2/sites-available/$(hostname)-example.conf ] && cd /etc/apache2/sites-available && cp 000-default.conf $(hostname)-example.conf || false
  546.       Result: False
  547.      Comment: Command "[ ! -f /etc/apache2/sites-available/$(hostname)-example.conf ] && cd /etc/apache2/sites-available && cp 000-default.conf $(hostname)-example.conf || false" run
  548.      Started: 05:20:27.522609
  549.     Duration: 4.361 ms
  550.      Changes:   
  551.               ----------
  552.               pid:
  553.                   22444
  554.               retcode:
  555.                   1
  556.               stderr:
  557.               stdout:
  558. ----------
  559.           ID: create_site_rootdir
  560.     Function: cmd.run
  561.         Name: /bin/mkdir -p /var/www/html/$(hostname)
  562.       Result: True
  563.      Comment: Command "/bin/mkdir -p /var/www/html/$(hostname)" run
  564.      Started: 05:20:27.527146
  565.     Duration: 3.26 ms
  566.      Changes:   
  567.               ----------
  568.               pid:
  569.                   22446
  570.               retcode:
  571.                   0
  572.               stderr:
  573.               stdout:
  574. ----------
  575.           ID: enable_httpd_servername
  576.     Function: cmd.run
  577.         Name: /bin/sed -i "s/#ServerName www\.example\.com/ServerName $(hostname).example.com/" /etc/apache2/sites-available/$(hostname)-example.conf
  578.       Result: False
  579.      Comment: One or more requisite failed: apache_virtualhost_example.copy_httpd_defaultsite
  580.      Changes:   
  581. ----------
  582.           ID: change_defaultsite_root
  583.     Function: cmd.run
  584.         Name: /bin/sed -i "s/DocumentRoot \/var\/www\/html/DocumentRoot \/var\/www\/html\/$(hostname)/" /etc/apache2/sites-available/$(hostname)-example.conf
  585.       Result: False
  586.      Comment: One or more requisite failed: apache_virtualhost_example.enable_httpd_servername
  587.      Changes:   
  588. ----------
  589.           ID: enable_httpd_defaultsite
  590.     Function: cmd.run
  591.         Name: /usr/sbin/a2ensite $(hostname)-example.conf
  592.       Result: False
  593.      Comment: One or more requisite failed: apache_virtualhost_example.copy_httpd_defaultsite, apache_virtualhost_example.change_defaultsite_root
  594.      Changes:   
  595. ----------
  596.           ID: add_virtualhost_string
  597.     Function: cmd.run
  598.         Name: /bin/echo "127.0.0.1 $(hostname).example.com" > /etc/hosts
  599.       Result: False
  600.      Comment: One or more requisite failed: apache_virtualhost_example.enable_httpd_defaultsite
  601.      Changes:   
  602. ----------
  603.           ID: add_defaultsite_indexfile
  604.     Function: cmd.run
  605.         Name: [ ! -f /var/www/html/$(hostname)/index.html ] && /bin/echo "This is default HTML template for $(hostname) ($(hostname).example.com), created on $(date \"+%d-%m-%Y at %X\")" > /var/www/html/$(hostname)/index.html
  606.       Result: False
  607.      Comment: One or more requisite failed: apache_virtualhost_example.add_virtualhost_string, apache_virtualhost_example.enable_httpd_defaultsite
  608.      Changes:   
  609. ----------
  610.           ID: restart_httpd_service
  611.     Function: service.running
  612.         Name: apache2.service
  613.       Result: False
  614.      Comment: One or more requisite failed: apache_virtualhost_example.add_defaultsite_indexfile, apache_virtualhost_example.enable_httpd_defaultsite
  615.      Changes:   
  616. 

  617. Summary for orjakone
  618. ------------
  619. Succeeded: 2 (changed=2)
  620. Failed:    7
  621. ------------
  622. Total states run:     9
  623. Total run time: 367.875 ms
  624. ```
  625. 

  626. Hups! Epäonnistumisia, emämunaus. Ihan odotettua, sillä...
  627. 

  628. ...epäonnistumiset johtuvat siitä, että olen määritellyt tietyt ID:t, kuten tässä tapauksessa ehkä kriittisimpänä copy_httpd_defaultsite:n, palauttamaan komennon suorittamisesta arvon false, mikäli mm. tiedosto $(hostname)-example.conf on jo olemassa. Koska kyseinen ID on riippuvuutena alemmille ID:ille, ja nämä ID:t edelleen riippuvuutena eteenpäin muille ID:lle, syntyy ketjureaktio, jossa epäonnistuneita tiloja tulee suuri määrä. Tässä tapauksessa 7 kpl. Tulos oli odotettu _tässä konfiguraatiossa_.
  629. 

  630. Orjakoneen selainnäkymässä (*xdg-open http://$(hostname).example.com*) ajettuna lopputulos näyttää tältä:
  631. 

  632. ![minion-virtualhost](https://raw.githubusercontent.com/Fincer/central-management-of-multiple-servers/master/images/minion-example.png)
  633. 

  634. e) Tee tila, joka laittaa esimerkkikotisivun uusille käyttäjille. Voit laittaa esimerkkikotisivu /etc/skel/:iin, niin se tulee automaattisesti ‘adduser tero’ komennolla käyttäjiä luodessa.
  635. --------------
  636. 

  637. **Vastaus:**
  638. 

  639. **HUOM!** Tämä on osittain tehtynä jo vastauksissa b) ja c) (Mitä on tehty: On luotu jokaiselle käyttäjälle index.html (b) ja PHP:n kytkemisen yhteydessä index.php (c))
  640. 

  641. **HUOM!** Tässä olisi voinut hyödyntää esim. kansiorakennetta _/srv/salt/apache_, jonne laitettu state-tiedostot. Nyt toimitaan vielä yksinkertaisemmalla pohjalla, minkä takia state-tiedostoissa esiintyy päällekkäisyyttä. Monimutkaisemmissa konfiguraatioissa puu-rakennetta olisi hyvä harkita (mandatory?).
  642. 

  643. Lisätään state *2_apache_skelsite.sls*, joka lisää esimerkkikotisivun määriteltyjen minion-koneiden hakemistoon _/etc/skel_ (teemme alihakemiston *public_html* tänne state-tiedostossa...):
  644. 

  645. ```
  646. # Author: Pekka Helenius (~Fincer), 2018

  647. 

  648. #########################################

  649. # Install Apache HTTP daemon to minions

  650. 

  651. install_httpd_daemon:
  652.   pkg.installed:
  653.     - pkgs:
  654.       - apache2
  655. 

  656. #########################################

  657. # Enable Apache userdir module

  658. 

  659. httpd_userdir:
  660.   cmd.run:
  661.     - name: /usr/sbin/a2enmod userdir
  662.     - require:
  663.       - pkg: install_httpd_daemon
  664. 

  665. #########################################

  666. # Replace default index.html content

  667. 

  668. httpd_foo-index:
  669.   cmd.run:
  670.     - name: /bin/echo "foo" > /var/www/html/index.html
  671.     - require:
  672.       - cmd: httpd_userdir
  673.       - pkg: install_httpd_daemon
  674. 

  675. #########################################

  676. # Restart Apache HTTP daemon

  677. 

  678. httpd_service_restart_skelsite:
  679.   service.running:
  680.     - name: apache2.service
  681.     - watch:
  682.       - cmd: httpd_userdir
  683. 

  684. #########################################

  685. # Create /etc/skel/public_html

  686. apache_add_skel_html_dir:
  687.   cmd.run:
  688.     - name: /bin/mkdir -p /etc/skel/public_html
  689.     - require:
  690.       - service: httpd_service_restart_skelsite
  691. 

  692. #########################################

  693. # Add index.html

  694. apache_default_userindex_file:
  695.   cmd.run:
  696.     - name: /bin/echo "Empty HTML template" > /etc/skel/public_html/index.html
  697.     - require:
  698.        - cmd: apache_add_skel_html_dir
  699. 

  700. ```
  701. 

  702. Master-koneen output:
  703. 

  704. ```
  705. [10/04/2018 01:15:01 - fincer: ~ ]$ sudo salt 'orjakone' state.apply 2_apache_skelsite
  706. orjakone:
  707. ----------
  708.           ID: install_httpd_daemon
  709.     Function: pkg.installed
  710.       Result: True
  711.      Comment: All specified packages are already installed
  712.      Started: 03:46:46.743389
  713.     Duration: 368.537 ms
  714.      Changes:   
  715. ----------
  716.           ID: httpd_userdir
  717.     Function: cmd.run
  718.         Name: /usr/sbin/a2enmod userdir
  719.       Result: True
  720.      Comment: Command "/usr/sbin/a2enmod userdir" run
  721.      Started: 03:46:47.113788
  722.     Duration: 21.611 ms
  723.      Changes:   
  724.               ----------
  725.               pid:
  726.                   21155
  727.               retcode:
  728.                   0
  729.               stderr:
  730.               stdout:
  731.                   Module userdir already enabled
  732. ----------
  733.           ID: httpd_foo-index
  734.     Function: cmd.run
  735.         Name: /bin/echo "foo" > /var/www/html/index.html
  736.       Result: True
  737.      Comment: Command "/bin/echo "foo" > /var/www/html/index.html" run
  738.      Started: 03:46:47.135793
  739.     Duration: 4.274 ms
  740.      Changes:   
  741.               ----------
  742.               pid:
  743.                   21160
  744.               retcode:
  745.                   0
  746.               stderr:
  747.               stdout:
  748. ----------
  749.           ID: httpd_service_restart_skelsite
  750.     Function: service.running
  751.         Name: apache2.service
  752.       Result: True
  753.      Comment: Service restarted
  754.      Started: 03:46:47.161935
  755.     Duration: 103.555 ms
  756.      Changes:   
  757.               ----------
  758.               apache2.service:
  759.                   True
  760. ----------
  761.           ID: apache_add_skel_html_dir
  762.     Function: cmd.run
  763.         Name: /bin/mkdir -p /etc/skel/public_html
  764.       Result: True
  765.      Comment: Command "/bin/mkdir -p /etc/skel/public_html" run
  766.      Started: 03:46:47.265901
  767.     Duration: 73.066 ms
  768.      Changes:   
  769.               ----------
  770.               pid:
  771.                   21178
  772.               retcode:
  773.                   0
  774.               stderr:
  775.               stdout:
  776. ----------
  777.           ID: apache_default_userindex_file
  778.     Function: cmd.run
  779.         Name: /bin/echo "Empty HTML template" > /etc/skel/public_html/index.html
  780.       Result: True
  781.      Comment: Command "/bin/echo "Empty HTML template" > /etc/skel/public_html/index.html" run
  782.      Started: 03:46:47.341257
  783.     Duration: 13.803 ms
  784.      Changes:   
  785.               ----------
  786.               pid:
  787.                   21185
  788.               retcode:
  789.                   0
  790.               stderr:
  791.               stdout:
  792. 

  793. Summary for orjakone
  794. ------------
  795. Succeeded: 6 (changed=5)
  796. Failed:    0
  797. ------------
  798. Total states run:     6
  799. Total run time: 584.846 ms
  800. ```
  801. 

  802. Minion-koneelta tarkistusta (master-koneella katsottuna):
  803. 

  804. ```
  805. [10/04/2018 02:54:51 - fincer: ~ ]$ sudo salt 'orjakone' cmd.run '/bin/ls /etc/skel && [ -d /etc/skel/public_html ] && /bin/cat /etc/skel/public_html/*'
  806. orjakone:
  807.     index.html
  808.     public_html
  809.     Empty HTML template
  810. ```
  811. 

  812. f) Eri asetukset. Tee Package-File-Service tilalla eri asetuksia kuin ne, mitä tehtiin tunnilla; ja eri kuin mitä teit/teet h2 muissa kohdissa. Voit muuttaa jotain toista asetusta samoista demoneista tai valita kokonaan eri demonit.
  813. --------------
  814. 

  815. **Vastaus:**
  816. 

  817. Toteutetaan Knock daemonin (knockd - small port-knock daemon) -asennus.
  818. 

  819. Luodaan master-koneelle tiedosto */srv/salt/knockd.conf*, joka annetaan valituille minioneille (asennetaan polkuun */etc/knockd.conf*)
  820. 

  821. Haluttu *knockd.conf*:n sisältö (_/srv/salt/knockd.conf_):
  822. 

  823. ```
  824. [options]
  825.     UseSyslog
  826. 

  827. [openSSH]
  828.     sequence    = tcp:7065,udp:2431,tcp:421,tcp:4113
  829.     seq_timeout = 5
  830.     command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  831.     tcpflags    = syn
  832. 

  833. [closeSSH]
  834.     sequence    = tcp:4113,tcp:421,udp:2431,tcp:7065
  835.     seq_timeout = 5
  836.     command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  837.     tcpflags    = syn
  838. 

  839. ```
  840. 

  841. Luodaan master-koneelle state-tiedosto _/srv/salt/install_knockd.sls_:
  842. 

  843. ```
  844. # Author: Pekka Helenius (~Fincer), 2018

  845. 

  846. #########################################

  847. # Install Knock daemon to minions

  848. 

  849. check_ssh:
  850.   pkg.installed:
  851.     - pkgs:
  852.       - ssh
  853. 

  854. install_knockd:
  855.   pkg.installed:
  856.     - pkgs:
  857.       - knockd
  858. 

  859. # Deliver Knock daemon configuration file to minions

  860. deliver_knockd-conf:
  861.   file.managed:
  862.     - name: /etc/knockd.conf
  863.     - user: root
  864.     - group: root
  865.     - mode: 644
  866.     - source: salt://knockd.conf
  867.     - require:
  868.       - pkg: install_knockd
  869. 

  870. # Do not proceed if any SSH sessions are open in minion's side. This is just to avoid any harmful effects

  871. prevent_if_ssh_sessions_open:
  872.   cmd.run:
  873.   - name: 'if [ $(/bin/netstat -tnpa | grep "ESTABLISHED.*sshd" | wc -l) -gt 0 ]; then false; fi'
  874.   - require:
  875.     - pkg: check_ssh
  876. 

  877. # PROCEED ONLY IF NO SSH SESSIONS ARE OPEN

  878. #
  879. # Drop SSH port connections. Use port which is defined in minion's /etc/ssh/sshd_config file

  880. drop_ssh_port:
  881.   cmd.run:
  882.   - name: /sbin/iptables -A INPUT -p tcp --dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}') -j DROP
  883.   - require:
  884.     - cmd: prevent_if_ssh_sessions_open
  885.     - pkg: check_ssh
  886.     - file: deliver_knockd-conf
  887. 

  888. # Change default SSH port 22 in minion's /etc/knockd.conf file:

  889. post-configure_knockd-conf:
  890.   cmd.run:
  891.   - name: /bin/sed -i "s/dport 22/dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}')/" /etc/knockd.conf
  892.   - require:
  893.     - pkg: check_ssh
  894.     - file: deliver_knockd-conf
  895. 

  896. # Enable knockd daemon

  897. enable_knockd_service:
  898.   cmd.run:
  899.     - name: /bin/systemctl enable knockd.service
  900.     - require:
  901.       - pkg: install_knockd
  902. 

  903. # Restart knockd daemon

  904. restart_knockd_service:
  905.   service.running:
  906.     - name: knockd.service
  907.     - watch:
  908.       - cmd: post-configure_knockd-conf
  909. ```
  910. 

  911. Esimerkki-output master-koneella ajettuna:
  912. 

  913. ```
  914. [10/04/2018 06:17:11 - fincer: ~ ]$ sudo salt 'orjakone' state.apply install_knockd
  915. orjakone:
  916. ----------
  917.           ID: check_ssh
  918.     Function: pkg.installed
  919.       Result: True
  920.      Comment: All specified packages are already installed
  921.      Started: 06:25:12.849731
  922.     Duration: 366.695 ms
  923.      Changes:   
  924. ----------
  925.           ID: install_knockd
  926.     Function: pkg.installed
  927.       Result: True
  928.      Comment: The following packages were installed/updated: knockd
  929.      Started: 06:25:13.216541
  930.     Duration: 53498.645 ms
  931.      Changes:   
  932.               ----------
  933.               knockd:
  934.                   ----------
  935.                   new:
  936.                       0.7-1ubuntu1
  937.                   old:
  938. ----------
  939.           ID: deliver_knockd-conf
  940.     Function: file.managed
  941.         Name: /etc/knockd.conf
  942.       Result: True
  943.      Comment: File /etc/knockd.conf updated
  944.      Started: 06:26:06.717147
  945.     Duration: 17.544 ms
  946.      Changes:   
  947.               ----------
  948.               diff:
  949.                   --- 
  950.                   +++ 
  951.                   @@ -1,15 +1,14 @@
  952.                    [options]
  953.                   -	UseSyslog
  954.                   +    UseSyslog
  955.                    
  956.                    [openSSH]
  957.                   -	sequence    = 7000,8000,9000
  958.                   -	seq_timeout = 5
  959.                   -	command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  960.                   -	tcpflags    = syn
  961.                   +    sequence    = tcp:7065,udp:2431,tcp:421,tcp:4113
  962.                   +    seq_timeout = 5
  963.                   +    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  964.                   +    tcpflags    = syn
  965.                    
  966.                    [closeSSH]
  967.                   -	sequence    = 9000,8000,7000
  968.                   -	seq_timeout = 5
  969.                   -	command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  970.                   -	tcpflags    = syn
  971.                   -
  972.                   +    sequence    = tcp:4113,tcp:421,udp:2431,tcp:7065
  973.                   +    seq_timeout = 5
  974.                   +    command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  975.                   +    tcpflags    = syn
  976. ----------
  977.           ID: prevent_if_ssh_sessions_open
  978.     Function: cmd.run
  979.         Name: if [ $(/bin/netstat -tnpa | grep "ESTABLISHED.*sshd" | wc -l) -gt 0 ]; then false; fi
  980.       Result: True
  981.      Comment: Command "if [ $(/bin/netstat -tnpa | grep "ESTABLISHED.*sshd" | wc -l) -gt 0 ]; then false; fi" run
  982.      Started: 06:26:06.735404
  983.     Duration: 59.527 ms
  984.      Changes:   
  985.               ----------
  986.               pid:
  987.                   23916
  988.               retcode:
  989.                   0
  990.               stderr:
  991.               stdout:
  992. ----------
  993.           ID: drop_ssh_port
  994.     Function: cmd.run
  995.         Name: /sbin/iptables -A INPUT -p tcp --dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}') -j DROP
  996.       Result: True
  997.      Comment: Command "/sbin/iptables -A INPUT -p tcp --dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}') -j DROP" run
  998.      Started: 06:26:06.795619
  999.     Duration: 457.367 ms
  1000.      Changes:   
  1001.               ----------
  1002.               pid:
  1003.                   23927
  1004.               retcode:
  1005.                   0
  1006.               stderr:
  1007.               stdout:
  1008. ----------
  1009.           ID: post-configure_knockd-conf
  1010.     Function: cmd.run
  1011.         Name: /bin/sed -i "s/dport 22/dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}')/" /etc/knockd.conf
  1012.       Result: True
  1013.      Comment: Command "/bin/sed -i "s/dport 22/dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}')/" /etc/knockd.conf" run
  1014.      Started: 06:26:07.253529
  1015.     Duration: 16.545 ms
  1016.      Changes:   
  1017.               ----------
  1018.               pid:
  1019.                   23963
  1020.               retcode:
  1021.                   0
  1022.               stderr:
  1023.               stdout:
  1024. ----------
  1025.           ID: enable_knockd_service
  1026.     Function: cmd.run
  1027.         Name: /bin/systemctl enable knockd.service
  1028.       Result: True
  1029.      Comment: Command "/bin/systemctl enable knockd.service" run
  1030.      Started: 06:26:07.270551
  1031.     Duration: 539.568 ms
  1032.      Changes:   
  1033.               ----------
  1034.               pid:
  1035.                   23968
  1036.               retcode:
  1037.                   0
  1038.               stderr:
  1039.               stdout:
  1040. ----------
  1041.           ID: restart_knockd_service
  1042.     Function: service.running
  1043.         Name: knockd.service
  1044.       Result: True
  1045.      Comment: Started Service knockd.service
  1046.      Started: 06:26:08.461999
  1047.     Duration: 168.812 ms
  1048.      Changes:   
  1049.               ----------
  1050.               knockd.service:
  1051.                   True
  1052. 

  1053. Summary for orjakone
  1054. ------------
  1055. Succeeded: 8 (changed=7)
  1056. Failed:    0
  1057. ------------
  1058. Total states run:     8
  1059. Total run time:  55.125 s
  1060. ```
  1061. 

  1062. Esimerkkikuva minion-koneen Knock daemonin konfiguraatiotiedostosta, jossa on vaihdettu porttinumero sen mukaan kuin se on määritelty minion-koneen SSH-asetuksissa:
  1063. 

  1064. ![minion-knockd-sample](https://raw.githubusercontent.com/Fincer/central-management-of-multiple-servers/master/images/minion-knockd-example.png)