User story #1201
closed
Should we really hide the Rudder server in the Rudder interface?
Added by Jonathan CLARKE over 13 years ago.
Updated over 12 years ago.
Category:
Web - Nodes & inventories
Description
We had a nice concept at one time of automatic groups: all nodes except Rudder servers, all Rudder servers, all servers/nodes.
We probably need to be able to apply policies to the Rudder server too, but it would be nice to at least see it in the inventory.
Ca pose pleins de problèmes :
- Si on affiche les policy serveurs dans les moteurs de recherches, ils vont être dans les groupes (ou alors, les groupes ne correspondront pas aux recherches)
- Si on a des PS dans des groupes, on risque d'avoir des CR qui leur sont appliqués, alors qu'on ne veut en général pas
- Comment definir une PI qui peut s'appliquer ou non à un PS ?
Nicolas CHARLES a écrit:
Ca pose pleins de problèmes :
- Si on affiche les policy serveurs dans les moteurs de recherches, ils vont être dans les groupes (ou alors, les groupes ne correspondront pas aux recherches)
- Si on a des PS dans des groupes, on risque d'avoir des CR qui leur sont appliqués, alors qu'on ne veut en général pas
Oui, c'est entre autres le but de cette question.
"On ne veut en général pas" --> sauf qu'une politique de sécurité qui s'applique à tout un SI, sauf au serveur qui gère la politique c'est un peu comme un président de la république qui outrepasserait les lois qu'il a créées :)
J'ai d'ores et déjà le cas aujourd'hui : ma politique "SSH" met tous mes serveurs SSH sur le port 5190 sans connexions par mot de passe autorisés, sauf que celui du serveur Rudder est resté en 22 avec ces connexions autorisées...
La question sous-jacente est pourquoi on a peur d'appliquer des CR sur le serveur Rudder ? De peur de casser son fonctionnement ? Si oui, pourquoi on ne mettrait pas une autre instance Cfengine (non configurable via Rudder) qui ne sert qu'à configurer le serveur Rudder (en gros celle qu'on a aujourd'hui) plus l'agent standard à côté ? Ou quelque chose du genre...
- Comment definir une PI qui peut s'appliquer ou non à un PS ?
Je pense pas qu'il faille. C'est tout de même à l'utilisateur de savoir ce qu'il installe où - rien ne l'empêche aujourd'hui d'installer autre chose manuellement sur le serveur Rudder, et ainsi de risquer de casser son fonctionnement.
- Target version changed from 9 to 10
- Target version changed from 10 to 19
- Target version changed from 19 to 18
We decided that it's too late to change this for 2.3. Re-discuss for 2.4.
- Target version changed from 18 to 24
- Assignee set to François ARMAND
This discussion has now come back to focus - we're working on this for 2.5. François, Nicolas, I assume this discussion may be of interest to you!
- Target version changed from 24 to 46
- Target version changed from 46 to 47
- Target version changed from 47 to 50
- Target version changed from 50 to 2.4.0~beta3
- Status changed from Discussion to Rejected
The decision was taken to manage the Rudder server in the interface.
I mark that one "rejected", as it was not really a bug but more an agora to discuss the topic.
Some of the relevant tickets are: #2720, #2721, #2778 and other.
Also available in: Atom
PDF
Updated by 
Updated by Jonathan CLARKE 
Updated by