2014-06-10 - Mardi Globenet #112
Mardi Globenet #112 du 10 juin 2014 présents : cicp : jon, Christophe, Jacques, yves voip, (...)
2014-07-08 - Mardi Globenet #113
Mardi Globenet #113 du 08 juillet 2014
2014-08-12 - Mardi Globenet #114
Mardi Globenet #114 du 12 août 2014 présents : JacquesB, WhilelM, Jack (cgt-atos) ODJ (...)
2014-10-14 - Mardi Globenet #116
Mardi Globenet #116 du 14 octobre 2014
2014-12-09 - Mardi Globenet #118
Mardi Globenet #118 du 09 décembre 2014
2015-01-13 - Mardi Globenet #119
Mardi Globenet #119 du 13 janvier 2015
D'autres articles
Réunion de travail

Etaient présents Nico, Lunar, VaLentin, Gab, Jonathan, Larpoux, Jacques B, James et Bruno. La durée de la réunion a été fixée à 2h30, comme le voulait la batterie du portable de Lunar.

Lunar commence par présenter les règles de déroulement de la réunion.

Présentation de l’existant

Les machines

VaLentin présente l’architecture actuelle de GlobeNet : Les machines sont physiquement dans une baie du TeleHouse2. Elles sont réparties suivant 3 axes indépendants :
• serveurs mutualisés,
• serveurs dédiés,
• No-log.

Niveau système, les machines sont sous Debian.

Les langages utilisés pour les développement internes sont Perl, PHP et dans une moindre mesure Python (scripts maison plutot en Perl et PHP). Les scripts Perl sont surtout ceux lancés par cron.

Le monitoring est fait par Nagios mais il n’est pas tout à fait bien configuré et envoi des messages d’alertes sur des problèmes qui sont simplement du à la surcharge de certaines machines (un routeur et le POP de no-log).

Les services mutualisés

cf. rapport de Yoan. Pas dispo en ligne pour le moment

Ce service est réparti sur 4 machines :
• 2 machines en frontal : sud et coordsud (gèrent les services POP, IMAP, HTTP, HTTPS, FTP et les accès ssh pour l’administration du service) ;
• les deux autres machines (filer et sql) hébergent les données.

VaLentin ? a mis des bouts de scotch un peu partout sur ces machines, du coup, c’est peut-être pas très propre, mais tous les problèmes récurrents d’administration sont résolus. Elles nécessitent donc peu d’administration pour que le service tourne.

Les serveurs dédiés

Plusieurs serveurs dédiés. J’ai retenu les machines suivantes :
• le réseau Voltaire
• Coordination Sud
• Médecin du monde international (www.mdm-international.org)
• Siner’J
• MarsNet
• la machine d’Eric Aubourg (sans k)

Comme la nouvelle organisation bénévole ne peut pas assumer la charge d’administration de ces machines, rien de particulier sur le plan technique.

Une petite digression sur la situation de ces serveurs : à l’heure actuelle, le service n’est pas payant pour médecin du monde international (la machine était aussi utilisée pour le service no-log) et pour Siner’J (un arrangement en échange de don de matériel) ; dans les deux cas, ces arrangements n’ont plus lieu d’être. A voir donc.

Le réseau Voltaire est prêt à accepter une offre de colocation (globenet ne gère que le matériel et partage la bande passante mais ne fait pas d’admin sys).

Une proposition dans ce sens est en cours pour coordination sud.

Le service NoLog

2 machines pour ce service : webmail.no-log.org pour le webmail et hal.globenet.org pour tout le reste.

A savoir :
• hal est une machine très chargée ;
• Les mails sont stockés en clair (pas cryptés) ;
• il y a du nettoyage de logs à faire (décider ce qu’il faut garder, et virer tout le reste).

Comme pour les serveurs mutualisés, la situation de ces machines est stable au niveau système. La charge d’administration système est minime sur ces machines.

Accès

Physique

Les personnes enregistrées sur la liste du TeleHouse2 ? peuvent rentrer à toute heure dans les locaux et demander des autorisations temporaires pour d’autres personnes. Pour l’instant, il y en a 4 : VaLentin ?, Erick Aubourg, Benjamin Sonntag et Jérome Moinet. La liste d’accès va être modifiée. Elle comprendra les bénévoles chargés de l’admin système.

Les root sur les serveurs mutualisés et sur le service NoLog sont VaLentin ?, Erick et Yoan (dernier admin sys salarié en date à GlobeNet)

À distance

Pour les interventions système à distance, les points d’entrée sur le réseau globenet sont sud et coordsud. Ces machines n’autorisent pas d’accès root distant. Un-e admin-e voulant intervenir sur globenet doit d’abord se connecter sur une de ces deux machines avec son compte perso. Ille peut ensuite devenir root avec un su (seul-le-s les sudoers peuvent devenir root sur ces deux machines)

Pour intervenir sur une autre machine, ille doit utiliser un compte commun présent sur toutes les machines. Se loguer sur la machine cible avec ce compte commun et faire un su (commun à toutes les machines, n’est pas sudoer)

Les mots de passes root sont différents sur chaque machines.

Cette architecture permet, si nécessaire, de fragmenter les accès root.

Création de groupes de travail pour les différents services

Dans un premier temps, Valentin propose la constitution de deux groupes :
• un GroupeRoot purement technique (pour l’admin sys des machines)
• un groupe webmestre (pour le dév/maintenance/support des services globenet (serveurs mutualisés et no-log))

L’organisation des groupes se précise au cours de la discussion sur la façon de travailler ensemble, en réfléchissant notament aux canaux de communication.

Groupes de travail

Groupe root

L’idée d’un groupe root est retenue. Très vite, tout le monde tombe d’accord pour dire que ce groupe root ne doit pas être un lieu de discussion. Il n’existe que pour effectuer des taches purement technique d’administration système. Ca ne doit pas être « l’endroit ou ça se passe. »

Du coup, son organisation est longuement débattue. La réflexion porte sur les moyens de diffuser l’information technique au sein du groupe root en limitant cette communication à l’aspect technique.

Le groupe root constitué au cours de la réunion : Valentin, Lunar, Jacques B, Jonathan, Gab, Larpoux

Larpoux et Gab précisent que leur connaissance du système est limitée mais qu’ils ont suffisament d’expérience pour ne pas faire n’importe quoi.

Valentin se charge de créer les comptes pour ce groupe sur les machines sud et coordsud.

Groupe site web (contenu)

Ce groupe est un groupe mixte technique/non-technique.

Il est chargé de refaire le site de globenet, developper le systeme d’entraide et la page d’état des services.

On ne développe pas son organisation car seuls des bénévoles techniques sont présent.

Groupe no-log web

Ce groupe est le groupe technique travaillant sur no-log web. VaLentin préfère que le développement et le support ne soit pas séparés dans 2 listes différentes. Un développeur doit être capable d’assurer le support sur ce qu’il développe.

Jacques C s’est manifesté pour faire partie du groupe sur le site Globenet.

Comment travailler ensemble ?

Moyens techniques

Listes de discussions

Le groupe root n’aura pas de liste de discussion pour 2 raisons :
• Une partie les informations techniques diffusées dans ce groupe sont confidentielles, il ne faut pas qu’elles se retrouvent sur une liste archivée.
• Une liste de discussion est limitée à ces membres (le groupe root) et c’est justement ce qu’on ne veut pas.

Par contre, créer un alias pour le groupe root est une bonne idée car elle permet à tout le monde de joindre facilement l’équipe système.

Jacques B demande si les alertes système peuvent être remontées par d’autres moyens que le mail (SMS).

Pour les autres groupes de travail, JoN propose que dans un premier temps, une seule liste de discussion générale soit utilisée. On peut identifier quelques sujets précis et repérer les mails s’y rapportant avec des flags. VaLentin ? pense que cette solution générera trop de bruits (trop de mails techniques pour le groupe chargé de la compta par exemple). Finalement, on préfère créer une liste de discussion permanente pour l’équipe no-log web, une liste permanente pour l’équipe site globenet contenu. On garde la possibilité de fonctionner par créer des listes temporaires pour les projets ponctuels (exemple : mise en place des outils techniques pour le nouveau site de globenet).

D’autres listes de discussion sont possibles pour les bénévoles participant au travail administratif. Pourquoi pas une liste de diffusion modérée pour permettre la transmission d’information entre les différents groupes. A voir mais déborde du cadre de la réunion.

Les membres du groupe root font à priori aussi partie des autres listes de discussion technique.

Changelogs

Pour le groupe root, l’utilisation de Changelogs est un bon moyen de diffuser l’information sans favoriser la communication directe.

Un fichier /root/changelog par machine, à la responsabilité de chacun de le renseigner correctement (heure, intervenant, nature de l’intervention, .. format du changelog à préciser)

Script de détection de modifications

Pour le groupe root, Lunar propose d’utiliser metche, un script shell vérifiant toutes les 5 minutes le contenu de certains répertoires (/etc + les répertoires de config d’AlternC, mailman, etc). Lorsqu’aucune modification n’a été effectuée depuis plus d’une heure, metche considère que l’opération est terminée et diffuse l’information par mail. Normalement, metche envoie la liste des fichiers modifiés, la liste des packages debian modifiés, les changelogs et les diffs des fichiers. Comme les fichiers de config contiennent des informations confidentiels, les diffs des fichiers ne seront pas envoyés par mail mais stockés sur la machine.

Pour répondre à Jonathan, UnLunar explique que CVS ne convient pas pour l’utilisation qu’on veut en faire parce que CVS n’est pas automatisable, et ne gère ni les liens symboliques ni les droits sur les fichiers.

L’utilisation de metche est retenue et UnLunar est chargé de mettre le script en place sur les machines de globenet.

Keyring GnuPG

Lunar propose d’utiliser GnuPG, mais un certain nombre de problèmes ne sont pas résolus. Jonathan n’a pas de machines fixe et ne peut pas garantir la fiabilité des machines qu’il utilise. Mailman ne gère pas complètement tout ce qu’il faut (pour plus de détails sur les points en suspens, voir avec Lunar, parce que là, j’ai pas tout suivi).

Au final, la question est à creuser mais aucune décision n’est prise à ce sujet.

IRC

UnLunar propose de mettre en place un canal irc. Après une courte discussion, il est acquis que la participation à ce canal est ouverte à tous. Le rôle du canal est de permettre la communication entre tous et de faciliter l’intégration de nouveaux venus dans l’équipe bénévole. En parcourant le site de globenet, Valentin a déjà trouvé un vestige d’un lien vers un canal irc sur le serveur de l’apinc. Lunar se propose pour réactiver ce canal (#globenet@irc.apinc.org).

Système de tickets

Pour la réalisation des différents projets, Lunar propose d’utiliser un système de ticket.

Pour le support technique, le système existant sur le site de globenet peut rester pour le développement du site et les futures projets, Lunar propose d’utiliser Trac). Il faut quand même recenser les différentes offres dans le domaine (Gab).

Organisation

Intégration de nouvea(ux,elles) venu-e-s

VaLentin rappelle que jusqu’à présent, il n’y a pas vraiment de canal d’accueil pour les bénévoles.

Il faut transmettre le message que tout le monde peut s’investir dans l’asso et trouver effectivement des moyens d’intégrer ceux qui veulent participer.

Pour intégrer des nouveaux bénévoles dans le groupe root, Jonathan propose de mettre en place des comptes shells partiels avec des sudo. Le nouveau venu peut regarder la config de la machine et commencer à intervenir de façon limitée.

Pour VaLentin et Lunar, mettre en place des comptes limités ne permet pas de contrôler ce qui sera fait avec, car à partir d’un compte non-root, il est facile d’obtenir les droits roots en exploitant une faille locale. Valentin précise aussi que les seuls opérations à effectuer sur les machines de prod sont des interventions en tant que root donc pas vraiment de raison pour créer des comptes non root.

Lunar pense que le nombre de 6 est suffisament important pour l’instant. D’autre part, on estime qu’on aura eu le temps de renconter des gens en qui on a confiance lorsque l’équipe root aura envie de tourner.

Pour le reste de l’équipe technique, une possibilité est d’avoir toujours des projets en cours pour pouvoir intégrer les nouveaux venus.

L’idée retenue lors des réunions précédentes est de faire de nolog web le fil rouge autour duquel va se constituer l’équipe bénévole.

La machine web.no-log.org est disponible en libre accès pour les bénévoles. Le mdp root et mdp du bureau AlternC ont étés diffusés sur un mail antérieur de la liste (au grand dam de Lunar ;). De toute façon, cette machine est une machine de dév, et sera complétement réinstallée lors de son passage en prod.

Communication technique/non technique

Gab propose que le travail sur le site web suive un cycle de développement formalisé, avec l’établissement d’un cahier des charges, et une validation de tout dèv avant mise en prod.

La mise en place d’un cahier des charges non technique est retenue pour que le site de Globenet corresponde à ce que les membres de Globenet attende.

L’utilisation du wiki pour ce cahier des charges est proposée.

Jonathan propose de développer le site de globenet de façon itérative sans trop formaliser.

Valentin propose de se servir de www2.globenet.org comme d’une maquette et de la mettre à la disposition du groupe webmestre. UnLunar craint que cette situation aboutisse à ce qu’on veut éviter : un contenu dirigé par la technique au lieu du contraire. Si les membres du groupes webmestre ont peu de connaissances techniques, ils seront limités par la technique, s’ils ont beaucoup de connaissances techniques, ils risquent de trop s’appuyer dessus.

Nico propose de formaliser d’abord un cahier des charges par le wiki, et dans un deuxième temps seulement de faire une maquette sur www2.globenet.org

Pour la réalisation, Lunar propose de dégager dans le wiki des éléments fonctionnels limités et de gérer l’implémentation par un système de petits tickets fonctionnels (cf moyens techniques)

Fin de la réunion

À la fin de la réunion, UnLunar a proposé un petit tour de table pour que chacun puisse dire ce qu’il a pensé de la réunion (point pétéo).

Un peu hors sujet (quoique) mais Bruno se plaint des décisions brutales de l’équipe technique de no-log. C’est l’histoire des boites mails de plus de 100 Mo que Valentin a purgé pour alléger la machine. (Les données ne sont pas perdues). Cette intervention rappelle le besoin de mettre en place une page d’état des services et d’améliorer la communication avec les utilisateurs (membres ou pas) des différents services. Pour l’instant, Valentin se sert du forum pour communiquer les interventions quand elles concernent les utilisateurs, mais il faudra trouver un moyen de communiquer avec les utilisateurs sur les problèmatiques techniques.

Enfin, il faut prévoir une réunion pour parler du site web GlobeNet d’ici 2/3 semaines.

Points en suspens

Pour finir, les points suivant de l’ordre du jour n’ont pas été abordés :

Le point sur ce qu’il reste à faire à court terme
• Doubler le serveur de DNS
• Passer le serveur LDAP sur sql.globenet.org
• Automatiser les backup (RAID ?)
• Mettre le filer sur sql.globenet.org au lieu de filer.globenet.org avant le 20 novembre
• Ménage dans les logs (voir avocate)

Le point sur les problèmes fonctionnels recencés
• Problème du mode digest de MailMan dans certains cas
• Problème des statistiques configurées avec une langue non gérée
• Problème de backup SQL par AlternC pour certaines bases
• Problème de mailbox incohérentes (espaces et/ou accents)