Fincer
/
central-management-of-multiple-servers
mirror of https://github.com/Fincer/central-management-of-multiple-servers
1
0
Fork 0
Code Issues 0 Projects 0 Releases 0 Wiki Activity
Manage multiple server & client computers with SaltStack (finnish)
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
11 Commits
1 Branch
41 MiB
Tree: b541167271
Branches Tags
${ item.name }
Create branch ${ searchTerm }
from 'b541167271'
${ noResults }
central-management-of-multi.../h2.md

1052 lines
33 KiB
Raw Normal View History

Add Exercise 2
6 years ago
 
  1. Palvelinten hallinta - Harjoitus 2
  2. ==============
  3. 

  4. *Disclaimer:*
  5. --------------
  6. 

  7. Tämä harjoitus on tehty osana Haaga-Helian Tietojenkäsittelyn koulutusohjelman kurssia [Palvelinten hallinta (ICT4TN022, kevät 2018)](http://www.haaga-helia.fi/fi/opinto-opas/opintojaksokuvaukset/ICT4TN022). Kurssin pitäjänä toimii [Tero Karvinen](http://terokarvinen.com/), joka on määritellyt tämän harjoituksen tehtävänkuvaukset. Tehtävien vastaukset ovat Pekka Heleniuksen (allekirjoittanut) tuottamia.
  8. 

  9. 

  10. b) Laita käyttäjien kotisivut toimimaan Apachella - Salt
  11. --------------
  12. 

  13. **Vastaus:**
  14. 

  15. Olemme tässä vaiheessa luoneet perusedellytykset Masterille ja Minione(ille). Ks. [harjoitus 1](https://github.com/Fincer-altego/central-management-of-multiple-servers/blob/master/h1.md)
  16. 

  17. Luodaan Master-koneen kansioon _/srv/salt_ state-tiedosto *0_create_indexhtml.sls* komennolla *sudo nano /srv/salt/0_create_indexhtml.sls* ja täydennetään se sisällöllä:
  18. 

  19. ```
  20. # This is a Salt script for installing Apache HTTP daemon with

  21. # default userdir configuration to minion computers

  22. # Author: Pekka Helenius (~Fincer), 2018

  23. 

  24. #########################################

  25. # Install Apache HTTP daemon to minions

  26. 

  27. install_httpd_daemon:
  28.   pkg.installed:
  29.     - pkgs:
  30.       - apache2
  31. 

  32. #########################################

  33. # Enable Apache userdir module

  34. 

  35. httpd_userdir:
  36.   cmd.run:
  37.     - name: /usr/sbin/a2enmod userdir
  38.     - require:
  39.       - pkg: install_httpd_daemon
  40. 

  41. #########################################

  42. # Replace default index.html content

  43. 

  44. httpd_foo-index:
  45.   cmd.run:
  46.     - name: /bin/echo "foo" > /var/www/html/index.html
  47.     - require:
  48.       - cmd: httpd_userdir
  49.       - pkg: install_httpd_daemon
  50. 

  51. #########################################

  52. # Execute public_html script

  53. 

  54. execute_public_html:
  55.   cmd.script:
  56.     - name: salt://0_create_indexhtml.sh
  57.     - runas: root
  58. 

  59. #########################################

  60. # Restart Apache HTTP daemon

  61. 

  62. httpd_service_restart_userdir:
  63.   service.running:
  64.     - name: apache2.service
  65.     - watch:
  66.       - cmd: httpd_userdir
  67. 

  68. ``` 
  69. 

  70. Tiedoston oikeudet tulisi olla: u=rw, g=r, o=r (0644)
  71. 

  72. Harjoituksessa käytetään Debian-pohjaisia Xubuntu-käyttöjärjestelmiä (18.04 LTS).
  73. 

  74. Varmistetaan, että "orja" -alkuisiin orjakoneisiin (minions) saadaan yhteys suorittamalla master-koneella esim. komento:
  75. 

  76. ```
  77. [09/04/2018 22:01:26 - fincer: ~ ]$ sudo salt 'orja*' grains.item osrelease
  78. orjakone:
  79.     ----------
  80.     osrelease:
  81.         18.04
  82. ```
  83. 

  84. Luodaan master-koneelle seuraava shell-skripti */srv/salt/0_create_indexhtml.sh*, joka tuottaa kaikille orjakoneen käyttäjille kansion *public_html* testisivuineen:
  85. 

  86. ```
  87. #!/bin/sh

  88. 

  89. # Find home folders of system users (who are using bash as their default shell)

  90. for userhome in $(grep -E "\/bin\/bash" /etc/passwd | grep -v root | awk -F ':' '{print $(NF - 1)}'); do
  91. 

  92.     # Create public_html for found user
  93.     if [ ! -d "${userhome}"/public_html ]; then
  94.       mkdir -p "${userhome}"/public_html
  95. 

  96.       # Promote this user to be the owner of the created directory
  97.       chown $(stat --format "%u:%g" ${userhome}) "${userhome}"/public_html
  98. 

  99.       # Touch default index file for testing purposes
  100.       echo "This is my test site. I am user $(stat --format \"%U\" ${userhome}). Happy coding!" > "${userhome}"/public_html/index.html
  101.     fi
  102. 

  103. done
  104. ```
  105. 

  106. Suoritetaan tehtävänannossa edellytetty Apache HTTP-daemonin asennus minion-koneille:
  107. 

  108. ```
  109. sudo salt 'orja*' state.apply 0_create_indexhtml
  110. ```
  111. 

  112. Esimerkki-output (masterilla):
  113. 

  114. ```
  115. [09/04/2018 21:45:41 - fincer: salt ]$ sudo salt 'orja*' state.apply 0_create_indexhtml
  116. orjakone:
  117. ----------
  118.           ID: install_httpd_daemon
  119.     Function: pkg.installed
  120.       Result: True
  121.      Comment: All specified packages are already installed
  122.      Started: 03:06:06.583325
  123.     Duration: 377.198 ms
  124.      Changes:   
  125. ----------
  126.           ID: httpd_userdir
  127.     Function: cmd.run
  128.         Name: /usr/sbin/a2enmod userdir
  129.       Result: True
  130.      Comment: Command "/usr/sbin/a2enmod userdir" run
  131.      Started: 03:06:06.962361
  132.     Duration: 19.784 ms
  133.      Changes:   
  134.               ----------
  135.               pid:
  136.                   20406
  137.               retcode:
  138.                   0
  139.               stderr:
  140.               stdout:
  141.                   Module userdir already enabled
  142. ----------
  143.           ID: httpd_foo-index
  144.     Function: cmd.run
  145.         Name: /bin/echo "foo" > /var/www/html/index.html
  146.       Result: True
  147.      Comment: Command "/bin/echo "foo" > /var/www/html/index.html" run
  148.      Started: 03:06:06.982499
  149.     Duration: 3.978 ms
  150.      Changes:   
  151.               ----------
  152.               pid:
  153.                   20411
  154.               retcode:
  155.                   0
  156.               stderr:
  157.               stdout:
  158. ----------
  159.           ID: execute_public_html
  160.     Function: cmd.script
  161.         Name: salt://0_create_indexhtml.sh
  162.       Result: True
  163.      Comment: Command 'salt://0_create_indexhtml.sh' run
  164.      Started: 03:06:06.986594
  165.     Duration: 415.176 ms
  166.      Changes:   
  167.               ----------
  168.               pid:
  169.                   20432
  170.               retcode:
  171.                   0
  172.               stderr:
  173.               stdout:
  174. ----------
  175.           ID: httpd_service_restart_userdir
  176.     Function: service.running
  177.         Name: apache2.service
  178.       Result: True
  179.      Comment: Service restarted
  180.      Started: 03:06:07.435663
  181.     Duration: 124.998 ms
  182.      Changes:   
  183.               ----------
  184.               apache2.service:
  185.                   True
  186. 

  187. Summary for orjakone
  188. ------------
  189. Succeeded: 5 (changed=4)
  190. Failed:    0
  191. ------------
  192. Total states run:     5
  193. Total run time: 941.134 ms
  194. ```
  195. 

  196. Minion-koneelta voimme tarkastaa, onko kansio *public_html* ja tiedosto *index.html* luotu (esim. orjakone:en käyttäjälle fincer):
  197. 

  198. ```
  199. [09/04/2018 21:46:59 - fincer: salt ]$ sudo salt 'orjakone' cmd.run 'cat /home/fincer/public_html/index.html'
  200. orjakone:
  201.     This is my test site. I am user "fincer". Happy coding!
  202. ```
  203. 

  204. c) Laita PHP toimimaan käyttäjien kotisivuilla - Salt (Huomaa, että PHP toimii oletuksena kaikkialla muualla kuin käyttäjien public_html-kotisivuilla.)
  205. --------------
  206. 

  207. **Vastaus:**
  208. 

  209. Tehtävässä pitää orjakoneilta (minions) kytkeä PHP päälle userdir-moduulin kanssa editoimalla konfiguraatiotiedostoa /etc/apache2/mods-available/php*.conf (missä * on php-versio).
  210. Tämä vaihe voidaan tehdä kahdella tavalla:
  211. 

  212. - 1) Luodaan master-koneelle uusi konfiguraatiotiedosto (php*.conf) samalla sisällöllä, mutta kommentoidaan userdir-moduulin edellyttämät rivit tiedostosta (tiedostossa on selkeät ohjeet tähän)
  213. 

  214. - 2) Luodaan skripti, jonka tehtävänä on lisätä kommenttimerkit orjakoneiden php*.conf -tiedoston relevanttiin osioon
  215. 

  216. Molemmat vaihtoehdot määritetään suoritettavaksi master:lla Saltin state-tiedostossa. Toteutetaan vaihtoehto 2.
  217. 

  218. Luodaan master-koneella shell-skripti */srv/salt/1_enable_php-for-userdir.sh* sisällöllä:
  219. 

  220. ```
  221. #!/bin/sh

  222. 

  223. # Enable PHP for userdir module in Apache

  224. # Author: Pekka Helenius, 2018

  225. 

  226. PHP_CONF_FILE="$(ls /etc/apache2/mods-available/php*.conf)"
  227. 

  228. IFS="
  229. "
  230. 

  231. for line in $(cat "${PHP_CONF_FILE}" | sed -n '/\<IfModule mod_userdir\.c>/,/\<\/IfModule>/p;/\<\/IfModule>/q'); do
  232.     sed_line=$(echo "${line}" | sed 's!\*!\\*!g;')
  233.     sed -ir "s!${sed_line}!#${sed_line}!" "${PHP_CONF_FILE}"
  234. done
  235. 

  236. unset IFS
  237. 

  238. ```
  239. 

  240. Luodaan master-koneella toinenkin shell-skripti */srv/salt/1_create_indexphp.sh* seuraavalla sisällöllä:
  241. 

  242. ```
  243. #!/bin/sh

  244. 

  245. # Find home folders of system users (who are using bash as their default shell)

  246. for userhome in $(grep -E "\/bin\/bash" /etc/passwd | grep -v root | awk -F ':' '{print $(NF - 1)}'); do
  247. 

  248.     # Create public_html for found user
  249.     if [ ! -d "${userhome}"/public_html ]; then
  250.       mkdir -p "${userhome}"/public_html
  251. 

  252.       # Promote this user to be the owner of the created directory
  253.       chown $(stat --format "%u:%g" ${userhome}) "${userhome}"/public_html
  254. 

  255.       # Rename existing index.html if exists
  256.       if [ -f "${userhome}"/public_html/index.html ]; then
  257.         mv "${userhome}"/public_html/index.html "${userhome}"/public_html/index.html.old
  258.       fi
  259. 

  260.       # Touch default index PHP file for testing purposes
  261.       echo "<?php print('This is PHP code. I am user $(stat --format \"%U\" ${userhome}). Happy coding!'); ?>" > "${userhome}"/public_html/index.php
  262.     fi
  263. 

  264. done
  265. 

  266. ```
  267. 

  268. Luodaan master-koneelle state-määritystiedosto */srv/salt/1_create_indexphp.sls* sisällöllä:
  269. 

  270. ```
  271. # Author: Pekka Helenius (~Fincer), 2018

  272. 

  273. #########################################

  274. # Variables

  275. 

  276. # PHP module for Apache in Debian

  277. {% set ENABLE_PHP_MODULE = "/usr/sbin/a2enmod $(a2query -m | awk '{print $1}' | grep php)" %}
  278. 

  279. {% set USERDIR_ENABLE_STATUS = "a2query -m | grep userdir | grep 'enabled by' &>/dev/null || /usr/sbin/a2enmod userdir" %}
  280. 

  281. #########################################

  282. # Install PHP addons for Apache HTTP daemon (with dependencies)

  283. 

  284. install_httpd_php:
  285.   pkg.installed:
  286.     - pkgs:
  287.       - apache2
  288.       - libapache2-mod-php
  289. 

  290. #########################################

  291. # Find if userdir module is enabled

  292. 

  293. check_userdir_status:
  294.   cmd.run:
  295.     - name: {{ USERDIR_ENABLE_STATUS }}
  296.     - require:
  297.       - pkg: install_httpd_php
  298. 

  299. #########################################

  300. # Enable PHP for users

  301. 

  302. execute_userdir_php_script:
  303.   cmd.script:
  304.     - name: salt://apache/1_enable_php-for-userdir.sh
  305.     - runas: root
  306.     - require:
  307.       - cmd: check_userdir_status
  308. 

  309. add_indexphp_files:
  310.   cmd.script:
  311.     - name: salt://apache/1_create_indexphp.sh
  312.     - runas: root
  313.     - require:
  314.       - cmd: execute_userdir_php_script
  315. 

  316. #########################################

  317. # Enable PHP module (should be done already, though)

  318. 

  319. enable_httpd_php:
  320.   cmd.run:
  321.     - name: {{ ENABLE_PHP_MODULE }}
  322. 

  323. #########################################

  324. # Restart Apache HTTP daemon

  325. 

  326. httpd_service_restart_php:
  327.   service.running:
  328.     - name: apache2.service
  329.     - watch:
  330.       - cmd: check_userdir_status
  331.       - cmd: execute_userdir_php_script
  332. 

  333. ```
  334. 

  335. Esimerkki-output master-koneella:
  336. 

  337. ```
  338. [09/04/2018 23:13:27 - fincer: ~ ]$ sudo salt 'orjakone' state.apply 1_create_indexphp
  339. orjakone:
  340. ----------
  341.           ID: install_httpd_php
  342.     Function: pkg.installed
  343.       Result: True
  344.      Comment: All specified packages are already installed
  345.      Started: 03:12:05.777863
  346.     Duration: 387.502 ms
  347.      Changes:   
  348. ----------
  349.           ID: check_userdir_status
  350.     Function: cmd.run
  351.         Name: a2query -m | grep userdir | grep 'enabled by' &>/dev/null || /usr/sbin/a2enmod userdir
  352.       Result: True
  353.      Comment: Command "a2query -m | grep userdir | grep 'enabled by' &>/dev/null || /usr/sbin/a2enmod userdir" run
  354.      Started: 03:12:06.167690
  355.     Duration: 37.4 ms
  356.      Changes:   
  357.               ----------
  358.               pid:
  359.                   20663
  360.               retcode:
  361.                   0
  362.               stderr:
  363.               stdout:
  364.                   userdir (enabled by site administrator)
  365. ----------
  366.           ID: execute_userdir_php_script
  367.     Function: cmd.script
  368.         Name: salt://1_enable_php-for-userdir.sh
  369.       Result: True
  370.      Comment: Command 'salt://1_enable_php-for-userdir.sh' run
  371.      Started: 03:12:06.206077
  372.     Duration: 192.94 ms
  373.      Changes:   
  374.               ----------
  375.               pid:
  376.                   20690
  377.               retcode:
  378.                   0
  379.               stderr:
  380.               stdout:
  381. ----------
  382.           ID: add_indexphp_files
  383.     Function: cmd.script
  384.         Name: salt://1_create_indexphp.sh
  385.       Result: True
  386.      Comment: Command 'salt://1_create_indexphp.sh' run
  387.      Started: 03:12:06.399689
  388.     Duration: 142.251 ms
  389.      Changes:   
  390.               ----------
  391.               pid:
  392.                   20734
  393.               retcode:
  394.                   0
  395.               stderr:
  396.               stdout:
  397. ----------
  398.           ID: enable_httpd_php
  399.     Function: cmd.run
  400.         Name: /usr/sbin/a2enmod $(a2query -m | awk '{print $1}' | grep php)
  401.       Result: True
  402.      Comment: Command "/usr/sbin/a2enmod $(a2query -m | awk '{print $1}' | grep php)" run
  403.      Started: 03:12:06.542066
  404.     Duration: 68.876 ms
  405.      Changes:   
  406.               ----------
  407.               pid:
  408.                   20741
  409.               retcode:
  410.                   0
  411.               stderr:
  412.               stdout:
  413.                   Considering dependency mpm_prefork for php7.2:
  414.                   Considering conflict mpm_event for mpm_prefork:
  415.                   Considering conflict mpm_worker for mpm_prefork:
  416.                   Module mpm_prefork already enabled
  417.                   Considering conflict php5 for php7.2:
  418.                   Module php7.2 already enabled
  419. ----------
  420.           ID: httpd_service_restart_php
  421.     Function: service.running
  422.         Name: apache2.service
  423.       Result: True
  424.      Comment: Service restarted
  425.      Started: 03:12:06.635009
  426.     Duration: 87.188 ms
  427.      Changes:   
  428.               ----------
  429.               apache2.service:
  430.                   True
  431. 

  432. Summary for orjakone
  433. ------------
  434. Succeeded: 6 (changed=5)
  435. Failed:    0
  436. ------------
  437. Total states run:     6
  438. Total run time: 916.157 ms
  439. ```
  440. 

  441. d) Rakenna tila (state), joka tekee Apachelle uuden nimipohjaisen virtuaalipalvelimen (name based virtual hosting). Voit simuloida nimipalvelun toimintaa hosts-tiedoston avulla.
  442. --------------
  443. 

  444. **Vastaus:**
  445. 

  446. **HUOM!** Tämän olisi voinut tehdä myös luomalla esim. index.html- ja sivustokonfiguraatiotiedostot masterilla, josta ne siirrettäisiin minioneille (file). Nämä määritykset tehdään state-tiedostossa, luonnollisesti. Paljon parempi tapa, jos on esimerkiksi tarkoitus laittaa juuri samansisältöinen _/etc/apache2/sites-available/*.conf_ -tiedosto/template ja samansisältöinen, masterilta päivitettävissä oleva index.html -tiedosto minioneille. Tein nyt huvikseni seuraavalla tavalla, vaikka tiedän, ettei se nyt ihan nappiin menekkään.
  447. 

  448. Luodaan master-koneen */srv/salt/* -kansioon state/konfiguraatiotiedosto *apache_virtualhost_example.sls* sisällöllä:
  449. 

  450. ```
  451. # Author: Pekka Helenius (~Fincer), 2018

  452. 

  453. #########################################

  454. # Install Apache HTTP daemon to minions

  455. 

  456. install_httpd_daemon:
  457.   pkg.installed:
  458.     - pkgs:
  459.       - apache2
  460. 

  461. #########################################

  462. 

  463. copy_httpd_defaultsite:
  464.   cmd.run:
  465.     - name: '[ ! -f /etc/apache2/sites-available/$(hostname)-example.conf ] && cd /etc/apache2/sites-available && cp 000-default.conf $(hostname)-example.conf || false'
  466.     - require:
  467.       - pkg: install_httpd_daemon
  468. 

  469. create_site_rootdir:
  470.   cmd.run:
  471.     - name: /bin/mkdir -p /var/www/html/$(hostname)
  472.     - require:
  473.       - pkg: install_httpd_daemon
  474. 

  475. enable_httpd_servername:
  476.   cmd.run:
  477.     - name: /bin/sed -i "s/#ServerName www\.example\.com/ServerName $(hostname).example.com/" /etc/apache2/sites-available/$(hostname)-example.conf
  478.     - require:
  479.       - cmd: copy_httpd_defaultsite
  480. 

  481. change_defaultsite_root:
  482.   cmd.run:
  483.     - name: /bin/sed -i "s/DocumentRoot \/var\/www\/html/DocumentRoot \/var\/www\/html\/$(hostname)/" /etc/apache2/sites-available/$(hostname)-example.conf
  484.     - require:
  485.       - cmd: enable_httpd_servername
  486. 

  487. enable_httpd_defaultsite:
  488.   cmd.run:
  489.     - name: /usr/sbin/a2ensite $(hostname)-example.conf
  490.     - require:
  491.       - cmd: change_defaultsite_root
  492.       - cmd: copy_httpd_defaultsite
  493.       - pkg: install_httpd_daemon 
  494. 

  495. add_virtualhost_string:
  496.   cmd.run:
  497.     - name: /bin/echo "127.0.0.1 $(hostname).example.com" > /etc/hosts
  498.     - require:
  499.       - cmd: enable_httpd_defaultsite
  500. 

  501. add_defaultsite_indexfile:
  502.   cmd.run:
  503.     - name: '[ ! -f /var/www/html/$(hostname)/index.html ] && /bin/echo "This is default HTML template for $(hostname) ($(hostname).example.com), created on $(date \"+%d-%m-%Y at %X\")" > /var/www/html/$(hostname)/index.html'
  504.     - require:
  505.       - cmd: create_site_rootdir
  506.       - cmd: add_virtualhost_string
  507.       - cmd: enable_httpd_defaultsite
  508. 

  509. restart_httpd_service:
  510.   service.running:
  511.     - name: apache2.service
  512.     - watch:
  513.       - cmd: enable_httpd_defaultsite
  514.       - cmd: add_defaultsite_indexfile
  515. ```
  516. 

  517. Ajetaan em. state masterilta minion-koneelle nimeltä "orjakone" (vain tälle yhdelle koneelle, ei muita orjia nyt!):
  518. 

  519. ```
  520. [10/04/2018 00:13:12 - fincer: ~ ]$ sudo salt 'orjakone' state.apply apache_virtualhost_example
  521. orjakone:
  522. ----------
  523.           ID: install_httpd_daemon
  524.     Function: pkg.installed
  525.       Result: True
  526.      Comment: All specified packages are already installed
  527.      Started: 05:20:27.160570
  528.     Duration: 360.254 ms
  529.      Changes:   
  530. ----------
  531.           ID: copy_httpd_defaultsite
  532.     Function: cmd.run
  533.         Name: [ ! -f /etc/apache2/sites-available/$(hostname)-example.conf ] && cd /etc/apache2/sites-available && cp 000-default.conf $(hostname)-example.conf || false
  534.       Result: False
  535.      Comment: Command "[ ! -f /etc/apache2/sites-available/$(hostname)-example.conf ] && cd /etc/apache2/sites-available && cp 000-default.conf $(hostname)-example.conf || false" run
  536.      Started: 05:20:27.522609
  537.     Duration: 4.361 ms
  538.      Changes:   
  539.               ----------
  540.               pid:
  541.                   22444
  542.               retcode:
  543.                   1
  544.               stderr:
  545.               stdout:
  546. ----------
  547.           ID: create_site_rootdir
  548.     Function: cmd.run
  549.         Name: /bin/mkdir -p /var/www/html/$(hostname)
  550.       Result: True
  551.      Comment: Command "/bin/mkdir -p /var/www/html/$(hostname)" run
  552.      Started: 05:20:27.527146
  553.     Duration: 3.26 ms
  554.      Changes:   
  555.               ----------
  556.               pid:
  557.                   22446
  558.               retcode:
  559.                   0
  560.               stderr:
  561.               stdout:
  562. ----------
  563.           ID: enable_httpd_servername
  564.     Function: cmd.run
  565.         Name: /bin/sed -i "s/#ServerName www\.example\.com/ServerName $(hostname).example.com/" /etc/apache2/sites-available/$(hostname)-example.conf
  566.       Result: False
  567.      Comment: One or more requisite failed: apache_virtualhost_example.copy_httpd_defaultsite
  568.      Changes:   
  569. ----------
  570.           ID: change_defaultsite_root
  571.     Function: cmd.run
  572.         Name: /bin/sed -i "s/DocumentRoot \/var\/www\/html/DocumentRoot \/var\/www\/html\/$(hostname)/" /etc/apache2/sites-available/$(hostname)-example.conf
  573.       Result: False
  574.      Comment: One or more requisite failed: apache_virtualhost_example.enable_httpd_servername
  575.      Changes:   
  576. ----------
  577.           ID: enable_httpd_defaultsite
  578.     Function: cmd.run
  579.         Name: /usr/sbin/a2ensite $(hostname)-example.conf
  580.       Result: False
  581.      Comment: One or more requisite failed: apache_virtualhost_example.copy_httpd_defaultsite, apache_virtualhost_example.change_defaultsite_root
  582.      Changes:   
  583. ----------
  584.           ID: add_virtualhost_string
  585.     Function: cmd.run
  586.         Name: /bin/echo "127.0.0.1 $(hostname).example.com" > /etc/hosts
  587.       Result: False
  588.      Comment: One or more requisite failed: apache_virtualhost_example.enable_httpd_defaultsite
  589.      Changes:   
  590. ----------
  591.           ID: add_defaultsite_indexfile
  592.     Function: cmd.run
  593.         Name: [ ! -f /var/www/html/$(hostname)/index.html ] && /bin/echo "This is default HTML template for $(hostname) ($(hostname).example.com), created on $(date \"+%d-%m-%Y at %X\")" > /var/www/html/$(hostname)/index.html
  594.       Result: False
  595.      Comment: One or more requisite failed: apache_virtualhost_example.add_virtualhost_string, apache_virtualhost_example.enable_httpd_defaultsite
  596.      Changes:   
  597. ----------
  598.           ID: restart_httpd_service
  599.     Function: service.running
  600.         Name: apache2.service
  601.       Result: False
  602.      Comment: One or more requisite failed: apache_virtualhost_example.add_defaultsite_indexfile, apache_virtualhost_example.enable_httpd_defaultsite
  603.      Changes:   
  604. 

  605. Summary for orjakone
  606. ------------
  607. Succeeded: 2 (changed=2)
  608. Failed:    7
  609. ------------
  610. Total states run:     9
  611. Total run time: 367.875 ms
  612. ```
  613. 

  614. Hups! Epäonnistumisia, emämunaus. Ihan odotettua, sillä...
  615. 

  616. ...epäonnistumiset johtuvat siitä, että olen määritellyt tietyt ID:t, kuten tässä tapauksessa ehkä kriittisimpänä copy_httpd_defaultsite:n, palauttamaan komennon suorittamisesta arvon false, mikäli mm. tiedosto $(hostname)-example.conf on jo olemassa. Koska kyseinen ID on riippuvuutena alemmille ID:ille, ja nämä ID:t edelleen riippuvuutena eteenpäin muille ID:lle, syntyy ketjureaktio, jossa epäonnistuneita tiloja tulee suuri määrä. Tässä tapauksessa 7 kpl. Tulos oli odotettu _tässä konfiguraatiossa_.
  617. 

  618. Orjakoneen selainnäkymässä (*xdg-open http://$(hostname).example.com*) ajettuna lopputulos näyttää tältä:
  619. 

  620. ![minion-virtualhost](https://raw.githubusercontent.com/Fincer-altego/central-management-of-multiple-servers/master/images/minion-example.png)
  621. 

  622. e) Tee tila, joka laittaa esimerkkikotisivun uusille käyttäjille. Voit laittaa esimerkkikotisivu /etc/skel/:iin, niin se tulee automaattisesti ‘adduser tero’ komennolla käyttäjiä luodessa.
  623. --------------
  624. 

  625. **Vastaus:**
  626. 

  627. **HUOM!** Tämä on osittain tehtynä jo vastauksissa b) ja c) (Mitä on tehty: On luotu jokaiselle käyttäjälle index.html (b) ja PHP:n kytkemisen yhteydessä index.php (c))
  628. 

  629. **HUOM!** Tässä olisi voinut hyödyntää esim. kansiorakennetta _/srv/salt/apache_, jonne laitettu state-tiedostot. Nyt toimitaan vielä yksinkertaisemmalla pohjalla, minkä takia state-tiedostoissa esiintyy päällekkäisyyttä. Monimutkaisemmissa konfiguraatioissa puu-rakennetta olisi hyvä harkita (mandatory?).
  630. 

  631. Lisätään state *2_apache_skelsite.sls*, joka lisää esimerkkikotisivun määriteltyjen minion-koneiden hakemistoon _/etc/skel_ (teemme alihakemiston *public_html* tänne state-tiedostossa...):
  632. 

  633. ```
  634. # Author: Pekka Helenius (~Fincer), 2018

  635. 

  636. #########################################

  637. # Install Apache HTTP daemon to minions

  638. 

  639. install_httpd_daemon:
  640.   pkg.installed:
  641.     - pkgs:
  642.       - apache2
  643. 

  644. #########################################

  645. # Enable Apache userdir module

  646. 

  647. httpd_userdir:
  648.   cmd.run:
  649.     - name: /usr/sbin/a2enmod userdir
  650.     - require:
  651.       - pkg: install_httpd_daemon
  652. 

  653. #########################################

  654. # Replace default index.html content

  655. 

  656. httpd_foo-index:
  657.   cmd.run:
  658.     - name: /bin/echo "foo" > /var/www/html/index.html
  659.     - require:
  660.       - cmd: httpd_userdir
  661.       - pkg: install_httpd_daemon
  662. 

  663. #########################################

  664. # Restart Apache HTTP daemon

  665. 

  666. httpd_service_restart_skelsite:
  667.   service.running:
  668.     - name: apache2.service
  669.     - watch:
  670.       - cmd: httpd_userdir
  671. 

  672. #########################################

  673. # Create /etc/skel/public_html

  674. apache_add_skel_html_dir:
  675.   cmd.run:
  676.     - name: /bin/mkdir -p /etc/skel/public_html
  677.     - require:
  678.       - service: httpd_service_restart_skelsite
  679. 

  680. #########################################

  681. # Add index.html

  682. apache_default_userindex_file:
  683.   cmd.run:
  684.     - name: /bin/echo "Empty HTML template" > /etc/skel/public_html/index.html
  685.     - require:
  686.        - cmd: apache_add_skel_html_dir
  687. 

  688. ```
  689. 

  690. Master-koneen output:
  691. 

  692. ```
  693. [10/04/2018 01:15:01 - fincer: ~ ]$ sudo salt 'orjakone' state.apply 2_apache_skelsite
  694. orjakone:
  695. ----------
  696.           ID: install_httpd_daemon
  697.     Function: pkg.installed
  698.       Result: True
  699.      Comment: All specified packages are already installed
  700.      Started: 03:46:46.743389
  701.     Duration: 368.537 ms
  702.      Changes:   
  703. ----------
  704.           ID: httpd_userdir
  705.     Function: cmd.run
  706.         Name: /usr/sbin/a2enmod userdir
  707.       Result: True
  708.      Comment: Command "/usr/sbin/a2enmod userdir" run
  709.      Started: 03:46:47.113788
  710.     Duration: 21.611 ms
  711.      Changes:   
  712.               ----------
  713.               pid:
  714.                   21155
  715.               retcode:
  716.                   0
  717.               stderr:
  718.               stdout:
  719.                   Module userdir already enabled
  720. ----------
  721.           ID: httpd_foo-index
  722.     Function: cmd.run
  723.         Name: /bin/echo "foo" > /var/www/html/index.html
  724.       Result: True
  725.      Comment: Command "/bin/echo "foo" > /var/www/html/index.html" run
  726.      Started: 03:46:47.135793
  727.     Duration: 4.274 ms
  728.      Changes:   
  729.               ----------
  730.               pid:
  731.                   21160
  732.               retcode:
  733.                   0
  734.               stderr:
  735.               stdout:
  736. ----------
  737.           ID: httpd_service_restart_skelsite
  738.     Function: service.running
  739.         Name: apache2.service
  740.       Result: True
  741.      Comment: Service restarted
  742.      Started: 03:46:47.161935
  743.     Duration: 103.555 ms
  744.      Changes:   
  745.               ----------
  746.               apache2.service:
  747.                   True
  748. ----------
  749.           ID: apache_add_skel_html_dir
  750.     Function: cmd.run
  751.         Name: /bin/mkdir -p /etc/skel/public_html
  752.       Result: True
  753.      Comment: Command "/bin/mkdir -p /etc/skel/public_html" run
  754.      Started: 03:46:47.265901
  755.     Duration: 73.066 ms
  756.      Changes:   
  757.               ----------
  758.               pid:
  759.                   21178
  760.               retcode:
  761.                   0
  762.               stderr:
  763.               stdout:
  764. ----------
  765.           ID: apache_default_userindex_file
  766.     Function: cmd.run
  767.         Name: /bin/echo "Empty HTML template" > /etc/skel/public_html/index.html
  768.       Result: True
  769.      Comment: Command "/bin/echo "Empty HTML template" > /etc/skel/public_html/index.html" run
  770.      Started: 03:46:47.341257
  771.     Duration: 13.803 ms
  772.      Changes:   
  773.               ----------
  774.               pid:
  775.                   21185
  776.               retcode:
  777.                   0
  778.               stderr:
  779.               stdout:
  780. 

  781. Summary for orjakone
  782. ------------
  783. Succeeded: 6 (changed=5)
  784. Failed:    0
  785. ------------
  786. Total states run:     6
  787. Total run time: 584.846 ms
  788. ```
  789. 

  790. Minion-koneelta tarkistusta (master-koneella katsottuna):
  791. 

  792. ```
  793. [10/04/2018 02:54:51 - fincer: ~ ]$ sudo salt 'orjakone' cmd.run '/bin/ls /etc/skel && [ -d /etc/skel/public_html ] && /bin/cat /etc/skel/public_html/*'
  794. orjakone:
  795.     index.html
  796.     public_html
  797.     Empty HTML template
  798. ```
  799. 

  800. f) Eri asetukset. Tee Package-File-Service tilalla eri asetuksia kuin ne, mitä tehtiin tunnilla; ja eri kuin mitä teit/teet h2 muissa kohdissa. Voit muuttaa jotain toista asetusta samoista demoneista tai valita kokonaan eri demonit.
  801. --------------
  802. 

  803. **Vastaus:**
  804. 

  805. Toteutetaan Knock daemonin (knockd - small port-knock daemon) -asennus.
  806. 

  807. Luodaan master-koneelle tiedosto */srv/salt/knockd.conf*, joka annetaan valituille minioneille (asennetaan polkuun */etc/knockd.conf*)
  808. 

  809. Haluttu *knockd.conf*:n sisältö (_/srv/salt/knockd.conf_):
  810. 

  811. ```
  812. [options]
  813.     UseSyslog
  814. 

  815. [openSSH]
  816.     sequence    = tcp:7065,udp:2431,tcp:421,tcp:4113
  817.     seq_timeout = 5
  818.     command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  819.     tcpflags    = syn
  820. 

  821. [closeSSH]
  822.     sequence    = tcp:4113,tcp:421,udp:2431,tcp:7065
  823.     seq_timeout = 5
  824.     command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  825.     tcpflags    = syn
  826. 

  827. ```
  828. 

  829. Luodaan master-koneelle state-tiedosto _/srv/salt/install_knockd.sls_:
  830. 

  831. ```
  832. # Author: Pekka Helenius (~Fincer), 2018

  833. 

  834. #########################################

  835. # Install Knock daemon to minions

  836. 

  837. check_ssh:
  838.   pkg.installed:
  839.     - pkgs:
  840.       - ssh
  841. 

  842. install_knockd:
  843.   pkg.installed:
  844.     - pkgs:
  845.       - knockd
  846. 

  847. # Deliver Knock daemon configuration file to minions

  848. deliver_knockd-conf:
  849.   file.managed:
  850.     - name: /etc/knockd.conf
  851.     - user: root
  852.     - group: root
  853.     - mode: 644
  854.     - source: salt://knockd.conf
  855.     - require:
  856.       - pkg: install_knockd
  857. 

  858. # Do not proceed if any SSH sessions are open in minion's side. This is just to avoid any harmful effects

  859. prevent_if_ssh_sessions_open:
  860.   cmd.run:
  861.   - name: 'if [ $(/bin/netstat -tnpa | grep "ESTABLISHED.*sshd" | wc -l) -gt 0 ]; then false; fi'
  862.   - require:
  863.     - pkg: check_ssh
  864. 

  865. # PROCEED ONLY IF NO SSH SESSIONS ARE OPEN

  866. #
  867. # Drop SSH port connections. Use port which is defined in minion's /etc/ssh/sshd_config file

  868. drop_ssh_port:
  869.   cmd.run:
  870.   - name: /sbin/iptables -A INPUT -p tcp --dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}') -j DROP
  871.   - require:
  872.     - cmd: prevent_if_ssh_sessions_open
  873.     - pkg: check_ssh
  874.     - file: deliver_knockd-conf
  875. 

  876. # Change default SSH port 22 in minion's /etc/knockd.conf file:

  877. post-configure_knockd-conf:
  878.   cmd.run:
  879.   - name: /bin/sed -i "s/dport 22/dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}')/" /etc/knockd.conf
  880.   - require:
  881.     - pkg: check_ssh
  882.     - file: deliver_knockd-conf
  883. 

  884. # Enable knockd daemon

  885. enable_knockd_service:
  886.   cmd.run:
  887.     - name: /bin/systemctl enable knockd.service
  888.     - require:
  889.       - pkg: install_knockd
  890. 

  891. # Restart knockd daemon

  892. restart_knockd_service:
  893.   service.running:
  894.     - name: knockd.service
  895.     - watch:
  896.       - cmd: post-configure_knockd-conf
  897. ```
  898. 

  899. Esimerkki-output master-koneella ajettuna:
  900. 

  901. ```
  902. [10/04/2018 06:17:11 - fincer: ~ ]$ sudo salt 'orjakone' state.apply install_knockd
  903. orjakone:
  904. ----------
  905.           ID: check_ssh
  906.     Function: pkg.installed
  907.       Result: True
  908.      Comment: All specified packages are already installed
  909.      Started: 06:25:12.849731
  910.     Duration: 366.695 ms
  911.      Changes:   
  912. ----------
  913.           ID: install_knockd
  914.     Function: pkg.installed
  915.       Result: True
  916.      Comment: The following packages were installed/updated: knockd
  917.      Started: 06:25:13.216541
  918.     Duration: 53498.645 ms
  919.      Changes:   
  920.               ----------
  921.               knockd:
  922.                   ----------
  923.                   new:
  924.                       0.7-1ubuntu1
  925.                   old:
  926. ----------
  927.           ID: deliver_knockd-conf
  928.     Function: file.managed
  929.         Name: /etc/knockd.conf
  930.       Result: True
  931.      Comment: File /etc/knockd.conf updated
  932.      Started: 06:26:06.717147
  933.     Duration: 17.544 ms
  934.      Changes:   
  935.               ----------
  936.               diff:
  937.                   --- 
  938.                   +++ 
  939.                   @@ -1,15 +1,14 @@
  940.                    [options]
  941.                   -	UseSyslog
  942.                   +    UseSyslog
  943.                    
  944.                    [openSSH]
  945.                   -	sequence    = 7000,8000,9000
  946.                   -	seq_timeout = 5
  947.                   -	command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  948.                   -	tcpflags    = syn
  949.                   +    sequence    = tcp:7065,udp:2431,tcp:421,tcp:4113
  950.                   +    seq_timeout = 5
  951.                   +    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  952.                   +    tcpflags    = syn
  953.                    
  954.                    [closeSSH]
  955.                   -	sequence    = 9000,8000,7000
  956.                   -	seq_timeout = 5
  957.                   -	command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  958.                   -	tcpflags    = syn
  959.                   -
  960.                   +    sequence    = tcp:4113,tcp:421,udp:2431,tcp:7065
  961.                   +    seq_timeout = 5
  962.                   +    command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  963.                   +    tcpflags    = syn
  964. ----------
  965.           ID: prevent_if_ssh_sessions_open
  966.     Function: cmd.run
  967.         Name: if [ $(/bin/netstat -tnpa | grep "ESTABLISHED.*sshd" | wc -l) -gt 0 ]; then false; fi
  968.       Result: True
  969.      Comment: Command "if [ $(/bin/netstat -tnpa | grep "ESTABLISHED.*sshd" | wc -l) -gt 0 ]; then false; fi" run
  970.      Started: 06:26:06.735404
  971.     Duration: 59.527 ms
  972.      Changes:   
  973.               ----------
  974.               pid:
  975.                   23916
  976.               retcode:
  977.                   0
  978.               stderr:
  979.               stdout:
  980. ----------
  981.           ID: drop_ssh_port
  982.     Function: cmd.run
  983.         Name: /sbin/iptables -A INPUT -p tcp --dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}') -j DROP
  984.       Result: True
  985.      Comment: Command "/sbin/iptables -A INPUT -p tcp --dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}') -j DROP" run
  986.      Started: 06:26:06.795619
  987.     Duration: 457.367 ms
  988.      Changes:   
  989.               ----------
  990.               pid:
  991.                   23927
  992.               retcode:
  993.                   0
  994.               stderr:
  995.               stdout:
  996. ----------
  997.           ID: post-configure_knockd-conf
  998.     Function: cmd.run
  999.         Name: /bin/sed -i "s/dport 22/dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}')/" /etc/knockd.conf
  1000.       Result: True
  1001.      Comment: Command "/bin/sed -i "s/dport 22/dport $(grep -E ^[#P]+ort /etc/ssh/sshd_config | awk '{print $2}')/" /etc/knockd.conf" run
  1002.      Started: 06:26:07.253529
  1003.     Duration: 16.545 ms
  1004.      Changes:   
  1005.               ----------
  1006.               pid:
  1007.                   23963
  1008.               retcode:
  1009.                   0
  1010.               stderr:
  1011.               stdout:
  1012. ----------
  1013.           ID: enable_knockd_service
  1014.     Function: cmd.run
  1015.         Name: /bin/systemctl enable knockd.service
  1016.       Result: True
  1017.      Comment: Command "/bin/systemctl enable knockd.service" run
  1018.      Started: 06:26:07.270551
  1019.     Duration: 539.568 ms
  1020.      Changes:   
  1021.               ----------
  1022.               pid:
  1023.                   23968
  1024.               retcode:
  1025.                   0
  1026.               stderr:
  1027.               stdout:
  1028. ----------
  1029.           ID: restart_knockd_service
  1030.     Function: service.running
  1031.         Name: knockd.service
  1032.       Result: True
  1033.      Comment: Started Service knockd.service
  1034.      Started: 06:26:08.461999
  1035.     Duration: 168.812 ms
  1036.      Changes:   
  1037.               ----------
  1038.               knockd.service:
  1039.                   True
  1040. 

  1041. Summary for orjakone
  1042. ------------
  1043. Succeeded: 8 (changed=7)
  1044. Failed:    0
  1045. ------------
  1046. Total states run:     8
  1047. Total run time:  55.125 s
  1048. ```
  1049. 

  1050. Esimerkkikuva minion-koneen Knock daemonin konfiguraatiotiedostosta, jossa on vaihdettu porttinumero sen mukaan kuin se on määritelty minion-koneen SSH-asetuksissa:
  1051. 

  1052. ![minion-knockd-sample](https://raw.githubusercontent.com/Fincer-altego/central-management-of-multiple-servers/master/images/minion-knockd-example.png)