http://heartbleed.com というわけですが。
これに合わせてOpenSource Chef-Serverの更新(11.0.12)が提供開始されました。
Chef Server Heartbleed (CVE-2014-0160) Releases | Chef Blog
本体の更新
Chef-Serverのリリース記事には更新方法への案内がありませんが、本体の更新は方法は公式ドキュメントがあるのでそちらを参照してください。
Upgrade to Newer Versions of Chef Server 11.x
MarketPlace AMI版Chef-Serverの場合に事前作業
同梱のOhaiが7へアップグレードされた事への対応として、パッケージのアップグレード前に/etc/chef-server/chef-server.rb ファイルを編集する必要があります。
対象バージョンは11.0.12未満です。
5行目を次のように変更します。
server_name = ohai.cloud[:public_ipv4]
server_name = ohai[:cloud][:public_ipv4]
12行目を次のように変更します。
chef_server_webui['web_ui_admin_default_password'] = ohai.ec2[:instance_id]
chef_server_webui['web_ui_admin_default_password'] = ohai[:ec2][:instance_id]
SSLサーバ証明書の入れ替え
Chef-ServerスタックはNginxがロードバランサ役をしています。nginxの設定は次の場所にあります。
/var/opt/chef-server/nginx/etc/chef_https_lb.conf
キーペア情報はこんな感じ。
ssl_certificate /var/opt/chef-server/nginx/ca/xxx.xxx.xxx.xxx.crt; ssl_certificate_key /var/opt/chef-server/nginx/ca/xxx.xxx.xxx.xxx.key;
消す
入れ替えに悩む必要は特にありません。あるべき状態を崩してから収束をかけるだけです。
では、本来あるべきファイル達を消しちゃいましょう。
rm /var/opt/chef-server/nginx/ca/*
再作成させてリスタート
では再収束しましょう。消したキーペアはそこにあるべきかつ、機能する状態で設置されているという状態へ。
chef-server-ctl reconfigure
-- snip --
* file[/var/opt/chef-server/nginx/ca/54.196.59.133.key] action create
- create new file /var/opt/chef-server/nginx/ca/54.196.59.133.key
- update content in file /var/opt/chef-server/nginx/ca/54.196.59.133.key from none to a7e726
--- /var/opt/chef-server/nginx/ca/54.196.59.133.key 2014-04-10 04:27:09.130359856 +0000
+++ /tmp/.54.196.59.133.key20140410-4653-1tgc4lt 2014-04-10 04:27:09.130359856 +0000
@@ -0,0 +1,27 @@
+-----BEGIN RSA PRIVATE KEY-----
+MIIEowIBAAKCAQEAtVJ96Mn8pkYby+OPStyuKPxAx4vOjzNj9GtaZVtWCTKauzFX
+va0PbqXuiEg1HUvDWHytSAt+mGtPZMIwOdOpHb5dVjGcHa2YGdWbFeIz26uc3ZTD
+OB86hcFfBfmnUcNAGNwrtv1G8g+EeWE5zHxA07BAmyYQ9FQb9LchUtXQUmZAmRr2
-- snip --
キーペアが無いので作られました。
chef-server-ctl restart
これで完了です。
Author Profile
-
sawanoboly@higanworksについて
HiganWorks LLCの代表、クラウドを利用したインターネットアプリケーションのプラットフォーム構築・運用の自動化をテーマに活動しています。OpsCode承認コントリビュータ等、サービスに関連するオープンソースコミュニティにも参加しています。
