Mardi Globenet février 2022

, par WhilelM

Présent⋅e⋅s :

  • WhilelM
  • Bbmt
  • Émile
  • JacquesB
  • John Livingston
  • Mathieu
  • Seb

Points à l’ordre du jour

  • (CR du mois de janvier en cours)
  • infogérance sud éducation
  • demande d’adhésion Ère Éthique (mail du 18/01)
  • demande d’ouverture d’un compte NC sur nuage (CDTM75, membre ritimo)
  • service desk sur gitlab
  • Wireguard ?
  • proposition de code de conduite pour Globenet
  • soirée lancement CLAPS le 10 février (merci de ne pas casser l’infra ce jour là ^^). Utilisation du BBB de Globenet.
  • Accès Crédit Mutuel
  • la VM Panel a l’air d’être un peu juste en RAM
  • backups panel : la compression des fichiers sql est peut être contre productive (et porte à confusion)
  • Migration panel : anciens chemins (John expliquera)

CR de la mensuelle de janvier

Mathieu — en retard, comme d’hab et malgré les apparences — a toujours à cœur d’aboutir le compte-rendu de la réunion mensuelle de Globenet du 11 janvier 2022, et le soumettre à la sagacité des membres avant sa publication.

infogérance sud éducation

Mise en infogérance du serveur chez un prestataire. Pour des raisons de limitation, le temps de décharge est limité à 8 ans, l’adminsys actuel ne peut donc continuer la gestion du serveur après tout ce temps passé. Il n’y a pas eu de tuilage prévu. Le prestataire aura le contrat pour au moins 2 ans.

demande d’adhésion Ère Éthique (mail du 18/01)

Un camarade qui a une petite activité économique (les bonbons du Vercors) et qui cherche à remettre son SI au carré chez des copaines.
Demande de plusieurs services mutualisés : web, mail, gestion de domaines, comptes Nextcloud…

Accepté.

demande d’ouverture d’un compte NC sur nuage (CDTM75, membre ritimo)

https://www.cdtm75.org/ activité autour du commerce équitable.

Une nouvelle salariée leur a vendu Nextcloud. Sauf qu’il y a eu une proposition en interne d’utiliser un service Microsoft gratuit pour les asso. Après alerte interne, les outils Ritimo seront aussi utilisés au sein de l’association, dont le service Nextcloud mutualisé à Globenet.

Par ailleurs, Mathieu signale sur gestion@ à chaque fois qu’il créé un compte sur nuage pour le suivi de gestion.

service desk sur gitlab

Idée d’utiliser le service desk, une fonctionnalité qui permettrait de faire de la gestion de tickets sans avoir à créer un compte sur gitlab.

Il y a un choix à faire dans la gestion des mails de la plateforme (v. https://code.globenet.org/help/administration/incoming_email)

En matière de boîte mail, ne pas choisir de nom trop générique (i.e. le choisir corrélé à gitlab sur code) pour ne pas susciter des confusions. Plusieurs propositions :

  • gitlab@code.globenet.org
  • codegitlab@globenet.org
  • code.gitlab@globenet.org

Options :

  • utiliser panel pour faire ce qu’il sait faire : gérer des mails
  • VS décorréler le mutu (panel) de gitlab

Solution retenue : code.gitlab@globenet.org sur panel.

TODO : John configurer tout ça (penser à retirer le reply-to contact@)

Wireguard

C’est une technique de VPN, Émile s’y intéresse et en utilise un depuis plusieurs années. Deux usages : de l’internet propre à la maison et un VPN sur téléphone mobile.

Il y a quelques années, Leap BitMask a été testé à Globenet, pour son côté simplicité pour celleux qui souhaiteraient utiliser un VPN sans prise de tête - et pour des raisons politiques.

Un avantage de wiregard par rapport à Leap est de ne pas limiter les clients possibles. et c’est un protocole peu diffusé au sein de FFDN.

Émile et Seb seraient partants pour le coté technique — y compris sur la dimension NAT.

Attention aux sentiments de sécurité illusoire. Ça requiert d’expliquer à (voire former) celleux qui seraient susceptibles de l’adopter les enjeux et les risques liés à l’usage d’outils numériques pour se communiquer des informations.

Question de la compartimentation, divers cas sont possibles :

  • intérêt à fournir du VPN aux hébergé·es (pour accéder aux services de GN)
  • le proposer plus largement, à celleux qui ne sont pas hébergé·es chez GN.
  • créer des sortes « d’intranets ». La possibilité d’avoir certains services qui ne sont accessibles que depuis le réseau Globenet (et donc via une connexion VPN).

Bien définir ce que permet ce VPN, ce qu’il change, ce qu’il protège et ne protège pas, etc.

L’idée est à mûrir et pourrait être débattue lors du prochain AFK par ex.

proposition de code de conduite pour Globenet

Discussion sur la proposition de code de conduite transmise sur la liste benevoles@.

  • La mention d’un avatar pourrait y être enlevée.
  • L’écriture est axée événements en ligne (équipe "organisatrice") : ça pourrait être modifié pour s’appliquer de manière plus large à Globenet que pour les événements organisés par Globenet.

Les propositions de modification supplémentaires sont les bienvenues.

Note : le code de conduite tel que proposé est à différencier de la charte (qui reste à rédiger).

  • Proposition 1 : travailler une charte avant de publier un code de conduite
  • Proposition 2 : s’il y a des forces pour travailler une charte avant, c’est préférable. Sinon, ne pas se priver d’utiliser le code de conduite lorsque GN organise des temps de rencontre.

OK pour publication du code de conduite en prenant en compte les modifications.

Les discussions sur le documents doivent continuer et également intégrer une charte à venir.

soirée lancement CLAPS le 10 février

CoCOTS chez GN, CLAPS est une distribution SPIP clé en main / sur étagère pour les orgas / associations qui souhaitent disposer d’un site web militant sans savoir comment s’y prendre. Un gros boulot a été réalisé pour automatiser le déploiement (big up @Emile et John), modérer la création de nouveaux sites (avec une interface adhoc), et déployer et paramétrer SPIP et ses plugins.

La visio se déroulera sur le BBB chez Octopuce, possibilité de le faire chez GN avec un peu d’anticipation (pour brancher plus de lignes téléphoniques en amont).

Accès Crédit Mutuel

TODO : réactiver l’accès pour : John, Émile ?
Question en suspend : comment transmettre les documents ?

Changements de statuts

TODO : finaliser les déclarations en pref. Il manque encore certaines réponses.
TODO : John - relancer pour les adhésions

Panel - Backups

Backups sur panel : la compression des fichiers sql est peut être contre productive (et porte à confusion)

TODO (John) : vider /var/backups/mysql/sqldump (ce sera recréé la nuit d’après) pour éviter les doublons.

PI : Les backups compressés prennent 4Go de moins que les non compressés.

Remarque : il est possible qu’AlternC ne supprime pas les backups des comptes fermés.

TODO (John) : vérifier ce qu’il en est. Éventuellement ajouter une tache backupninja pour vider le dossier des dumps.

Panel - RAM

La VM Panel a l’air d’être un peu juste en RAM

Pistes :
-* augmenter la RAM des machines du cluster Ruche
-* séparer services mysql dans une autre VM
-* Inciter les hébergés à passer à php7 pourrait faire gagner en perf.
-* Déporter Borg sur une autre VM qui monterais un snapshot LVM ?
-* Avoir différents backups borg en fonction des fichiers (sql, /srv/html, /srv/mail, mailman). Demande à se passer de backupninja (qui n’a pas les bonnes options pour le prune - à vérifier)

Avant d’augmenter les ressources, il faudrait voir comment on peut limiter l’usage de la RAM sur Panel.
Attention, les cartes mères des machines ne peuvent dépasser 32Go de RAM.

TODO : arrêter les backups sur backeupe2.

TODO (John) : tester si backupninja gère correctement les prune (notamment avec l’option —prefix : https://borgbackup.readthedocs.io/en/stable/usage/prune.html)
TODO (Emile) : adapter les recettes ansible

Panel - Migration

Migration panel : anciens chemins (John expliquera)

Idée : monter le backup de panel sur une VM dédiée pour chercher.

NB : est ce que c’est compatible avec nos statuts de faire cette recherche ?
Peut être demander aux héberger de vérifier eux-même ? <= TODO

Réflexion à avoir. Notamment : si on mettait en place un antivirus sur le mutu ? Qu’est ce que ça implique « politiquement » ?