User story #1201
closedShould we really hide the Rudder server in the Rudder interface?
Description
We had a nice concept at one time of automatic groups: all nodes except Rudder servers, all Rudder servers, all servers/nodes.
We probably need to be able to apply policies to the Rudder server too, but it would be nice to at least see it in the inventory.
Updated by Nicolas CHARLES over 13 years ago
- Si on affiche les policy serveurs dans les moteurs de recherches, ils vont être dans les groupes (ou alors, les groupes ne correspondront pas aux recherches)
- Si on a des PS dans des groupes, on risque d'avoir des CR qui leur sont appliqués, alors qu'on ne veut en général pas
- Comment definir une PI qui peut s'appliquer ou non à un PS ?
Updated by Jonathan CLARKE over 13 years ago
Nicolas CHARLES a écrit:
Ca pose pleins de problèmes :
- Si on affiche les policy serveurs dans les moteurs de recherches, ils vont être dans les groupes (ou alors, les groupes ne correspondront pas aux recherches)
- Si on a des PS dans des groupes, on risque d'avoir des CR qui leur sont appliqués, alors qu'on ne veut en général pas
Oui, c'est entre autres le but de cette question.
"On ne veut en général pas" --> sauf qu'une politique de sécurité qui s'applique à tout un SI, sauf au serveur qui gère la politique c'est un peu comme un président de la république qui outrepasserait les lois qu'il a créées :)
J'ai d'ores et déjà le cas aujourd'hui : ma politique "SSH" met tous mes serveurs SSH sur le port 5190 sans connexions par mot de passe autorisés, sauf que celui du serveur Rudder est resté en 22 avec ces connexions autorisées...
La question sous-jacente est pourquoi on a peur d'appliquer des CR sur le serveur Rudder ? De peur de casser son fonctionnement ? Si oui, pourquoi on ne mettrait pas une autre instance Cfengine (non configurable via Rudder) qui ne sert qu'à configurer le serveur Rudder (en gros celle qu'on a aujourd'hui) plus l'agent standard à côté ? Ou quelque chose du genre...
- Comment definir une PI qui peut s'appliquer ou non à un PS ?
Je pense pas qu'il faille. C'est tout de même à l'utilisateur de savoir ce qu'il installe où - rien ne l'empêche aujourd'hui d'installer autre chose manuellement sur le serveur Rudder, et ainsi de risquer de casser son fonctionnement.
Updated by Jonathan CLARKE over 13 years ago
- Target version changed from 9 to 10
Updated by Jonathan CLARKE about 13 years ago
- Target version changed from 10 to 19
Updated by Jonathan CLARKE about 13 years ago
- Target version changed from 19 to 18
We decided that it's too late to change this for 2.3. Re-discuss for 2.4.
Updated by François ARMAND about 13 years ago
- Target version changed from 18 to 24
Updated by Jonathan CLARKE over 12 years ago
- Assignee set to François ARMAND
This discussion has now come back to focus - we're working on this for 2.5. François, Nicolas, I assume this discussion may be of interest to you!
Updated by François ARMAND over 12 years ago
- Target version changed from 24 to 46
Updated by Jonathan CLARKE over 12 years ago
- Target version changed from 46 to 47
Updated by Jonathan CLARKE over 12 years ago
- Target version changed from 47 to 50
Updated by Jonathan CLARKE over 12 years ago
- Target version changed from 50 to 2.4.0~beta3
Updated by François ARMAND over 12 years ago
- Status changed from Discussion to Rejected