Encore un bug Ganeti

Petite blagou­nette de Ganeti, à cause de la version d’OpenSSH de Debian Stretch.

Adonc, la situa­tion : j’ai récem­ment voulu ajou­ter un nouveau serveur au clus­ter Ganeti de Frama­soft. Et pas moyen pour ganeti de contac­ter le nouveau nœud une fois qu’il y a ajouté sa clé SSH (les commu­ni­ca­tions entre les nœuds passent par SSH).

Tous les serveurs du clus­ter avaient été récem­ment mis à jour vers Debian Stretch, vu que je n’aime pas me traî­ner de vieilles versions des systèmes que je gère, et qu’on profite géné­ra­le­ment de nouvelles règles de sécu­rité.

Et en effet, la version d’OpenSSH de Stretch, la version 7, désac­tive par défaut l’uti­li­sa­tion de clés DSA.

Pour notre malheur, Ganeti utilise des clés DSA pour la commu­ni­ca­tion entre les nœuds du clus­ter. Impos­sible du coup pour Ganeti de se connec­ter au nouveau nœud avec sa clé DSA.

En atten­dant la sortie de Ganeti 2.16 qui devrait permettre de choi­sir le type de clés à employer, on va, pour contour­ner le souci, modi­fier les fichiers /etc/ssh/ssh_config et /etc/ssh/sshd_config pour y ajou­ter :

PubkeyAcceptedKeyTypes=+ssh-dss

Ne me jugez pas, je sais que c’est très sale, mais c’est le seul moyen que j’ai trouvé pour pouvoir conti­nuer à opérer mon clus­ter Ganeti.

EDIT (10 décembre 2017) : La version de Ganeti de Debian 9.3 permet de chan­ger le type des clés SSH de Ganeti ! Vous pouvez, après avoir passé tous les nœuds de votre clus­ter en Debian 9.3, modi­fier le type de clé utilisé avec la commande

gnt-cluster renew-crypto --new-ssh-keys --ssh-key-type=rsa --ssh-key-bits=2048

Allez voir la page de manuel de gnt-cluster, à la section INIT pour voir les options. Vous pouvez utili­ser des clés DSA, RSA et ECDSA.

Crédit : Photo de Santosh Maharjan sur Unsplash

Me soutenir sur Tipeee Me soutenir sur Liberapay

3 réflexions au sujet de « Encore un bug Ganeti »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *