Mardi Globenet du 14 avril 2020

présent.es

• John (YinY)
• WhilelM
• Émile
• Jacques
• seb
• taffit
• mathieu
• ju
• JP (Conf’)

ODJ

• OLN
• AG
• Site web :
  • Nouveau site !?
  • Page de liste des services. proposition de modification https://xen2.globenet.org/owncloud/index.php/s/4x5WXLMfN6KMgN4
  • Comptes rendus sur le site ?
• Chan IRC
• événement Toile-Libre
• info juridique
• radio virus

• Technique :
  • Ganeti : ZAD et Ruche sous Buster, problème interfaces dans les VM qui changent
  • ZAD : clé de boot, ajout swap, ilo et bios à jour
  • Vlan mgt et suppression globy, à la recherche des apc perdu
  • Nagios : refonte des confs, ajout de snmp et ajout des machines non référencés (il en reste...)
  • Jitsi ; installation + stun/turn
  • Librenms : monitoring.globenet.org
  • Switch : clean des configs, test de rancid sur outils pour backup les configs
  • Consoles : maj opengear
  • Etckeeper : choix de configuration, test sur anatase debops concluant
  • Un disque de boreal n’en fini plus de lacher. On le remplace ? bah oui :)
  • Webmail no-log
  • Backup pad
  • panel1 : resade satisfait web, projet d’y migrer également les lucioles du doc, Resade demande si intégration mailman3 ou sympa prévue
  • Projets :
    • bbb, mumble, jitsi
    • Migration alternc
    • Réinstallation outils, rc, fact, logd ?
    • DNS recursif ouvert, DoH ? https://ldn-fai.net/serveur-dns-recursif-ouvert/

Observatoire des Libertés et du Numérique

Globenet a signé une tribune avec l’OLN : La crise sanitaire ne justifie pas d’imposer les technologies de surveillance
Avant le confinement, l’OLN commençait à regarder de près la surveillance ( drone, applis de tracking...) avec comme finalité l’écriture d’une tribune. Le CNN qui fait des auditions sur ces sujets, et prévoit d’auditionner l’OLN sur son point de vue. Le SAF, LQDN et la LDH devraient y représenter l’OLN.

Assemblée Générale

Les dates fixées lors du dernier mardi : 06 et 07 juin.
Pour rappel : mardi mars 2020

Propositions :

• AG formelle ordinaire le 06 juin (y compris à distance si nécessaire), bilans moral et financier
• AG extraordinaire pour la refonte des statuts et des temps d’atelier sur un temps en présentiel
• Question de la situation économique des assos au sortir de la pandémie
• Difficultés financières de Globenet (retard paiements factures à Gitoyen, notamment)
• Perspective de la mise en place d’une plateforme de dons : formulaires à compléter et démarches à faire auprès de la banque
• Préparer un pad de préparation à l’AG
• Rappeler les valeurs et le fonctionnement de l’association : sécurité, transparence, communication

Site Web

Il a (encore) été remonté que notre site web n’est pas en https ni en ipv6. Pistes évoquées :

• Emile pense à servir le site web actuel derrière un proxy (qui s’occuperait de gérer la partie https et ipv6), tout en donnant plus de temps pour la refonte à proprement dit du site/spip.
• WhilelM, copier tous les fichiers du site actuel sur panel1, et tester sans pression.
• Ou alors mettre un panel dédié pour Globenet :)
• Pages statiques (qui est-on, que fait-on) et blog (communiqués) uniquement ?

Doit-on maintenir la publication des CRs sur le site ? Exemples ailleurs :

• Gitoyen : site vitrine statique + blog, CRs envoyés directement et uniquement aux membres
• Grenode : CRs pour les membres uniquement (wiki)
• Tetaneutral : discussions sur Matrix (questions et IoT publics, les autres sont sur invitation), pas vraiment de conteunerisation, "tout est ouvert, chez Tetaneutral !" (sauf les ML), wiki (demande identifiants)
  Problématique de la publication détaillée des informations techniques https://im.tetaneutral.net/ (Matrix tetaneutral.net)

L’une des problématiques évoquées est celle de maintenir une activité visible sur le site, en publiant des CRs pour traduire de l’activité de l’asso.

Proposition de scinder les CRs entre éléments politiques (publics) et techniques (requiert de s’identifier), en mentionnant bien que le cr complet est à un endroit particulier.

Proposition de nommer une personne responsable (rôle tournant) de publier le CR sur le site

IRC

Évocation du même genre d’idée, scinder les discussions informelles sur un canal et les discussions techniques sur un autre canal plus confidentiel.

Page de liste des services

Discussion sur la proposition de réécriture de la page affichant les services.

Publication d’une page actualisée des services sur SPIP en attendant des pages statiques…

Toile-Libre

Toile-Libre réfléchit à faire un événemtn public. Proposition d’y faire des ateliers techniques dans un mode présentation. À la base AFK mais vu le confinement ça se fera probablement par visio.

Info juridique

Rappel historique du procès en annulation d’AG de Gixe et de l’existence d’un procès intenté par Gixe à Ielo-Liazo.

Radio Virus

Projet de Radio Web en période de confinement. On leur fournit gracieusement une vm. D’abord une VM en Ubuntu 16.04 LTS pour qu’iels puissent utiliser LibreTime mais finalement abandonnée. VM en Debian depuis.

On sait maintenant fournir des installations ubuntu \o/

Jitsi / BigBlueBouton / Mumble

Une instance Jitsi est déployée au début du confinement : https://visio.globenet.org
Services TURN/STUN (exploité par Jitsi uniquement en mode pair-à-pair, donc seulement à 2) + recette Ansible

Sauf que Jitsi fonctionne aléatoirement. Quelques problèmes constatés ou connus :

• fonctionnalités WebRTC manquantes avec Firefox - il est préférable de ne pas l’utiliser du tout et de privilégier Chromium
• décrochages fréquents au-delà de 4 participant·es
• Problèmes d’usages (sans micro-casque beaucoup d’écho)
• Ouvrir les ports 10.000 à 20.000 en UDP sur le serveur pour éviter les déconnexion et effondrement de perfs

privilégier une appli Android (à jour).

A tester à plusieurs (Chromium + NextCloud Talk / Jitsi) (à voir quand est ce qu’on sera suffisamment de personnes disponibles)

BBB est plus consommateur de ressources, mais on a de la capa CPU sur ZAD.

On se propose de déployer une installation de test BBB (sans Ansible pour le moment), dans la semaine. Et on attendra des tests du réseau Ritimo et leur retour d’expérience.

Question financière : à discuter prochainement

Mumble (TCP, intérêt : potentiellement dans le réseau Tor)
Tenter de trouver le temps de déployer une instance sur l’infra de Globenet pour nous autonomiser

DoH

Jonathan a déployé un DoH sur YinY mais n’a pas documenté l’installation. Logiciel utilisé : dns-over-httpshttps://github.com/m13253/dns-over-...
Rejoint la question du serveur DNS. Actuellement, service récursif + serveur autoritaire

LDN a beaucoup bossé sur le sujet, cité dans des papiers (NextInpact, par exemple) : https://ldn-fai.net/serveur-dns-recursif-ouvert/ et https://listes.ldn-fai.net/pipermail/benevoles/2020-April/004158.html / https://github.com/jedisct1/rust-doh Des infos intéressantes par là : https://www.bortzmeyer.org/doh-bortzmeyer-fr-policy.html (et sur d’autres articles du blog)

Question politique très intéressante (posture vie privée), mais requiert de la maintenance

Projet https://dnsprivacy.org/wiki/ et https://dnsprivacy.org/jenkins/job/dnsprivacy-monitoring/
Proposition validée, installation et paramétrage collectif
Gestion des rate-limits et liste des dns recursif gérés par des assos https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver

disque boreal

Jacques le change.

Ganeti : ZAD et Ruche sous Buster, problème interfaces dans les VM qui changent

Avec le passage à Buster du cluster, le nom de l’interface réseau vu depuis les VM va changer.

On va prévenir les hébergés concernés de ce problème, avec un mail et une procédure à suivre pour y parer. Et leur proposer de planifier la modification.

Webmail no-log

Suite a la mort de robby, le webmail no-log a été mis temporairement sur une VM, le temps de terminer a configuration de marvin. Ce dernier comprend aussi bien roundcube que squirrelmail, qui sera annoncé comme étant en « legacy » risquant de disparaître lors d’un future mise à jour. Jacques est en train de terminer la config, notamment en améliorant le plugin roundcube important les données utilisateurs de squirrelmail (il y manque pas mal de choses comme l’importation des groupes d’adresses et la mise en valeur/couleur des messages). Mais nécessité d’annoncer clairement les modalités de cette importation automatique des données afin que les utilisateurs comprennent par exemple que leur carnet d’adresse n’est pas commun aux deux webmails. Solution envisagée : remplacer la page webmail.no-log.org par un « portail » expliquant les choses et permettant de lancer l’un ou l’autre webmail. Roundcube 1.4.3, sorti sur buster-backports ce jour, intègre un thème pour les smartphones. Interrogation sur le fait de mettre ce thème par défaut, vu le nombre d’utilisateurs no-log y accédant via un smartphone. Fonction de blacklistage des comptes détournées par les scammeurs en cours d’étude.
Suite a constatation de tentatives d’utilisation de marvin par des utilisateurs no-log, l’accès aux webmails est restreint à certaines IP afin de pouvoir travailler tranquillement. Les personnes intéressées pour tester les nouvelles fonctionnalités sont invitées à se déclarer pour que leur IP soit acceptée.

Backup pad

Faut-il backuper le pad ? As-t-on vraiment envie/besoin de backuper ?
Faut-il chercher à se prémunir de la dégradation volontaire par des personnes malveillantes ? L’historique ne permet pas de revenir simplement en arrière.