2018-06 Mardi Globenet juin 2018

, par WhilelM

Mardi Globenet du 12 juin 2018

Mardi Globenet juin 2018

présent.es

  • WhilelM
  • Jacques
  • Emile
  • taffit (distance)

ODJ :

  • Action européenne commune sur la rétention des données
  • EDRi
  • OLN
  • apéro politique
  • branchement pirate, suite et fin
  • SOWALFIN.BE et SOWACCESS.BE, scam ?
  • articulation moyen de communications internes
  • demande de Marc Mangenot
  • points techniques
    • Pass : définition d’une convention de nommage
    • Silene : redémarrage intempestif
    • Cluster Ganeti
    • Accès baie PBO
    • postmortem problème STARTTLS sur mails mutualisé
    • déploiement ipv6
    • problème livraison mails sfr.fr et neuf.fr
    • spam mailman subscribe
    • c’est quoi ça http://www.globenet.org/chroniqueur/hyperliens/recherche/outils.html ?

Action européenne commune sur la rétention des données

Les exégètes coordonnent au niveau de la France une action commune européenne sur la rétention des données :
Une lettre publique et une plainte auprès de la commission européenne pour dénoncer que des états membres ne sont pas en conformité avec la jurisprudence qui se dégage au niveau européen sur la rétention des données (notamment les arrêts DRI de 2014 et Télé 2 de 2016).
N’étant pas encore techniquement à jour sur cette question en interne, on attend avant de se positionner publiquement sur la rétention des données.

EDRi

Un groupe au sein de la FFDN fait un travail notable sur le suivi de l’EDRi (European Digital Rights) dont l’activité semble pouvoir être mise en lien avec celles de l’OLN.

apéro politique

Annulé faute de participant et de contenu original à proposer.

branchement pirate, suite et fin

WhilelM a pris contact avec Olive qui a confirmé s’être branché dans notre baie. Il comptait le faire de manière temporaire (pour quelques heures) et a zappé de la virer.
Lors de son dernier accès, Jacques a pu confirmer que les deux portes de la baie sont bien verrouillée avec le bon code. Ça ne devrait plus se reproduire, on l’espère.

SOWALFIN.BE et SOWACCESS.BE, scam ?

Un message sur le formulaire de contact qui s’étonne que les domaines SOWALFIN.BE et SOWACCESS.BE soient bloqués à la réception de mails par globenet.
Vu le manque de formalisme de la demande et le thème du site web correspondant, on ignore.

articulation moyen de communications internes

Suite à l’intégration d’Aube dans l’équipe, et avec la volonté de ne pas lui imposer les mails techniques de la liste equipeadmin, WhilelM a pris la liberté d’ajouter son mail en destinataire des mails adressés a contact@globenet.org. Ce qui ajoute encore un fonctionnement différents de ceux listés sur la page https://outils.globenet.org/wiki/asso/manuels/canaux_de_communication

Vu l’état des lieux, emile se lance sur faire un topo et une proposition de rationalisation des listes et mails de communication interne et externe.

demande de Marc Mangenot

En tant qu’ancien membre de Globenet, Marc utilise un mail sur le domaine globenet.org. L’association membre de Globenet où il était actif vient de résilier son compte. Il nous a contacté pour pouvoir continuer à bénéficier de son adresse. Il est acté qu’il peut continuer à l’utiliser à prix libre.

points techniques

Passstore : Est-ce qu’on l’utilise et définition d’une convention de nommage ?

Ok pour l’utiliser. Pour l’instant on laisse le git sur outils. Pour le nommage on part sur machines/services/externes/. WhilelM le signalera expressément à Jonathan

Silene : Redémarrage intempestif.

Jacques est intervenu à PBO, il est possible qu’il est appuyé sur le bouton marche-arrêt de la machine par erreur.

Accès baie PBO

  • Renvoyer la liste des personnes à avoir accès à la baie.
  • Faire l’accès à Émile.
  • Demande un compte dans le SI de Liazo pour les admins.

Postmortem problème STARTTLS sur mails mutualisé

Après la mise à jour d’un paquet Debian, l’accès aux mails du mutualisé n’était plus accessible sur le protocole IMAP en STARTTLS. Jacques a changé la conf pour accepter le TLS1.0.
Il faudrait identifier le ou les paquets à l’origine du changement de comportement par défaut. Quel changement ? Et à la suite, trouver le paramétrage fonctionnel qui donne le meilleur niveau de sécurité. Jacques est sur le coup.

Problème livraison mails sfr.fr et neuf.fr :

Ces serveurs rejettent nos mails. Il semblerait qu’on ne soit pas les seuls. Actions : WhilelM va écrire sur la liste smtp.fr et tenter de rentrer en contact avec les fournisseurs en question pour essayer d’avoir un retour un peu plus clair.

Spam mailman subscribe :

Attaques sur le serveur de listes par de multiples demandes de souscription d’adresses mail qui n’ont rien demandé à personne.
On est pas les seuls à subir ces attaques, Marsnet, octopuce, ou domainepublic par exemple les subissent aussi. Whilelm a banni les emails inscrits, puis mis en place une règle fail2ban pour bannir les adresses ip à l’origine des attaques. Il faudrait mettre une règle fail2ban spécifique pour bannir les adresses qui s’enregistrent sur plusieurs listes dans un temps court. On pourrait aussi ajouter un token sur mailman et/ou un captcha pour l’inscription.

Déploiement ipv6

Émile a mis en place ipv6 sur passoire.
Sur passoire, Emile avec sebian a vérifié que l’interconnexion avec Gitoyen était bonne, que notre bloc ipv6 était bien routé vers passoire. Il a également installé shorewall6 pour un parefeu fonctionnel sur ipv6 (configuration minimale).
yunohost ayant réclamé de l’ipv6, emile a eu accès à la machine yunohost et a activé ipv6 et ça marche nickel !
Documenté le découpage du bloc ipv6 dans le wiki.

La suite (Plein de trucs à faire ) :

  • Vérifier la compatibilité du DNS avec ipv6. c’est géré sur boreal, les zones globenet.org globy et reverse dns sont gérées à la main. Penser à le signaler aussi chez notre registrar. Enfin vérifier le slave.
  • Annoncer la disponibilité de l’IPV6 aux hébergé·e·s
  • activer la supervision ipv6

Pas de déploiement de l’ipv6 sur les machines existantes en mode big-bang. On déploiera de manière progressive en fonction des besoins ou des nouvelles machines.

WhilelM a oublié de ramener la bouteille de champagne =/

Cluster Ganeti

C’est un service clef du Globenet des prochaines années. Emile propose une remise à zéro de ce projet, avec une montée en compétence collective sur les techniques concernées. Whilelm fait un point sur les sous d’ici la prochaine réunion.

Machine supervision et logs :

La supervision et les logs nous prennent trop de ressources sur la machine hébergeant d’autres VMs. L’idée serait de prendre une machine de spare dans la baie et de l’utiliser uniquement pour ces deux choses.