Explication des miroirs par repoussage

Les miroirs par repoussage sont une forme de miroirs qui minimisent le temps que mettent les modifications de l'archive pour atteindre les miroirs. Le serveur maître utilise un mécanisme déclencheur pour indiquer immédiatement au miroir client qu'il doit se mettre à jour.

Les miroirs par repoussage demandent un peu plus d'effort à mettre en place car les responsables des miroirs client et serveur doivent s'échanger des informations. L'avantage est que le miroir serveur lance le processus de mise à jour du client immédiatement après que son archive a été mise à jour. Cela permet une propagation très rapide des changements de l'archive.

Explication de ce fonctionnement

Tout d'abord quelques informations sur SSH. SSH permet de se connecter à des comptes sur différentes machines d'une manière sûre. Non seulement les mots de passe ne sont jamais transmis en clair, mais une fois que vous êtes connecté à une machine vous êtes certain que les connexions futures se feront sur la même machine. Cela empêche beaucoup d'attaques du type un-homme-au-milieu.

Une possibilité que vous offre SSH est la faculté d'accepter la clé publique d'identification d'un utilisateur d'une autre machine et de l'ajouter au fichier des clés autorisées sur sa propre machine. Par défaut, l'utilisateur sur l'autre machine (qui a la clé d'identification privée associée à la clé d'identité publique qu'il a donnée) a alors le droit de se connecter sous votre compte. Il est cependant possible de rajouter des options à une clé autorisée pour restreindre le type d'accès d'une personne l'utilisant pour se connecter sur votre machine.

Ainsi pour protéger le miroir client, des options sont ajoutées à une clé fournie par le miroir serveur pour donner aux personnes qui accèdent à votre compte un seul droit : celui de lancer sur votre machine le programme qui met à jour votre miroir. Même si quelqu'un (un tiers malveillant) était capable de casser les clés, il ne pourrait alors que lancer le programme de miroir sur votre machine. Vous n'avez même pas à vous soucier de la possibilité d'avoir plusieurs copies du programme lancées, car un fichier verrou est utilisé.

Sur le miroir client, rsync peut être configuré pour restreindre par nom d'utilisateur et mot de passe la possibilité de faire un miroir d'une zone donnée. Ceux-ci sont complètement séparés de /etc/passwd de façon à ce qu'un serveur de repoussage n'ait pas à se soucier de donner à d'autres l'accès à sa machine. De la façon dont c'est configuré, le nom d'utilisateur et le mot de passe sont transmis en clair. Cela ne devrait cependant pas être un problème, car le pire qu'il puisse se produire est qu'un tiers ait la possibilité de faire un miroir de Debian depuis ce site.

Mettre en place un miroir par repoussage côté client

Le mieux est de mettre en place tout cela en utilisant le compte d'un utilisateur ordinaire, non superutilisateur. Le contenu de la clé SSH publique que le miroir serveur vous donne devrait être placée dans ~<user>/.ssh/authorized_keys.

Pour devenir un client par repoussage de l'archive FTP, vous devez paramétrer la recopie en utilisant notre jeu de scripts ftpsync standards. Copiez ftpsync.conf.sample vers ftpsync.conf et modifiez-le conformément à votre système et aux renseignements fournis en amont.

Les sites par repoussage de type client primaire

Les miroirs par repoussage de type client primaire, aussi appelés miroirs 1er tiers, Tier-1, sont les miroirs par repoussage de type client qui sont autorisés à faire un miroir de nos archives principales.

Si votre site est très bien connecté (à la fois une très bonne bande passante et bien connecté aux épines dorsales majeures du réseau) et que vous acceptez de laisser d'autres sites faire un miroir à partir de votre site, vous pouvez nous le faire savoir afin que nous envisagions d'en faire un miroir de repoussage. Cependant, ne vous attendez pas à ce que ça se fasse rapidement car nous avons déjà un bon nombre de miroirs 1er  tiers.

Si vous devenez un repousseur primaire de l'archive FTP, vous avez besoin d'un des fichiers suivants :

Si vous devenez un repousseur primaire des pages du site, vous avez besoin de la clef publique SSH2 utilisée par www-master.debian.org.

Mettre en place un miroir de repoussage côté serveur

Étant donné le grand nombre de miroirs et la taille de l'archive Debian, il n'est pas possible que tous les miroirs utilisent l'archive principale comme source de la Debian (c'est-à-dire comme leur miroir de repoussage de type serveur). Il est beaucoup plus efficace de distribuer la charge sur un certain nombre de miroirs de repoussage répartis à travers le monde.

Les miroirs de repoussage de type serveur doivent être des miroirs par repoussage de type client de l'archive principale (ou éventuellement d'un autre miroir de repoussage de type serveur), et doivent contenir un miroir de l'ensemble de l'archive Debian.

Voyez les détails sur la mise en place d'un serveur de repoussage.