2016-02-09 - Mardi Globenet février 2016

, par WhilelM

Mardi de Globenet #132 - 9 février 2016

Présents :

au CICP :

  • JacquesB
  • Christophe
  • Sebastien

à distance

  • taffit
  • ed-rama1901
  • jon
  • flo

ODJ

no-log

Adminsys

  • Latence disques couchant
  • Squeeze-lts - fin de vie février 2016
  • sentinelle
  • fail2ban smtp activé
  • quelques statistiques web réparées
  • VM owncloud / bug
  • DKIM et mailman

divers

  • passerelle SMS
  • brancher benevoles@ sur la liste membres@ de gitoyen
  • tel : ligne OVH commandée, portage à suivre
  • CHATONS - initiative de Framasoft
  • Gitoyen - suites juridiques

no-log

proposition de message aux utilisateurs et utilisatrices

La petite BD publiée par Framasoft sur le décryptage d’une URL est intéressante.
On va faire un lien depuis le webmail No-log sur cette page.
Texte proposé : "Savez-ce qu’est une URL ? Voilà une excellente petite BD pour en savoir plus et vous permettre de toujours vérifier que vous êtes bien sur No-log."

Adminsys

Latence disques couchant

Depuis quelques mois, mais surtout fin décembre, la latence de la partition html du serveur web (couchant) s’est visiblement dégradée. En regardant les graphes du disque sda, c’est flagrant avec le remplacement du disque à la mi-août 2015 : https://supervision.globenet.org/munin/globenet.org/couchant.globenet.org/diskstats_latency/sda.html

Le nouveau disque est un ST2000DM001-1CH1 Seagate Barracuda 7200.14 SATA 6Gb/s 2 To, pas dimensionné pour un serveur.
On va donc mettre deux nouveaux disques, pour remplacer les deux disques du tableau RAID contenant la partition html.

Squeeze-lts - fin de vie février 2016

La fin du support de sécurité de squeeze LTS est pour la fin du mois. Il va donc falloir migrer les dernières machines sous squeeze. Ça concerne :

  • boreal (le serveur SQL du mutualisé)
  • levant (le serveur mail du mutualisé)
  • outils (le serveur utilitaire de Globenet)

C’est malheureusement la partie ardue de la maintenance de Globenet, avec le panel alternC, difficile à mettre à jour au vu des spécificités de Globenet.

1ere chose à faire : vérifier les modifications fonctionnelles entre les applis utilisées entre squeeze et wheezy. (mysql, mailman, courier/dovecot, alternc).
Surtout le passage de courier à dovecot a priori.
2e chose, prévenir les utilisateurs une fois que la date de migration sera planifiée.
Certainement des heures d’intervention à prévoir.

Voir les retours d’expériences éventuels côté communauté AlternC, demander de l’aide sur geeks@

sentinelle

C’est le nom de la nouvelle VM Globenet (debian jessie) chez Tetaneutral pour remplacer Gimli. Mise à disposition gracieusement, merci à TTN.
On va pouvoir y mettre le DNS Secondaire, le blog d’info, et éventuellement un nagios secondaire (surveillance des services). Ce dernier n’est probablement pas utile comme Jacques va nous mettre à disposition un nagios sur sa machine.

Il faut documenter le wiki pour les spécificités de la machine sentinelle.

fail2ban smtp activé

la mise en place de mécanismes de protection continue. Une jail est activée aujourd’hui sur le blocage des tentatives illégitime d’utilisation des relais SMTP de Globenet.

Comme les blocages agissent sur l’ensemble des services. Si une erreur amène à bloquer l’adresse ip d’utilisateur-trices légitimes de Globenet, illes n’auront pas moyen de contacter Globenet (web et mails bloqués) pour signaler le problème.
On va donc attendre d’avoir un répondeur téléphonique fonctionnel avant de déployer d’autres jails sur d’autres services.

Pour rappel, les filtres fail2ban sont sur logd.

quelques statistiques de sites web réparées

depuis la dernière migration du mutualisé, quelques fichiers de config des statistiques web ne marchaient plus. Ça nous a été signalé il y a quelques semaines, tout devrait être rétabli.

VM owncloud / bug

un bug nous est signalé dans l’implémentation actuelle d’owncloud 7. Le renommage des répertoires bug. Un patch existe et nous a été pointé : https://github.com/OpenLarry/ownCloud-core/commit/49313b334a5f6f86e6095ee28ad4fd3db0b45956
Sauf qu’il porte sur la version 5 et est déjà appliqué, il ne porte pas pour la version 7 actuellement installée.
Il ne faut pas hésiter à signaler le bogue pour qu’il puisse être corrigé dans la prochaine mise à jour de Jessie (ou avant).
https://bugs.debian.org/owncloud

DKIM et mailman

un utilisateur qui nous a signalé que certains mails tombent en spam parce que DKIM n’est pas bien géré par la version de la mailman du mutu (2.1.13).
On ne peut pas faire grand chose pour corriger ça. on va déjà passer en wheezy et on verra plus tard si on peut faire quelque chose de mieux,.

divers

passerelle SMS

Ce qui était prévu était de mettre une clef USB pour mettre à disposition le service d’envoi de SMS (SMSTOOLS) de la machine supervision. Sauf que supervision est une VM et que les tests menés sur les noyaux linux actuelleemnt utilisés ne permettent pas l’usage de l’USB pour une vm. Du coup, Jacques propose de mettre en place le service d’envoi de SMS depuis le Dom0 et de le mettre à disposition de supervision par NFS.

Après discussion de l’opportunité d’attendre la migration de supervision sur l’infra Ganeti, c’est abandonné, Jacques ne souhaitant pas qu’on maintienne la supervision sur une VM. Jonathan propose également de mettre ça sur une machine dédiée, pour éviter une complexité supplémentaire avec un montage NFS pour USB.
On pourra donc garder l’une des des machines actuelles pour y mettre ça, quand on basculera plus de machines sur ganeti

brancher benevoles@ sur la liste membres@ de gitoyen

Gitoyen a créé une nouvelle liste à destination exclusive de tous ses membres, afin d’y diffuser les CR de réunion gitoyen, ainsi que les news importantes pour les adhérents. Ces élements concernent Globenet. Il semble donc opportun de les partager avec benevoles@.
Pour autant, les inscrit-es actuel-les peuvent ne pas en comprendre directement la portée et l’intérêt, les compte-rendus étant rédigés à l’intention de personnes au fait du fonctionnement général de Gitoyen.
Une bonne solution serait de retranscrire l’actu de gitoyen. Sauf que seules les personnes qui participent aux réunions gitoyen et globenet sont susceptibles de pouvoir le faire, soit Jonathan et WhilelM, qui sont déjà bien occupés par ailleurs.

le truc aussi, c’est que la réponse à ces emails se fasse forcément sur benevoles@globenet. Si discussion doit en découler, ça doit rester au sein de Globenet.

On va donc rester sur une option best effort alors. si quelqu’un prend la peine de le faire, cool. sinon on reste comme avant. Ce qui n’est pas catastrophique.
Jon va mettre dans sa todo-list de voir s’il est possible de scripter un truc facilement, qui ferait suivre les emails en modifiant l’expéditeur avec un petit paragraphe d’explication au début du message)

Nouvelle ligne tel

ligne OVH commandée, portabilité du numéro Globenet à suivre.

CHATONS - initiative de Framasoft

L’initiative part de Framasoft, dans le cadre de la degoogleisation du net. Ayant constaté qu’ils ne pourraient pas mettre en oeuvre tous les services nécessaires pour toutes les internautes, ils font appel aux hébergeurs libres/éthiques/whatever pour se rassembler, proposer une charte où tout ce petit monde se reconnaitra et faire un site web pour diffuser la bonne parole et lister tous les chatons.

WhilelM va y proposer l’initiative PCP (Provider’s Commitment for Privacy) https://policy.sarava.org/ (avec une traduction en français)
c’est l’idée de rendre explicite pour les utilisateurs le niveau de confidentialité assuré par l’hébergeur. Comme le fait que les communications soient chiffrées ou non. Si les données sont stockées chiffrées ou pas.
Donc différents thèmes avec différents niveau de confidentialité/complexité :

  • que faire en cas d’incendie ?
  • mail
  • webmail
  • certificats et clés de chiffrement pour les services à base de streaming
  • système de fichier et stockage
  • logs
  • utilisateurs
  • audit

Gitoyen - suites juridiques

Gitoyen version GIE a encore des casseroles aux fesses, le risque financier est de l’ordre de 5000€ pour l’instant (condamnation au tribunal, vieilles factures ...)
Il faut aussi réussir à fermer la structure, ce qui va aussi coûter des sous .