Globenet

L'Union Européenne doit poursuivre le financement des logiciels libres

John Livingston — 2024-08-27T10:34:47Z

Publiée initialement par les petites singularités.

Lettre ouverte à la Commission Européenne

Depuis 2020, les programmes Next Generation Internet, sous-branche du programme Horizon Europe de la Commission Européenne financent en cascade (notamment via les appels NGI Commons Fund) le logiciel libre en Europe. Cette année, à la lecture du drafts du Work Programme de Horizon Europe détaillant les programmes de financement de la commission européennes pour 2025, nous nous apercevons que les programmes Next Generation Internet ne sont plus mentionnés dans le Cluster 4.

Les programmes NGI ont démontré leur force et leur importance dans le soutien à l'infrastructure logicielle européenne, formant un instrument générique de financement des communs numériques qui doivent être rendus accessibles dans la durée. Nous sommes dans l'incompréhension de cette transformation, d'autant plus que le fonctionnement de NGI est efficace et économique puisqu'il soutien l'ensemble des projets de logiciel libre des plus petites initiatives aux mieux assises. La diversité de cet écosystème fait la grande force de l'innovation technologique européenne et le maintien de l'initiative NGI pour former un soutien structurel à ces projets logiciels, qui sont au cœur de l'innovation mondiale, permet de garantir la souveraineté d'une infrastructure européenne. Contrairement à la perception courante, les innovations techniques sont issues des communauté de programmeurs européens plutôt que nord américains, et le plus souvent issues de structures de taille réduite.

Le Cluster 4 allouait 27.00 millions d'euro au service de :

"Human centric Internet aligned with values and principles commonly shared in Europe" ;
"A flourishing internet, based on common building blocks created within NGI, that enables better control of our digital life" ;
"A structured eco-system of talented contributors driving the creation of new internet commons and the evolution of existing internet common".

Au nom de ces enjeux, ce sont plus de 500 projets qui ont reçu un financement NGI0 dans les 5 premières années d'exercice, ainsi que plus de 18 organisations collaborant à faire vivre ces consortium européens.

NGI contribue à un vaste écosystème puisque la plupart du budget est dévolue au financement de tierces parties par le biais des open calls. Ils structurent des communs qui recouvrent l'ensemble de l'Internet, du hardware aux applications d'intégration verticales en passant par la virtualisation, les protocoles, les systèmes d'opération, les identités électroniques ou la supervision du trafic de données. Ce financement des tierces parties n'est pas renouvelé dans le programme actuel, ce qui laissera de nombreux projets sans ressources adéquate pour la recherche et l'innovation en Europe.

Par ailleurs, NGI permet des échanges et des collaborations à travers tous les pays de la zone EU et aussi avec ceux *widening countries* [1], ce qui est actuellement une réussite tout autant qu'un progrès en cours, comme le fut le programme Erasmus avant nous. NGI0 est aussi une initiative qui participe à l'ouverture et à l'entretien de relation sur un temps plus long que les financements de projets. NGI encourage également à l'implémentation des projets financés par les biais de pilotes, et soutenait la collaboration au sein des initiatives, ainsi l'identification et la réutilisation d'éléments communs au travers des projets, l'interopérabilité notament des systèmes d'identification, et la mise en place de modèles de développement intégrant les autres sources de financements aux différentes échelles en Europe.

Alors que les États-Unis d'Amérique, la Chine ou la Russie déploient des moyens publics et privés colossaux pour développer des logiciels et infrastructures captant massivement les données des consommateurs, l'Union Européenne ne peut pas se permettre ce renoncement. Les logiciels libres et *open source* tels que soutenus par les projets NGI depuis 2020 sont, par construction, à l'opposé des potentiels vecteurs d'ingérence étrangère. Ils permettent de conserver localement les données et de favoriser une économie et des savoirs-faire à l'échelle communautaire, tout en permettant à la fois une collaboration internationale. Ceci est d'autant plus indispensable dans le contexte géopolitique que nous connaissons actuellement. L'enjeu de la souveraineté technologique y est prépondérant et le logiciel libre permet d'y répondre sans renier la nécessité d'œuvrer pour la paix et la citoyenneté dans l'ensemble du monde numérique.

Dans ces perspectives, nous vous demandons urgemment de réclamer la préservation du programme NGI dans le programme de financement 2025.

Signataires

Pour retrouver la liste des signataires, et éventuellement s'y ajouter, consultez ce pad.

[1] Tels que définis par Horizon Europe, les États Membres élargis sont la Bulgarie, la Croatie, Chypre, la République Tchèque, l'Estonie, la Grèce, la Hongrie, la Lettonie, la Lithuanie, Malte, la Pologne, le Portugal, la Roumanie, la Slovaquie et la Slovénie. Les pays associés élargies (sous conditions d'un accord d'association) l'Albanie, l'Arménie, la Bosnie Herzégovine, les Iles Feroé, la Géorgie, le Kosovo, la Moldavie, le Monténégro, le Maroc, la Macédoine du Nord, la Serbie, la Tunisie, la Turquie et l'Ukraine. Les régions élargies d'outre-mer sont : la Guadeloupe, la Guyane Française, la Martinique, La Réunion, Mayotte, Saint-Martin, Les Açores, Madère, les Iles Canaries

Ateliers libertés numériques le 18 mai 2024 au Centre Paris Anim' Montparnasse

John Livingston — 2024-04-11T08:03:57Z

Ce 18 mai 2024, Globenet, ritimo, Parinux et le Centre Paris Anim' Montparnasse ont le plaisir de vous convier à une journée d'ateliers, conférences et débats autour des libertés informatiques. Cette journée sera suivie d'une soirée concert.

Le numérique est omniprésent dans nos activités associatives, militantes, ou même professionnelles. Il est pourtant parfois compliqué de vraiment appréhender ce que cela implique sur nos libertés et notre sécurité. Nous vous proposons une journée de réflexion autour de ces thématiques, dans le but de nous sensibiliser aux bonnes pratiques.

Afin de préparer l'une des tables rondes, nous aimerions connaître les types d'outils numériques que vous utilisez, ou que vous souhaiteriez découvrir. Nous vous invitons à remplir ce formulaire rapide : Questionnaire

Le lieu

Le Centre Paris Anim' Montparnasse situés au dessus de la gare Montparnasse (26, allée du Chef d'Escadron de Guillebon 75014 Paris). Pour les trouver, passez par la gare, dirigez-vous vers les quais TGV 1 et 3. Vous y trouverez un escalier qui monte, une fois en haut, prenez sur la droite, et vous ferez alors face au centre. Il reste un dernier escalier à monter. Si vous êtes perdu·e, suivez la licorne !

Programme prévisionnel de la journée

Cet article sera mis à jour régulièrement, pour préciser le programme.

Nous vous accueillerons de 9h30 à 17h30 pour les ateliers et conférences suivantes, puis de 19h à 23h pour une soirée concert.

Table de presse

Une table de presse sera présente tout au long de la journée, avec de la propagande numérique éthique et des ouvrages papier, le Guide de survie des aventures sur Internet ainsi que le Guide d'autodéfense numérique.

Conférence / Table ronde : Réseaux sociaux, GAFAMs vs réseaux sociaux libres

De nos jours la présence sur les réseaux sociaux semble cruciale pour faire connaître nos structures et nos actions. Mais reposer entièrement sa communication sur des outils appartenant aux GAFAMs pose de nombreux problèmes. Heureusement, des alternatives existent !

horaire indicatif : 10h - 11h

Conférence / Table ronde : Outils éthiques et libres

Que ce soit pour communiquer, s'organiser, échanger, il est crucial de s'affranchir des GAFAMs et de leurs outils conçus pour pomper nos données et surveiller nos moindres faits et gestes : petit tour d'horizon des outils libres et respectueux de nos vies privées, faciles à mettre en place et à utiliser !

horaire indicatif : 11h15 - 12h30

Install Party

Les bénévoles de l'association Parinux vous proposent de vous aider à installer des distributions GNU/Linux sur votre ordinateur ainsi que des distributions comme LineageOS ou /e/OS sur votre téléphone portable. Nous sommes également là pour vous renseigner et faire de la sensibilisation autour des logiciels libres. Pensez à venir tôt si c'est pour une installation, et sinon, nous sommes également présent·es tous les premiers samedis du mois à la Villette !

horaire indicatif : 13h30 - 17h30

Contre le mythe de la dématérialisation : extractivisme, numérique et solidarité internationale

Conférence-débat autour de l'exploitation et la pollution des territoires au Sud pour une société verte et tout numérique au Nord, avec Caroline de ritimo.

horaire indicatif : 13h45 - 15h15

Le numérique est un sujet de société qui interpelle de plus en plus. Et pour cause : l'informatique, Internet et les objets connectés sont des plus en plus présents dans nos vies ; en quelque sorte, la « dématérialisation » est en cours.

Cependant, la matérialité du numérique – appelée à s'alourdir encore avec la course à la transition énergétique – pose question, notamment en termes de justice environnementale internationale. Car sans or, cuivre, cobalt ou lithium, pas d'ordinateur ni de data center : et pour produire ces minerais rares, ce sont les territoires d'Afrique, d'Amérique latine ou d'Asie qui sont exploités à outrance. L'extractivisme minier, ses impacts socio-environnementaux et les conflits qu'il crée, sont donc au cœur des débats politiques dans ces pays – notamment au Pérou. Assèchement des sources, pollution des cours d'eau, destruction de l'agriculture de subsistance, criminalisation et répression des contestations paysannes…

L'articulation des luttes et des mouvements sociaux qui travaillent à un monde plus juste, plus solidaire et plus durable doit donc se poser la question des fronts à investir pour lutter ensemble contre une société du « tout-numérique » au Nord qui repose sur l'exploitation et les pollutions au Sud.

Comment protéger ses libertés en milieu numérique “hostile”

Présentation et échanges autour du Guide de survie des aventures sur Internet.

horaire indicatif : 15h30 - 17h15

Avec le développement des réseaux sociaux, des achats en ligne, des échanges numériques, des objets connectés, etc., les possibilités d'atteintes à notre vie privée et d'utilisation de nos données personnelles ont considérablement évolué. Mal informé·es, résigné·es, contraint·es ou consentant·es faute de mieux, dans un contexte général qui nous incite à les révéler, nous avons revu à la baisse la protection de nos données personnelles. Pourtant, les nombreux risques liés au traitement de nos données nous concernent directement ; nous sommes susceptibles de les subir quotidiennement.

Pour mieux maîtriser les informations exposées, protéger notre vie privée et nos libertés fondamentales, ce guide regroupe des fiches pratiques pour découvrir, pas à pas, des outils visant à assurer cette protection. Par exemple : en privilégiant des mots de passe complexes, en limitant les possibilités de traçage en ligne grâce à des outils appropriés, par le chiffrement ou encore en faisant le choix de logiciels libres et de services et sites Internet qui proposent un traitement plus respectueux de nos données personnelles.

Atelier Démystifrise

Mise sur écoute, géolocalisation, interception des communications… En tant que militant·es, nous sommes tous·tes exposé·e·s à la surveillance policière dans nos activités et cela peut susciter une certaine appréhension. Quelles sont nos connaissances réelles sur les dispositifs mis en place et leurs impacts sur nos vies ? Cet atelier propose une réflexion pour démystifier les croyances et construire une compréhension globale des moyens de surveillance.
(6 à 12 personnes)

horaire indicatif : 13h45 - 15h15

Concert du soir

À partir de 19h :

Hassan K (mystical one man band from Persia)
Sagittarius A (punk rock, et plus si affinité)
Effello et les extraterrestres (punk rock)

Entrées pour le concert et boissons à prix libre (mais respectueux).

Gestion des risques chez Globenet

John Livingston — 2023-04-18T15:50:54Z

Ce document vise à expliciter les mesures prises ou à prendre par Globenet en réponse à certains risques.

Un risque se définit par la combinaison d'un danger, c'est à dire un événement redouté, et sa probabilité d'occurrence. La gestion des risques consiste à minimiser les risques en les évaluant et en mettant en place des solutions pour réduire leur impact.

Risques matériels

Datacenters inaccessibles

Définition du risque : les équipements de Globenet sont situés dans des Datacenters qui peuvent devenir inaccessibles temporairement ou définitivement, de manière prévisible ou non.

Mesures mises en place :

Nous avons une baie principale au datacenter Equinix PA3 (Aubervilliers), où se situent tous nos services.
Nous avons également un serveur de sauvegarde dans un autre datacenter (TH2, également à Paris). En cas d'inaccessibilité du Datacenter PA3, nous pouvons reconstruire les services à partir des sauvegardes de la veille, au prix d'une coupure des services pour une durée indéterminée.
Note : PA3 et TH2 étant situés tous les deux en Île-de-France, en cas de blackout au niveau de la région, nos services ne seront pas accessibles.

Problèmes électriques

Définition du risque : limiter les coupures de service en cas de panne électrique. Limiter également le risque de panne matérielle consécutive aux coupures ou choc électriques.

Mesures mises en place :

La quasi totalité des machines de notre baie principale disposent d'une double arrivée électrique (le Datacenter a lui-même deux arrivées électriques).
Le Datacenter est également équipé de batteries de secours et d'un groupe électrique.
Les machines disposant d'une seule alimentation sont connectées sur un STS (Système de Transfert Statique) lui-même connecté aux deux arrivées.

Pannes de réseaux

Définition du risque : en cas de panne du réseau (équipement défectueux en amont, coupure d'un câble, travaux...) les services peuvent être inaccessibles de l'extérieur.

Mesures mises en place :

Notre réseau nous est fourni par l'association Gitoyen.
Nous disposons de deux arrivées réseau, et avons deux serveurs passerelles en entrée de réseau par lesquels tout le trafic avec l'extérieur transite. Le réseau bascule automatiquement d'une passerelle à l'autre si l'une d'elle perd le réseau ou est coupée.

Pannes de composants informatiques

Définition du risque : l'infrastructure de Globenet est composée de matériel ayant une durée de vie limitée. Les pannes de pièces (disques durs, alimentations, ventilateurs, ...) peuvent être fréquentes, d'autant que nous privilégions l'utilisation de matériel reconditionné à des fins écologiques.

Mesures mises en place :

Tous nos serveurs utilisent du RAID pour leur stockage : RAID 1 ou RAID 10 (2 disques redondants).
Au sein d'une grappe RAID (que ce soit HDD ou SSD), nous mixons les références et âges de disques, pour minimiser les risques de casse ou de bugs simultanés.
Les machines virtuelles (VMs) et services que nous fournissons sont sur des clusters Ganeti [1], ce qui permet :
- une redondance : si une machine crashe, le service redémarre sur un autre nœud du cluster ;
- si une maintenance est nécessaire, nous pouvons migrer le service sur un autre nœud sans coupure
Le nombre de nœuds (machines physiques) des clusters Ganeti est d'au moins 3 par cluster, et dimensionné de sorte à pouvoir perdre une machine sans devoir couper de service.
Nous gardons à disposition, dans la mesure du possible, toujours au moins une ou deux machines de secours : ce sont des machines inutilisées et éteintes, que l'on peut mobiliser au prix d'une intervention au Datacenter (auquel nous avons accès h24 7/7).

[1] Ganeti est un outil de gestion de clusters (ensembles de machines physiques) de machines virtuelles.
Chaque VM est sur un nœud (une machine physique du cluster) primaire et un nœud secondaire. Le nœud primaire est celui sur lequel la machine tourne, le secondaire est celui qui prend le relais si le nœud primaire tombe en panne.

Bugs logiciels

Définition du risque : un bug logiciel peut rendre un service indisponible voire impliquer une perte de données. Cette indisponibilité et cette perte de données, contrairement à une panne matérielle, peut se propager à l'ensemble de nos serveurs.

Mesures mises en place :

Chaque service que nous fournissons est sauvegardé quotidiennement dans un autre Datacenter, de même que nos hébergements mutualisés (web, mail, listes de mails, etc.).
Nous offrons à nos hébergé·es (VM et colocations de serveurs) un espace de sauvegarde qu'iels peuvent utiliser à leur convenance, via le logiciel Borg.
Nos services de sauvegarde ne sont accessibles que sur un réseau privé, ce qui diminue la surface d'attaque.
Nous proposons également ce service de backup en tant que service dédié. Ce dernier est accessible depuis un réseau public, via clé SSH (seul l'accès au service Borg est possible).

Axes d'amélioration :

Nous pourrions ajouter un système de sauvegarde « à froid », qui sauvegarderait les données de manière immuable, pour éviter les attaques de type « malware ».
Nous pourrions également réfléchir à proposer le mode « append-only » de Borg (ie : des sauvegardes où on ne peut qu'ajouter des données, et pas en effacer).
Dans tous les cas, l'utilisation de ce mode doit être un choix laissé aux hébergé⋅es.

Risques liés aux autres prestataires et tierces-parties

Définition du risque : Globenet fait appel à un certain nombre de prestataires et tierces-parties pour fournir ses services : registraire (Gandi), certificats X.509 (Let's Encrypt). De plus, nous utilisons certains logiciels libres développés par d'autres structures (GitLab, Ansible, Debian, AlternC, ...). Des pannes, blocages, ou vulnérabilités de ces outils impacteraient les services de Globenet.

Mesures mises en place :

Nous essayons de limiter le nombre de prestataires que nous utilisons et évitons de verrouiller fortement nos choix technologiques.
Nous tenons une veille technique afin de réagir au plus vite.

Risques humains

Erreur d'administration

Définition du risque : une erreur d'administration des services peut aboutir à une interruption de services et à une perte de données sur l'ensemble de nos serveurs. Elle peut également générer beaucoup de stress pour la personne en charge de l'administration.

Mesures mises en place :

Les données de nos services sont périodiquement sauvegardées via le logiciel Borg sur une période de 60 jours sur un site distant (TH2).
La configuration de nos services est effectuée via Ansible/Debops. Les changements de ces configurations sont archivés dans un dépôt git, hébergé sur notre service Gitlab. Il est donc possible de revenir sur une version antérieure et/ou d'analyser les modifications.
En cas d'erreur, la personne en charge de l'administration ne doit pas hésiter à demander un accompagnement ou à passer la main pour limiter les risques d'aggravation de la situation et ne pas avoir à supporter seul⋅e cette situation stressante.

Absence d'astreinte

Définition du risque : que ce soit dans les datacenters au niveau matériel, ou dans les services informatiques, au niveau logiciel, de nombreuses organisations mettent en place des astreintes. Autrement dit, une ou plusieurs personnes identifiées doivent se rendre disponibles sur des périodes données pour pouvoir intervenir rapidement sur les serveurs.

Mesures mises en place :

Globenet étant autogéré par des bénévoles, nous ne pouvons nous permettre de mettre en place de telles astreintes. La gestion de l'association nous prend déjà beaucoup de notre temps libre.
Toutefois, dans les faits nous sommes généralement rapides à réagir en cas de problème, de par le nombre d'admins système et autres bénévoles ayant accès aux boîtes mails de support. Les admins sont en mesure de résoudre quasiment tous les problèmes à distance, et ont accès aux Datacenters H24 7/7.

Perte d'expertise

Définition du risque : l'infrastructure que nous avons déployée demande des connaissances avancées en informatique détenues par une fraction, parfois très réduite, des membres de l'association. Il en va de même pour les mots de passe des machines et services. Si cette fraction venait à ne plus être disponible pour l'association (accident, départ...), les autres membres pouraient ne plus être en mesure d'assurer certains services, mettant en péril leur pérennité.

Mesures mises en place :

Nous essayons d'avoir toujours au moins deux personnes en mesure de réaliser chaque tâche.
Nous essayons de documenter (via un wiki) et d'automatiser/standardiser notre infrastructure (via Ansible et l'uniformité de nos solutions logicielles).
Nous effectuons une veille pour rester à jour sur les risques encourus (problèmes de sécurité, etc.).
En cas de départ, nous faisons le nécessaire pour assurer la passation des connaissances (ou à défaut, changer les technologies en amont).
Nous apportons également une réelle réflexion avant d'introduire de nouvelles technologies dans notre infrastructure, afin de limiter les connaissances nécessaires à l'administration des services.
Concernant les mots de passe, ceux-ci sont partagés entre les admins système de l'association (et uniquement entre elleux) et chiffrés via le protocole PGP.

Risques financiers

Définition du risque : ne plus avoir suffisamment de fonds pour payer nos frais de fonctionnement.

Mesures mises en place :

Les services sont payés en grande partie par les hébergé·es et le reliquat est assuré par des dons et cotisations des membres.
Globenet ne dépend d'aucune subvention publique.
L'équipe est intégralement bénévole. Nous nous assurons d'adapter nos tarifs si besoin, et de toujours avoir un fond de roulement suffisant.
Nous faisons un rapport financier tous les ans lors des assemblées générales, qui nous permet de témoigner de la santé financière de l'association.

Risques juridiques ou administratifs

Définition du risque : Globenet ou l'un⋅e de ses hébergé⋅es pourraient être l'objet de poursuites juridiques. Globenet ou l'un⋅e de ses hébergé⋅es pourraient également être la cible de réquisitions ou de perquisitions.

Mesures mises en place :

Nous faisons une veille juridique concernant les contraintes afférentes aux hébergeurs.
Nous mitigeons aussi ce risque via la cooptation qui permet de contrôler notre croissance et les personnes qui nous rejoignent.
Nous sommes également en contact avec des avocat⋅es spécialisé⋅es, afin d'être en mesure de réagir rapidement le moment venu. Notre réseau d'associations amies comprend également plusieurs structures spécialisées dans les risques juridiques.
Nous nous engageons à ne pas répondre à d'éventuelles demandes sans nous être assuré·es auparavant dans la mesure du possible de leur légitimité et des recours envisageables.

Malveillance

Risque de dévoiement idéologique de l'association

Définition du risque : Risque d'entrisme ou de noyautage

Mesures mises en place :

Un manifeste exprimant clairement les positions politiques de l'association.
Des statuts et un réglement intérieur honteusement repompés.
Un fonctionnement par consensus.
La façon dont le Collège Solidaire est composé (cooptation et validation en AG) nous protège également.

Attaque informatique

Définition du risque : une attaque informatique, venant d'un·e admin système ou d'une personne extérieure, peut aboutir à l'indisponibilité de nos services, à une perte de données, ou à la fuite de ces dernières.

Mesures mises en place :

Pour se protéger d'un·e admin malveillant·e, le groupe d'admins existant ne recrute de nouvelles personnes que sur cooptation.
Pour se protéger d'une personne extérieure, nous maintenons notre système à jour et nous avons mis en place plusieurs mesures techniques (chiffrement, bastion SSH, pare-feux, etc.).
Les accès physiques aux baies où sont nos machines sont restreints.
Nous privilégions l'usage de Debian, réputé pour sa fiabilité, comme système d'exploitation pour nos services, qui sont également isolés via l'usage de machines virtuelles distinctes.

Vol du matériel

Définition du risque : une personne entrant par effraction chez nos hébergeurs, ou chez un⋅e admin sys. Cet événement peut impacter la disponibilité de nos services, l'intégrité de nos données, mais aussi la confidentialité de ces dernières.

Mesure mise en place :

La restriction des accès physiques. Une partie de nos machines sont chiffrées, rendant les données inaccessibles en cas de vol. Avec une extension prévue sur l'ensemble de nos machines à terme.
Nos sauvegardes hors site sont également chiffrées, via le protocole Borg.
Concernant le vol de l'ordinateur d'un⋅e admin sys, celleux-ci doivent mettre en place les bonnes pratiques nécessaires pour limiter les risques (passphrases fortes, clés matérielles, chiffrement, etc.)

Mardi Globenet mai 2022

John Livingston — 2022-05-18T12:32:00Z

ODJ

Présent⋅e⋅s : Mathieu, Emile, Whilelm, John, Guy, JacquesB, Nono (LQDN), Juliette (CNT), Pierre Alain et Didier (COAGUL), Khrys, Gary (Le Chiffon)
Rédaction du CR : John

Points à l'ordre du jour

CNT (point sur l'adhésion, et sur la migration php5 => php7)
La Quadrature du net
Le chiffon
COAGUL
CSIA : petit retour technique sur la projection Women Warriors et question BBB (traduction simultanée)
Panel (nous devons notamment décider si on envoie régulièrement des mails de relance pour les boites trop grosses)
Retour sur le live Ritimo du 28 avril
VoIP : FFDN pourrait peut être proposer de la VoIP un jour... si y'a des assos intéressées pour y participer.
Migration xen2 : https://nextcloud.com/blog/nextcloud-hub-24-is-here/
Nextcloud 23 ? (bloquer l'installation des app ? la maj ?)
Nextcloud trop à l'étroit sur les petites VM
Coupure backeupe2, migration backeupe3
BP utilisée par un hébergé (bug Borg)
Gitlab pages
Code limite en RAM ?
bridge tor
Événement CartONG
fin support php5
CT logs
Demande d'accès à une boite mail d'une personne décédée (no-log). Quelle réponse apporter ?

CNT

Adhésion : la CNT a fait un point concernant le montant à donner pour son adhésion.
TODO : faire parvenir une adresse postale à la CNT qui souhaite payer par chèque.

Concernant la migration vers PHP 7, ça bloque toujours a cause de la façon dont sont organisés les sites de la CNT : dans des sous-dossiers au lieu d'être dans des sous-domaines (ce qui pose aussi des problèmes de sécurité des cookies, etc...).
Une cinquantaine de BDD, autour de 40 sites à migrer. Du SPIP ( 60% - des 2.x, presque plus de 1.x) et du Wordpress ( 40%). Migration d'une arborescence unique, y compris création de sous-domaines.
Rdv prévu le 18 mai (Juliette et John) : identifier un site qui permette d'éprouver la solution. Si ça fonctionne, essayer d'en traiter plusieurs autres dans la foulée.

La Quadrature Du Net

Actuellement hébergé chez octopuce (qui est membre fondateur). Tout est là bas, concentrés sur 2 machines, et il y a une volonté de décentraliser l'hébergement. Il y a 2 ans, un travail de refonte de l'infra a commencé.

Problèmes de réactivité chez Octopuce (qui manque de temps disponible). Est-ce que Globenet pourrait accueillir quelques services LQDN, et sous quelles conditions ? L'idée étant d'enlever de la charge de travail coté Octocupe.

GN pose la question : quels sont les besoins ? Est-il question de complètement changer d'hébergeur, ou de répartir chez plusieurs entités ?

Besoins :

installer quelques services (forum - sur Discourse). Un petit serveur (Docker).
Dans un temps plus long : ferme Wordpress (dont le site de LQDN, avec pas mal de trafic), GitLab avec service CI
Potentiellement, plutôt partir sur une VM. 1GB de RAM, 10GB de disque, 1vCPU.
Actuellement, à peu près 8 machines identiques, dont une avec plus d'espace disque (de l'ordre du tera).
Discussion autour de l'intérêt de VM plutôt que d'une machine dédiée (forces à LQDN, redondance des VM vs non redondance des dédiés).
GitLab : besoin de plusieurs comptes (et redirections), donc besoin d'un GitLab dédié.
Capacités de stockage d'autres services qui pourraient migrer vers GN un jour :
- Peertube : 600GB
- Mastodon : 200GB ?
- NextCloud : 500GB

Nous avons également donné quelques détails sur notre cluster de VM (Ganetti, redondance, màj / reboot à chaud)
Nono nous a demandé s'il était envisageable que LQDN achète des disques pour leurs VMs (peertube, mastodon, nextcloud). Nous avons signifié que ce n'était pas aussi simple que ça : la taille disponible ne correspond qu'à 1/4 de la taille des disques (redondance RAID et redondance Ganeti).

Développement progressif, question d'actualité à Globenet aussi.
- Phase de demandes de nouvelles machines, de VM : décider des perspectives de GN (ajouter des machines aux clusters ?).
- Discussions à avoir cet été.
- Pas de souci pour déployer quelques VM et de la petite volumétrie, un peu tôt pour de la grosse volumétrie.
Formalisation
- page services (https://www.globenet.org/-Services-.html )
- nous écrire par mail quand la première demande sera claire
- adhésion à prix libre (et facultative)

Nono revient vers Globenet après avoir vérifié avec les membres de LQDN que ça colle.
Si LQDN a la volonté d'investir d'avantage l'infra de Globenet, réflexion autour de l'implication de l'adminsys (et sur des axes juridiques) de LQDN aux côtés de Globenet.
Discussion autour d'un soutien de Globenet à LQDN aussi.

Question de la bande passante : au regard des liens avec Gitoyen, les contraintes qui figurent sur le site (page des services) sont (complètement) caduques.
Petite demande d'avoir un petit regard sur les courbes de Peertube et mamot avant d'accepter de les héberger chez GN.
Sur leurs autres services, LQDN a vu des pics à 1MB/s, ce qui est anecdotique pour Globenet (hors Peertube et mamot).

Le Chiffon

Accueil d'une nouvelle personne - Gary - et de ses demandes.
Pour une nouvelle publication papier (un peu façon CQFD, Le Postillon, etc.)
Nous en avons profité pour présenter à nouveau Globenet.
Proposition d'interroger collectivement les besoins numériques au sein de l'organisation, puis envisager d'en parler avec Globenet pour ajuster la réponse technique (actuellement, Framacalc mais passage à Google Sheets (shit)).

COAGUL

COAGUL est un LUG : une asso qui essaie de faire des ateliers/permanences/install party/... dans la région dijonnaise.
Ça devient difficile de reprendre la main sur les outils de l'asso : au fil des années, différent·es adhérent⋅e⋅s ont hébergé différents bouts dans des coins épars. L'asso n'a plus vraiment la main sur sa propre infra.
L'idée serait que l'asso possède une machine, et soit maître de son infra.
Pour commencer : gestion des adhérent⋅e⋅s, site web (à refondre), pad.
Une VM « petite » pourrait suffire pour commencer.

CSIA

Soirée de projection Women Warriors en anglais sous-titré espagnol (BBB et Peertube) ce 7 mai 2022.
Mail sur geeks qui n'est pas passé (pas sur la liste, pas dans les archives, ni en post) mais reçu par WhilelM (en copie cachée ?).
WhilelM a bouncé sur la liste et il est passé

Au plus fort, 18 personnes sur BBB, 2MB de bande passante sur BBB
Projection vidéo via BBB depuis Peertube
4 intervenant·es ensuite : la réalisatrice, l'une des protagonistes (sans doute toutes deux aux USA), une traductrice et une animatrice du CSIA
Des coupures pour l'une des intervenant·es, puis intervention sonore meilleure une fois les webcams coupées
Pas de test de la coupure de la webcam de la seule intervenant·e qui éprouvait des difficultés

Bug si déconnexion / reconnexion sur BBB : la vidéo partagée ne reprenait pas la lecture si l'on n'était pas présent au moment du lancement.

TODO : silencer l'instance de BitTube, qui spam les commentaires. Elle est non-modéré et ne répond pas aux solicitations (par mails, ou par les outils de signalements intégrés à Peertube).

Question de la traduction simultanée dans des salons BBB (plugin BBB qui existe, mais sur la version payante)

Panel

Problème d'espace disque pour les emails ; plein à 95%. Email type déjà envoyé aux grosses bal.

Action possible : envoyer un email pour sensibiliser les référents des comptes.
Il manque un tuto clair pour faire du ménage dans les boites emails. Dire qu'on a la possibilité pour les admins de faire du ménage coté serveur.

TODO Emile : envoyer un mail aux référents des hébergés.
On décidera une prochaine fois si on renvoi ce mail régulièrement (cf CR du 26 avril).

Eddy, Mathieu, Christophe sont prêts à contacter directement les structures concernées

VoIP : FFDN

Une des assos de la fédé pourrait peut être proposer de la VoIP un jour... si y'a des assos intéressées pour y participer.
Est ce qu'on serait partant pour remplacer les lignes VoIP qu'on a chez OVH pour notre BBB ? Si intéressé, contacter Spyou.

CartONG : cycle de webinaires

5 webinaires sur la question de la gestion des données programme, chaque mardi de 11h à 12h15-30 sur le BBB de Globenet (ou Octopuce, mais pas sûr·e), à partir du 17 mai.
John assure la technique, s'attendre à une petite montée en charge ces jours là (jusqu'à 80 personnes, mais sans doute beaucoup moins).

Nos-oignons

Diminution de la BP ces dernières semaines. On a remonté le PB, c'est fixé !

fin support php5

Proposition d'email aux hébergé·e·s pour en finir avec le php5.6 et encourager à migrer vers php7. Se pose le problème des short tag.
Décidé de couper plutôt que de migrer vers php7. On coupe en septembre le php5.6.

Mardi Globenet décembre 2021

John Livingston — 2021-12-22T13:54:37Z

Mardi Globenet du 14 décembre 2021

ODJ

Présent⋅e⋅s :
-* WhilelM
-* Émile
-* John
-* JacquesB
-* Mathieu
-* Michel (Resade)
-* Seb

Rédaction du CR : John

Points à l'ordre du jour

Retour réunion groupe ffdn juridique FFDN/Chaton
Retour sur le festisol
JDLL 2022
Extinction serveur rc (roundcube)
Demande de Resade concernant le quota atteint (mail du 11/12)
Demande du CRID (mail du 23/11/2021 à 14:53)
Point sur la v4 de Peertube
backeupe3
upgrade Bullseye
extinction de logd
Grosse BAL (46 bal => 646.2 Go)
Access sebian passwords
Accès panel de caa
Meeting AlternC

Extinction rc

« rc » est un ancien serveur roundcube, qui n'a plus d'utilité depuis la migration panel (webmail.globenet.org est maintenant sur roundcube). WhilelM a avancé sur le sujet. 300 comptes ont été utilisé ce serveur en 2021.

Le seul problème potentiel de la coupure serait la perte des carnets de contacts. On a un moyen de les exporter.
On peut toutefois demander aux utilisateur⋅rice⋅s de faire une sauvegarde de leurs carnets.
Il est possible d'extraire la liste des comptes pour les prévenir par mail.

L'idée : forcer les gens à migrer sur webmail.globenet.org.
Une façon de faire : mettre une redirection de l'ancienne adresse vers la nouvelle.

Remarque d'Émile : il existe aussi des groupes de contact. Il faudrait vérifier si c'est utilisé, et comment migrer.

Autre solution :

annoncer la coupure à venir
demander de faire des exports
laisser un peu de temps (1 mois)
couper le service. Si quelqu'un⋅e en a besoin, on le rallume temporairement, le temps que la personne fasse les exports.
et à la fin garder rc dans le cimetière pour un an max.

À priori on partirai sur cette solution. Et donc, pas de redirection de l'ancienne url vers la nouvelle.

Resade

Le Resade a atteint ses quotas sur panel.
Note : c'est avec le Resade qu'on avait testé la migration AlternC (sur la machine panel1). Il est possible qu'on ai migré les mauvais quotas.

Ce qu'on propose : on augmente les quotas du Resade en fonction des besoins, sur simple demande. (avec comme intérêt à cette démarche de nous « forcer » à garder le contact).

Nous tenons à remercier le Resade d'avoir accepté d'être beta-testeur sur la migration panel.

Remarque de Michel (Resade) : en tant que Resade - ou individuellement - ce n'est pas clair s'il est possible d'adhérer à Globenet. Manque d'information à ce sujet.
Ce à quoi nous répondons : suite à l'AG Extraordinaire de cette année, nous devons encore envoyer un compte rendu des changements actés. Nous préciserons ce genre de points à cette occasion (nouveaux statuts, charte, comment adhérer à Globenet en tant que personnes morales ou personnes physiques…). En attendons, nous avons rappelé que l'adhésion à Globenet est à prix libre (sur une base annuelle).

Journées Du Logiciel Libre 2022

À Lyon les 2 et 3 avril 2022 - https://jdll.org/
Qui est intéressé⋅e pour s'y rendre ?

Il y a un appel à contribution/présentation : https://pretalx.jdll.org/jdll2022/cfp
Mathieu a envisagé d'y aller au titre de ritimo.
ATTAC est intéressé, onestlatech peut-être aussi...
Deadline pour proposer une présentation : 31 janvier 2022

Y-aurait-il un sujet qu'on souhaiterait y présenter ?

Il y avait eu un stand ritimo/Globenet en 2019.

Mathieu signale que dans le CR de la rencontre juridique FFDN/Chaton, il y a plein de points super intéressants, avec beaucoup de matière.

Sinon, pour ritimo :

Nourrir nos utopies de la mémoire de nos luttes : https://pretalx.jdll.org/jdll2020/talk/HYFVFY/
Numérique : libérons nos pratiques ! : https://pretalx.jdll.org/jdll2020/talk/K3QYZF/
stand

Émile propose de faire une banderole Globenet. Jacques dit qu'on en a peut être une dans le local.

TODO Mathieu : lancer une discussion sur benevoles@

Retour réunion groupe ffdn juridique FFDN/Chaton

Émile était présent. Une dizaine de personnes présentes.
Il n'y avait malheureusement pas de juriste.
Bonne motivation dans le groupe.
Les personnes présentes étaient chaudes pour monter un groupe juridique autour des questions abordées (le panel des questions était assez large).
Beaucoup de questions en suspend au terme de cette réunion.
Une seconde réunion est prévue la semaine du 17 janvier (date exacte à définir, un sondage est en ligne).
Reste à trancher : les moyens de communications à mettre en place pour continuer le groupe de travail (mailing list ? chat ? forum ?)
Il y a une volonté de se rapprocher de la Quadrature du Net.

Que fait-on collectivement au sein de Globenet sur ce sujet ?
Sur quel point s'investit-on dans cette initiative ?
Est-on prêt à éventuellement engager de l'argent ?
Est-on prêt à « faire du bruit » sur ces sujets ?

Ce qui se dégage : on est intéressé. Il faut qu'on en discute avant d'agir, et qu'on soit en mesure de prendre collectivement des décisions éclairées.

Effort à fournir sur le lien avec les CHATONS.

Points sur lesquels Globenet voudrait se positionner :

durée de rétention des logs
réponses à avoir en cas de perquisition/réquisitions (police/justice)
correspondance privée/publique, qui est éditeur/hébergeur/intermédiaire technique, ...
modération, modération en 24h, ...

Demande du CRID

Migration de eg-migrations.org sur un compte différent :

nom de domaine, adresses mail, listes de diffusion associés au domaine eg-migrations.org
transfert de l'historique mail etc du compte CRID vers ce nouveau compte

Question :

coût pour le nouvel hébergement
coût pour la migration

Attention : tout n'est pas chez nous !
Chez nous :

domaine
6 boites mails
site web : redirection IP vers un autre hébergeur
5 ou 6 listes de discussion

La migration concernerait donc les archives mailman, les mails, et le DNS.
Il faut bien vérifier qu'on n'a rien raté.

Proposition :

migration : 350€
hébergement : 7.5€/mois. Confirmer que l'hébergement web reste là où il est ?

À priori Émile s'en chargera (sinon John).
John répond à Carine demain (NDLR : c'est fait).

NB : il y a une VM du Crid qui n'est plus payée depuis octobre. C'était prévu, mais qu'en fait-on ?
TODO John : se renseigner sur ce qu'il en est. Voir avec Mathieu avant d'en parler avec Carine.

Peertube v4

La v4 de Peertube est sortie. Pas mal de nouveautés.

Historiquement, Peertube a eu 2 formats de partage de vidéos différents : d'abord webtorrent, puis HLS. Le format des fichiers sur le disque n'est pas le même. Il y a eu une phase de cohabitation, où les vidéos étaient encodées dans les 2 formats. Il y a maintenant des outils pour lister les vidéos (avec comme critère de filtrage les formats disponibles), et des fonctions pour déclencher le transcodage vers HLS et supprimer webtorrent.
On peut donc prévoir d'utiliser ces outils pour retirer les doublons et gagner de la place.

TODO John : nettoyer les vidéos webtorrrent sur videos.globenet.org.

Autre nouveauté : on a maintenant le choix entre youtube-dl et yt-dlp (fork de youtube-dl, ce dernier n'étant plus trop maintenu).
Fork de youtube-dl (yt-dlp) sur repository de Christian Marillat (deb-multimedia.org).
La question en suspend : est ce qu'on passe à yt-dlp ?
NB : c'est utilisé en cas d'import de vidéos par url.

Autres notes sur la v4 :
https://framablog.org/2021/11/30/peertube-v4-prenez-le-pouvoir-pour-presenter-vos-videos/

TODO John : créer un globenet sur videos.gn et mettre le password dans le pass store. Il y aura des vidéos à y migrer (notamment depuis le compte de Whilelm). Mail à utiliser : Voir si on a un alias dédié peertube. Sinon gestion@globenet.org (vérifier qui est inscrit sur la liste)

Note : LDN a des vidéos. Il était question de garder le site LDN chez GN pour mémoire. Est ce qu'on mettrais ces vidéos chez nous ?
Ok à priori. On pourrait créer une chaine LDN sur le compte GN.

backeupe3

La machine tourne. Emile pense que c'est prêt à passer en prod.
Il reste des choses à prévoir pour la migration (voir le pad dédié)

mail type à préparer pour les utilisateur⋅rice⋅s de backeup2, et à valider
prévenir les utilisateur⋅rice⋅s de backeup-ext

TODO Whilelm : ajouter à l'alias mail dédié aux backeup les utilisateur⋅rice⋅s de be-ext
TODO Whilelm : dans la procédure de création de compte pour le backeup, documenter l'alias mail

Le mois dernier nous avions évoqué l'abandon de rdiff ?

n'est utilisé qu'en interne
on passe à borg sur backeup3
garder les anciens backups X mois après migration (2 ou 3 mois, voir quelle est la durée de rétention actuelle)

Faire un point sur la durée de rétention qu'on veut (et sa granularité) pour les nouveaux backups.
Est-il possible avec Backupninja de choisir le nombre de points de sauvegarde en fonction de l'âge ? (exemple : tous les jours pendant 1 semaine, puis 1 par semaine pendant ... )

Extinction logd

Logd est-il encore nécessaire ? (le nouveau serveur de journal logs est en route).
Il reste encore quelques machines qui loguent sur logd.

TODO Whilelm : faire l'inventaire, et basculer sur la nouvelle machine.
TODO Jacques/John : no-log ? (les journaux de no-log vont sur logd actuellement, et sont source de beaucoup de bans car le service est souvent attaqué). Est-ce à Globenet de gérer le parefeu, ou est ce qu'on diffère la tâche à no-log ? No-log a déjà du fail2ban. Il y a peut être actuellement un double travail de fail2ban globenet/no-log, qui serait inutile.
TODO Jacques/John : voir si tout est ok coté no-log, stopper l'envoi des journaux pour voir.

On fait le point sur la prochaine réunion pour couper (ou non).

Migration Bullseye

Nous avons migré en Bullseye les serveurs de notre infrastructure Ganeti.
Ça a été rock n' roll par moment, mais pas de coupure !

Toute première machine migrée : aucun réseau au reboot. Difficultés à s'y connecter avec la console à distance, car la console HTML avait la mauvaise disposition de clavier. On a finalement réussi. Le bug est dans le package ifenslave : en cas d'agrégation de liens, certains format de conf sont bugués. 2 solutions : réécrire la conf, ou installer le packet dans une version qui n'est pas encore dispo en debian stable. C'est la solution que nous avons choisi. Pour toutes les machines suivantes, nous avons donc copié manuellement le fichier .deb qui va bien, et l'avons installé avant reboot.

2e soirée de migration : sur l'une des machines HP qui ont besoin de booter sur des clés USB, la clé n'était plus reconnue. On s'en est rendu compte en pleine mise à jour, au moment d'écrire /boot... On a réussi à la refaire fonctionner à distance, en coupant/rallumant l'alimentation du port usb.

Pour les autres machines, tout s'est bien passé. Aucune coupure sur les VMs.

Emile a aussi migré une partie des VMs.

Grosse BAL

46 BaL utilisent 646Go ! Plus de la moitié de l'espace total.

Procédure pour vider une boîte de manière simple ? Apparemment il n'y a pas de « façon simple » de faire (ni avec les clients mails, ni ...).
Comment peut-on faire pour gérer ça ?

Whilem : l'archivage de thunderbird est en local, et non à distance. Ça pourrait donc être une option pertinente.

Essayer d'identifier 3 ou 4 personnes (qu'on connait ?) pour voir si on peut mettre au point un process.
NB : Il y a un script sur le serveur qui répertorie les boites de taille supérieur à XGo.

TODO Whilelm (quand il passe sur Paris) : contacter CICP, ...
TODO Jacques : contacter Anafe

Voir si ces boites sont des boites intermédiaires liées à des alias. Si c'est le cas, on doit pouvoir les nettoyer entièrement.

Est ce qu'on active des quotas ?

On est à 92% d'usage disque sur la partition des mails. Son utilisation a bien augmenté sur l'année. Ce serait appréciable de réussir à gagner quelques centaines de Go.

Des pistes de doc pour archiver :
https://www.8p-design.com/fr/blogue/apple-mail-comment-archiver-ses-mails-en-local-pour-liberer-son-dossier-serveur
https://support.mozilla.org/fr/kb/archivage-des-messages
https://support.microsoft.com/fr-fr/office/archiver-manuellement-des-%C3%A9l%C3%A9ments-ecf54f37-14d7-4ee3-a830-46a5c33274f6

TODO Emile : faire un mail global « vous avez XGo ... ». Pas de deadline, mais signifier l'importance de la démarche. Proposer ce mail à benevoles@.
TODO : WhilelM : Commencer par envoyer ce mail à des personnes qu'on connait pour voir comment c'est perçu. sur panel :/root/emailquota_20211214

Access sebian passwords

Pour la maintenance de code.gn, Sebian aurait besoin d'accéder aux secrets dans notre dépot Ansible.

TODO : Émile : ajouter l'accès à sebian au secret d'ansible.

TODO : organiser un AFK root ? (surnommé l'afcarotte)
* Idée du guide du root. Faire le point sur nos pratiques (chiffrer son disque, clés ssh avec pass, ...)

Accès panel de caa

Il semble y avoir un vrai bug sur AlternC.

TODO Emile : poser un bug sur le github d'AlternC.
TODO Whilem : faire le suivi avec caa

AlternC

15 décembre 2021 à 16h : meeting AlternC.

Mardi Globenet octobre 2021

John Livingston — 2021-10-19T09:19:34Z

Mardi Globenet du 12 octobre 2021

Mardi Globenet 12 octobre 2021

Présent⋅e⋅s : WhilelM, Khrys, Emile, John, Mathieu, JiP, Max, Keo, Théo, Victor, Jessica, Paul, JacquesB, Taffit, Jon
Secrétariat (mensuel) : John
Animation : Mathieu

ODJ

Présentation des visiteur⋅euse⋅s
des retours du Camp CHATONS ?
retour sur le séminaire doctoral science ouverte du 12 octobre
publication de l'article de Gustave Massiah ?
demande de LDN pour accueillir le site static, le wiki static public, et le ndd ldn-fai.net, peut être un peu de mail
Demande ATTAC pour BBB (cf mail)
Organisation de l'AGE du 23:24 octobre
Instance Nextcloud pour la Conf, le retour, et BBB support tel
Instance Nextcloud laptitefabrique (mail reçu ce jour)
fail2ban qui bloque sur des connexions instables
Se faire un plan de PRA entre gens de l'équipe admin + Vérifier les seuils d'extinction des machines.
2e réunion en octobre ?

Présentation des visiteur⋅euse⋅s

Plusieurs nouvelles personnes sont venues assister à la réunion.

Max, Keo : sur proposition de rozlav et Mathieu, membres de Cloud Girofle.
Fournissent de l'hébergement web clé en main.
Intéressé·es par des collectifs et association - y compris militant·es.

Théo : a déjà participé à une ou deux réunions.
À Paris depuis un an, adminsys. Veut bien donner un coup de main, intéressé par l'aspect militant de Globenet.

Victor : chez IsF (Ingénieurs sans Frontière) depuis longtemps.
Membre de sysinfo - adminsys d'IsF, CHATONS autonome (héberge la totalité des services de l'asso).
Ont rencontré M. et W. il y a peu (cf CR précédent)
Intéressés par les services de Globenet (comme utilisateur·rices), voire pour filer un coup de main en adminsys.
Là pour écouter, voire proposer des choses.

Jessica : s'intéresse au milieu militant en Europe sur des questions démocratie et numérique

Paul, de Teje (Travailler Ensemble Jeunes et Engagé.es) : a déjà rencontré plusieurs membres de Globenet.
Projet de soutien aux défenseur·euses des droits humains en C.
Plusieurs réseaux militants (CCFD, Amnesty, etc.)
Se sont rapproché de Globenet.
Souhaitent améliorer leurs pratiques numériques.
Intéressé·es par le sujet.
La question « pourquoi "Jeunes" dans le nom » leur a été posé, la réponse : le J peut aussi vouloir dire Joyeux·ses - que des étudiant·es à la base, l'âge n'est pas un critère.

JiP : salarié à la Confédération Paysanne
S'occupe de l'informatique.

Khrys : est venue pour mieux comprendre Globenet, a encore un peu de mal à bien situer l'asso.
Espère participer à l'AGE en physique.

Intervention
Keo : suite au camp CHATONS, intéressé par la posture de GN vis-à-vis de la charte des CHATONS.
La question s'est posée d'avoir des CHATONS plus verts ou plus vénères.
Cloud Girofle a été approché par des groupes de militant·es écolos, mais ne sont pas certain·es d'avoir des compétences pour gérer des questions de sécu. / des réponses aux demandes des autorités / orienter vers d'autres gens ...

Nous avons ensuite fait un rappel historique sur l'histoire de Globenet.
Globenet, vieille dame de plus de 25 ans
A la base, des organisations engagées sur des questions de justice sociale et environnementale.
Globenet a créé No-log.
Il nous tient à cœur de respecter la confidentialité de nos hébergés.
A l'époque, il n'y avait qu'une poignée d'hébergeurs / de FAI.
Au lancement des CHATONS, Globenet a suivi les discussions avec enthousiasme.
La construction du collectif était très animé par Framasoft. Idem pour le processus d'écriture de la charte.
Le Draft de cette charte comportait des points qui nous interrogeaient (CHATONS : https://www.chatons.org/charte).
Par exemple, quid de la journalisation (obligation de la respecter, mais problématique politiquement).
Ces points vont à l'encontre du regard critique que nous portons sur certaines réglementations.

L'une des source d'inspiration des CHATONS a été FDN, qui avait déjà proposé d'essaimer avec la création de la FFDN.
Question·s de la gouvernance.
Observations de Khrys sur le parallèle CHATONS/FFDN :

beaucoup plus facile techniquement de monter un CHATONS qu'un FAI
CHATONS est actuellement plutôt porté par FRAMASOFT, qui a des salarié⋅e⋅s, contrairement à FFDN ; des différences de gouvernance (collectif vs fédération)
en tant que CHATONS, on interagit avec un public qui n'est pas forcément impliqué/membre, contrairement à FFDN
FDN a souhaité ne pas trop grossir, et l'idée était de faire des choses au niveau local. Chez les CHATONS, il n'y a pas forcément cette notion de « faire local » (via l'interface entraide CHATONS on ne tombe pas forcément sur un CHATONS du coin).
C'est intéressant de réfléchir aux différences ou points communs entre les 2 structures

Pour mieux présenter Globenet aux nouveaux⋅elle, nous avons fait un petit rappel des services proposés par Globenet :

Depuis no-log (mails + FAI)
Aujourd'hui : NextCloud (y compris mutu).
à prix libre nous proposons des comptes : Peertube, BBB, MobiliZon.
On a aussi un gitlab.
On utilise AlternC pour les services mutualisés : mail, listes, hébergement web, domaines.
nous proposons des VM ou de la colocation.
Service de Backups (SFTP, Borg).

Nous disposons d'une Baie physique + opérateur (via Gitoyen).
On repose sur le réseau de Gitoyen, association dont Globenet est co-fondateur⋅rice.
Nous sommes autonomes sur l'infra, du sol au plafond, et autonomes économiquement (pas de subventions, pas de salarié·es). Et nous tenons beaucoup à cet aspect.
Retour sur l'histoire de Globenet, y compris la dette sociale et le passage de flambeau aux bénévoles en 2004.
Big Up à Debian au passage, qui nous a permis d'avoir des services stables dans le temps.

Paul : intéressé par les services proposés par Globenet.
Soulève la question de l'autonomisation de communautés autochtones

IsF :
A testé Belenios (système de vote en ligne avec authentification) : les deux thésard·es sont sur le point de finir leur thèse
https://www.belenios.org/
Produit lourd et complexe à mettre en place.
Mais correspond à un besoin pour beaucoup d'associations en période de pandémie.
À propos de s'impliquer dans Globenet, la question des forces potentielles en adminsys versus durée d'engagement à Globenet a été posée.
Mais pourquoi pas se proposer en référence sur un service offert par Globenet (comme ça a été le cas pour John Livingston au début pour Peertube par exemple).

Petit rappel :
Globenet a aussi besoin d'aide sur des missions plus ponctuelles ou avec des engagements sur du plus court terme. Ex : support niveau 1 pour décharger les root.

Des retours du Camp CHATONS

Ce camp CHATONS a été organisé par un petit groupe les 24-26 septembre 2021. 52 inscrit⋅e⋅s, et en moyenne 60 personnes présentes sur place.
Le pré-programme a été abandonné à cause de l'absence de certaines personnes qui n'ont finalement pas pu venir.
Le camp a pris la forme d'un forum ouvert.
Au final, il y a eu plus de sujets politiques que techniques :-D.
Globenet n'était pas représenté : Rozlav et Mathieu étaient présent·es sous les casquettes de leurs employeurs respectifs.
Ateliers :

Quelle responsabilité des hébergeurs ? Que faire en cas de demande de justice/police ?
Comment s'autonomiser sur son infra ?
Comment s'organiser de manière collective ?
MOOCs et autres ressources à partager

Présence de nombreux⋅ses nouveau⋅elle⋅s, plus intéressé⋅e⋅s par la politique que la technique. Échanges très intéressants.
Beaucoup de questions sur la gouvernance.
Vu le succès, il y aura d'autres éditions.
Peut-être que la couleur de ce rendez-vous était liée à la relative sur-représentation d'associations : la question se pose lorsque les CHATONS seront sur des rendez-vous réguliers avec les membres habituels (dont des entreprises, y compris de taille moyenne).

Khrys a ressenti une énergie très positive pendant ce camp.
A apprécié l'auto-organisation (façon forum ouvert) plutôt qu'un planning d'ateliers décidés à l'avance.
A eu un doute au moment où L. a lancé l'animation/le brise glace - mais a changé son regard par rapport aux techniques d'animation en éduc. pop.
A beaucoup apprécié la rencontre avec Terre de Convergence, aimerait que ces groupes / collectifs se renforcent les un·es les autres.

Il y aura un Hackaton les 24/26 novembre au même endroit : La Fabrègue, Le Vigan porte des Cévennes.

Question de la diversité des organisations hébergées sur une même infra (un exemple a été donné, où un hébergeur a sur la même infra un site militant et une grosse entreprise).

Question Victor : a-t-on une idée du ratio des CHATONS en cours de création vs déjà créé ? L'auto hébergement complexifie la création d'un CHATONS. Peut être qu'une grosse partie d'entre elleux sont ralenti dans leur création par ça ? (trouver le matériel, les locaux, les connexions, ...).
Il y a beaucoup de CHATONS qui vont faire du petit volume (famille et entourage).
Il n'y a pas une méthode de créer un CHATONS, il y en a plein.
Celleux qui choisissent la voie difficile l'ont fait par choix.
Au final, les CHATONS sont assez hétérogènes (tailles, orientations, méthodes, ...).
Mathieu : La question de faire confiance à un tiers (ovh, ...) reste quand même importante, et ça reste malheureusement un luxe de faire autrement. L'autonomie est compliquée, mais intéresse beaucoup de collectifs (CHATONS ou autres).

Séminaire doctoral science ouverte

Mathieu nous fait un retour sur un séminaire ayant eu lieu ce 12 octobre.
Il y avait une demande d'intervention du CNRS pour intervenir devant des doctorant⋅e⋅s. Sur 2 angles : « licences et formats libres » et « logiciels et services libres ».
Ce matin c'était sur le premier point.
Mathieu a contacté Stéphane Crozat de Framasoft.
Mathieu est parti sur l'idée que c'était des post-docs dans le public.
La prestation a été captée.
L'écran était pourri. La présentation a été compliquée.
Des discussions ont eu lieu après la fin de la captation.
La 2e partie sera en novembre.
Il y a un besoin de trouver des personnes pouvant intervenir auprès des doctorant⋅e⋅s, il y a une recherche de financement en cours pour ça coté CNRS (Villejuif). Pour apprendre aux étudiant⋅e⋅s à utiliser autre chose que les produits des GAFAMs, utiliser LaTeX, quelles licences utiliser pour la publication des thèses, ...

Publication de l'article de Gustave Massiah ?
https://cfeditions.com/lacrymo/ressources/Zeynep_Tufekci_Gus_Massiah.pdf
Twitter et les gaz lacrymogènes - Forces et fragilités de la contestation connectée, de Zeynep Tufekci
Article-recension de Gus, qui analyse et partage ses analyses sur le rôle et la place du numérique dans les mouvements sociaux
Comment Globenet renforce sa capacité de soutien aux mouvements pour la justice sociale et environnementale
La lecture (et donc la publication) de ce texte avant l'AGE serait une bonne idée pour inspirer les discussions.

demande de LDN
LDN est entrain de se dissoudre.
Se pose la question d'accueillir le site statique, le wiki statique public, et le ndd ldn-fai.net, peut être un peu de mail. Pour archivage.
Dissolution de LDN : implique également fermeture des comptes bancaires

NB : que se passe-t-il si dans X années on nous redemande le nom de domaine ?
Proposition : considérer que Globenet accepte le mandat de maintenir le ndd et le site web. Et qu'elle ignorera toute demande de confier le nom de domaine à un tiers. Il parait plus simple de couper toutes les adresses mails du domaine.
Contractualiser l'engagement pour que ce soit moralement opposable, via une convention.
Emile explicitera les questions posées à la prochaine réunion LDN (pas encore dissoute, avant la prochaine AGE à l'horizon du premier semestre de 2022 maybe).
Vient questionner aussi la question de l'archivage militant / la mémoire des organisations.
Rendre statique le site permettra de documenter la « statification » des sites SPIP (ou autres).

Demande ATTAC pour BBB (cf mail)

La question est reportée, pour discuter et éclaircir la question avec le camarade.

Assemblée Générale Extraordinaire

Ce qui est calé :

23 et 24 octobre, grande salle du CICP (si nécessaire, le 22 rue voltaire est aussi disponible)
point le matin pour l'OdJ, avec un temps l'aprem pour la partie formelle
en soirée, soirée festive et conviviale

Ce qui reste à caler :

estimation du nombre de personnes
couchages nécessaires
Emile : va dépiler les CR de réunion pour le rapport moral
Whilelm : confirmer la possibilité de visiter PBO (TH2 paraît trop compliqué)

Instance Nextcloud pour la Conf Paysanne, le retour, et BBB support tel

Actuellement, Zoom, et c'est beaucoup de souffrances morales /o\
Il a été évoqué que l'instance BBB de Globenet est en accès libre. Pour l'instant nous avons possibilité d'avoir 2 participant⋅e⋅s par téléphone. Ce nombre peut monter à 10, mais nous avons besoin d'évaluer l'utilité (il faut compter environ 1€ HT / mois par ligne).

Instance Nextcloud laptitefabrique (mail d'aujourd'hui)

Mathieu gère avec Estelle. John a créé un compte admin pour Estelle.

fail2ban qui bloque sur des connexions instables

Nous avons une utilisatrice en déplacement à l'étranger. Sa connexion au serveur mail est instable, ce qui déclenche certaines règles fail2ban. C'est un problème que nous avions déjà repéré.
Nous n'avons pas eu le temps d'en discuter.

se faire un plan de PRA entre gens de l'équipe admin + Vérifier les seuils d'extinction des machines.

Point non abordé.

2e réunion en octobre ?

Non, pas de 2e réunion en octobre. Nous pourrons discuter des quelques points non abordés aujourd'hui à l'AGE, ou via IRC/mail.

Problèmes de connexion à vos boites e-mails suite à la migration de nos services

John Livingston — 2021-05-25T12:04:38Z

Une partie de nos services ont été migrés dans le week-end du 22 mai 2021. Certaines personnes rencontrent depuis des problèmes de connexion à leurs boites e-mails.
Voici comment rétablir le service.

Les sites web hébergés sur notre offre « mutualisée », les boites e-mails et les listes de diffusions ont été migrées sur un nouveau serveur, et mises à jours.

Plusieurs personnes rencontrent des problèmes de connexion à leurs boites e-mails. Ceci est dû à l'usage d'anciens paramètres qui ne sont plus supportés.

Merci de vérifier la configuration de votre client mail (si vous utilisez Mozilla Thunderbird, nous vous invitons à suivre le pas-à-pas détaillé qui se trouve au pied de cet article) :

la configuration pour les mails entrant doit être :
- serveur : mail.globenet.org
- si vous utilisez le protocole IMAP : port 993 / sécurité : SSL/TLS / identifiant + Mot de passe normal
- si vous utilisez le protocole POP : port 995 / sécurité : SSL/TLS / identifiant + Mot de passe normal
pour les mails sortant :
- serveur : mail.globenet.org
- pour le SMTP : port 587 / sécurité : STARTTLS / identifiant + Mot de passe normal
- NB : il faut activer l'authentification sur le serveur sortant. Il n'est plus possible d'envoyer de mail sans identifiant
L'identifiant doit être l'adresse e-mail. Sur d'anciennes configuration le caractère « @ » était remplacé par « _ ». Ceci n'est plus possible.
Les connexions non sécurisées ne sont plus possible. C'est pour cette raison que certains anciens paramètres ne peuvent plus fonctionner (utilisation d'adresses serveur comme imap.globenet.org, stmp.globenet.org, etc...).

Il est également possible de relever ses mails via le nouveau webmail :
https://webmail.globenet.org.

Concernant le panel AlternC, celui-ci est désormais disponible à l'adresse https://panel.globenet.org.

Si vous rencontrez d'autres difficultés, vous pouvez nous joindre par mail à l'adresse de support support(a)globenet.org.

Tutoriel : comment vérifier (et modifier) les paramètres dans Thunderbird

Rendez-vous dans le menu Edition (GNU/Linux) ou le menu Outils (MS Windows) puis sélectionnez l'entrée Paramètres des comptes

1. Serveur de courrier entrant
Voir Paramètres serveur (deuxième entrée de l'arborescence, dans la colonne de gauche)

1.1. Section Paramètres du serveur

Type de serveur : serveur de courrier IMAP (ou POP3) // Champ non-modifiable : paramétré lors de la création du compte
Nom du serveur : mail.globenet.org
Port :
- 993 // Valeur par défaut pour IMAP
- 995 // Valeur par défaut pour POP3
Nom d'utilisateur : identifiant@domaine.tld // Par exemple : prenom@organisation.org

1.2. Sous-section Paramètres de sécurité

Sécurité de la connexion : SSL/TLS
Méthode d'authentification : Mot de passe normal

2. Serveur de courrier sortant
Voir Serveur sortant (SMTP) (dernière entrée de l'arborescence, dans la colonne de gauche)
Sélectionner l'entrée correspondante au serveur sortant de Globenet dans la liste, puis cliquer sur le bouton Modifier...
Une fenêtre modale s'ouvre.

2.1. Section Paramètres

Description : ce que vous voulez, c'est un champ texte de description
Nom du serveur : mail.globenet.org
Port : 587

2.2. Section Sécurité et authentification

Sécurité de la connexion : STARTTLS
Méthode d'authentification : Mot de passe normal
Nom d'utilisateur : identifiant@domaine.tld // Par exemple : prenom@organisation.org

202105 Mardi Globenet mai 2021

John Livingston — 2021-05-21T09:28:47Z

Mardi Globenet du 11 mai 2021

Participant·es

Emile, Jacques, John, Simon, Rozlav, WhilelM

Désignation de la personne animant la réunion : Simon
Désignation du secrétariat mensuel : John

ODJ

Bilan de la réunion travail charte + livret d'accueil
Passage à 2 réunions par mois ?
Nouveaux tarifs
AlternC :
- email grosses boites
- Upgrade Ruche ; disques, CPU
Live Flèche d'or toujours d'actualité ? Le compte a-t-il été créé ? / !\ John ne sera pas très dispo cette semaine (voire pas du tout).
Situation en Colombie et moyens techniques pour les militant·es en lutte (dont question Peertube et p2p, FDN et VPN gratuits)
Mobilizon : demande de fédération de mobilizon.zapashcanon.fr . Accepter ? Followback ?
Administrations des machines Fédération MJC
Mail au support de PMO - réponse à leur apporter - Procédure à suivre dans le cas d'un webmestre qui part avec tous les accès.
Mail au support de la p'tite fabrique (question à poser à Mathieu : de quel compte nextcloud est-il question ?) : une VM dédiée
Parler des évolutions du plugin de chat Peertube
Organiser un test de montée en charge sur le plugin de chat (nouvelle version). Sur quel serveur ? Gn ? Yiny ? Autre ?
Retour sur les recherches de solutions pour streamer BBB. Tuto OBS.
Augmenter le nombre de CPUs sur videos.gn ?
BBB 2.3
Backeupe3
achat disque 8To - 2x 218€HT WD80EFBX
Nextcloud + nginx

Réunion du 9 mai

Une réunion s'est tenue dimanche 9 mai.
Plusieurs travaux ont été entamés :

projet de charte pour les hébergé⋅e⋅s
comment mieux intégrer les personnes rejoignant l'association

On a identifié différents rôles au sein de l'association. Rôles déjà existants, ou rôles à créer. Avec deux objectifs :

permettre aux nouveaux⋅lles membres de savoir à qui s'adresser et comment fonctionne l'association
permettre aux personnes n'ayant pas le profil « techos » de savoir sur quelles tâches s'impliquer. Exemple : faire des documents (tuto vidéo, doc technique, etc...) avec traduction/sous-titrage.

On a fixé une autre échéance pour avancer : en septembre.
On a évoqué la possibilité d'ouvrir certaines pages de wiki.
Nous allons travailler sur une infographie pour savoir qui contacter/comment, etc. Les informations sont déjà sur la page https://www.globenet.org/-Contact-.html, mais il s'agit de rendre l'information plus lisible.

Une équipe est formée est formée pour la rédaction d'un guide d'accueil : Yali, Mathieu, Coline, Simon.

Pour la charte, le code of conduct de funkwhale est une bonne base de départ.

Passage à 2 réunions par mois

Dans le but d'alléger les réunions, et d'améliorer notre réactivité aux demandes des hébergé⋅e⋅s, nous proposons de passer à 2 réunions mensuelles.

Nous sommes trop peu pour décider, on repousse.

Nouveaux tarifs

Pas eu d'avancées par rapport à la dernière réunion.

On estime ne pas être suffisamment nombreux ce soir pour avancer sur la question des tarifs.
En revanche, on peut réfléchir à faire une mise à jour de la page https://www.globenet.org/-Services-.html , pour y ajouter les services manquants (mobilizon…).

Remarque sur la page https://www.globenet.org/-Services-.html : pour des personnes non expertes, certains termes peuvent être mystérieux.
Les nouveaux services que nous proposons ne s'adressent pas nécessairement à des adminsys - contrairement à la cible de nos services il y a quelques années - il faut donc réfléchir à mettre en avant certains services pour les néophytes (nextcloud, mobilizon, peertube, ...).
Globenet ne s'adresse plus uniquement à des webmestres/adminsys.

John va faire une proposition de refonte de la liste des services (sans refonte des tarifs pour l'instant).

Remarque : le fichier de travail sur les service parle d'un espace de backup de taille équivalente à l'hébergement. Il faut probablement annoncer plus.

AlternC - grosses boites

Le volume des boites mails est plus gros que prévu, potentiellement plus que l'espace disque de destination. Il y a une vingtaine de boîtes beaucoup trop grosses (nous n'avons pas de quota actuellement).
900 boîtes mail à migrer en tout.
Un mail d'alerte quota aux boite aux lettres est en préparation. On part sur boîtes de + 5Go. Si +3Go, + de 100 boites.
À titre d'information, les boites pesant plus de 5Go représentent uniquement 57 des 900 boites aux lettres total, alors qu'elles représentent plus de 650Go de stockage sur les 1200Go occupés.
[NDLR : le mail a été envoyé]

AlternC - Upgrade Ruche ; disques

Ganeti a maintenant 4 nœuds (raid1 de 2To).
On avait acté le mois dernier d'ajouter un raid1 de SSD de 2To. Mais en fait ça risque de complexifier l'infra ganeti, et rendre plus difficile l'administration des machines.
Nouvelle solution proposée : remettre des disques plateau, et de passer de raid1 à raid10 de 2To plateau (capacités et perf doublées). C'est transparent pour ganeti.

On a moyen de récupérer des disques de 3To. Mais Emile a eu des mauvaises expériences sur ce genre de disques. Il faudrait vérifier les numéros de série.
C'est sans doute plus sûr de rester sur du 2To, on en a l'habitude.
2To = 50€ HT. On a déjà des 2To d'avance dans la baie (environ 4, mais il faut en garder en stock pour rechange).
Il faudrait prévoir 300€ d'investissement.
Ce serait tout bénéf', on pourrait grossir tous nos services (peertube, BBB, mutualisé, ...)

Échéance : on veut commencer la migration lundi...

On propose de migrer d'abord les mails (car ce sera le plus long), à partir de lundi. Partir des sauvegardes pour le/les premiers rsync. L'hébergement plus tard (vu qu'on manque d'espace disque).

NB : regarder plus loin dans le CR, le point sur l'espace disque de backeup2.

Breaking news en cours de réunion : on a 5 disques de 2to WD black récupérés chez https://www.octopuce.fr/. Un grand merci à elleux.

Ruche CPU

On peut trouver des CPU d'occasion pas cher, qui nous permettraient d'augmenter le nombre de cœurs sur les machines ganeti.
Actuellement le nombre de cœur qu'on a nous limite (notamment pour peertube, BBB, ...).

On serait sur un budget d'environ 400€ pour 4 CPU, et il faudra peut-être prévoir un peu de pâte thermique.

On acte les achats CPU et disques. Emile gère l'achat. Priorité aux disques qui doivent arriver au plus vite.

NDLR : finalement il s'avère que les sockets de nos machines ne sont pas compatibles avec les CPUs que nous avions repérés.

Live Flèche d'or

Finalement ce n'est pas le 14, c'est le 17 mai.

Rozlav propose de l'aide pour être admin sur l'instance Peertube. On acte la création d'un compte admin sur https://videos.globenet.org pour rozlav.

Colombie

La situation sociale est catastrophique en Colombie en ce moment. Les personnes précaires sont dans une situation critique. La réponse étatique a été extrêmement répressive. Une coupure/censure a été mise en place sur internet.

Il y a des besoins en outils : VPN, envoi de vidéos pour montrer ce qu'il se passe…

Se pose la question de ce qu'on peut faire, des structures vers lesquelles on peut rediriger…

Pertinence de créer un serveur VPN chez globenet (une IP publique NATée) ?
Est ce que l'application vpn de riseup est facile à installer coté serveur ?
FDN peut-il aider ?
Télécomix ?

Peertube ? Attention, par défaut ça fait fuiter des ip.
https://videos.globenet.org n'est pas nécessairement pertinent. Mais peut être créer une instance pour l'occasion, avec p2p désactivé ?

Mobilizon

Demande de fédération en attente.
mobilizon.zapashcanon.fr

On accepte d'être suivi, et on fait le followback quitte à revenir en arrière.

Administrations des machines Fédération MJC

Qui est censé gérer ces machines ?
L'historique de ces machines n'est pas très clair.
Peut être proposer une presta pour faire une maj avec un contrat de maintenance.

Mail au support de PMO

Le webmaster est parti. Quelle procédure ?
Il y a des contacts dans dolibarr. Il faut les contacter. NB : le mail qui nous a contacté est bien le mail qui est renseigné dans Dolibarr.
WhilelM va s'en occuper.

Peertube plugin chat

Le développement du plugin de chat intégré à peertube https://github.com/JohnXLivingston/peertube-plugin-livechat progresse.

Ce plugin permet d'intégrer un webchat à coté des vidéos de plusieurs manières.
Les 2 manières « historiques » :

une iframe vers une url configurée par un admin sur un outil existant
une version qui intègre le logiciel ConverseJS pour se connecter à un serveur XMPP existant

Un 3e mode a été ajouté. Dans un avenir très proche, cela deviendra le mode par défaut, et le mode recommandé. Il vise une simplicité d'utilisation maximum.
Le seul pré-requis est d'avoir installé sur serveur XMPP https://prosody.im sur la machine.
Peertube va ensuite créer un fichier de configuration spécifique, un dossier de travail, et lancer un processus de prosody. Ce processus est indépendant de celui géré par systemd. C'est un processus enfant de Peertube (et s'arrête donc automatiquement quand peertube s'arrête), qui n'écoute que sur localhost, et sur un port spécifique (qu'on peut changer en cas de conflit).

Le plugin comprend également des plugins prosody qui vont appelé des APIs sur Peertube pour :

vérifier la légitimité des salons créés
ajouter un titre et différents paramètres aux salons crés
connecter automatiquement les utilisateur⋅rice⋅s Peertube le cas échéant
mettre propriétaire des salons les admins/modo Peertube, et modérateur⋅rice les propriétaires des vidéos

Le plugin active également les fonctions de modération de ConverseJS.

Le serveur Peertube va également servir de proxy aux requêtes qui passent par le protocole BOSH pour joindre le serveur XMPP.
Du point de vue du navigateur, toutes les requêtes sont donc des requêtes HTTP envoyées sur le même domaine que le serveur Peertube.

Une inconnue demeure : l'efficacité du serveur ExpressJS pour proxifier ces requêtes BOSH. En effet, ce sont des requêtes qui restent ouvertes coté serveur jusqu'à ce qu'il y ai des données à envoyer au client (ou jusqu'au timeout de 60 secondes, qui relance une autre requête). On se retrouve donc avec beaucoup de requêtes ouvertes, tout cela en plus des requêtes pour charger les vidéos. Or Peertube n'utilise qu'un seul processus pour le serveur web.
Tout à l'air de fonctionner correctement, mais pour l'instant, il n'y a pas eu de test à grande échelle. Il faudrait donc organiser un test avec au moins 20 ou 30 personnes sur le chat, et qui regardent la vidéo.

Les 2 autres modes du plugin continueront d'être supportés par le plugin.

Emile propose de fournir une VM de test pour tester le plugin.
John va envoyer un mail à geeks pour organiser une phase de tests.
Pour la soirée live du 19 mai, se pose la question de quelle mode utiliser (l'actuel qui se base sur un serveur XMPP fourni par yiny.org, ou le nouveau mode). Ça va dépendre de si on arrive à faire les tests avant.

Streamer BBB

John a étudié la possibilité de créer un outil pour streamer automatiquement un salon BBB vers le protocole RTMP (et donc vers Peertube).
Il s'avère que c'est une impasse. Les APIs documentées par BBB ne permettent pas grand chose (à part lister/créer des salons).
Les solutions existantes sont toutes des bidouilles :

plusieurs solutions avec un navigateur chromium headless. Mais le moindre imprévu (déconnexion, popup, ...) et tout est coupé
un script python qui intuite les urls auxquelles se connecter pour avoir les différents flux, et qui mixe tout ça en semble. Mais c'est beaucoup trop bidouillé, il y a un risque que ça ne marche plus à la moindre mise à jour. De plus, avec le fix de sécurité que BBB a fait suite au « ghost mode » découvert par John, on n'est même pas sûr que ça fonctionne encore...

Nous arrivons à la conclusion que le tuto rédigé par Simon (BBB vers Peertube via OBS) est toujours d'actualité.
Nous allons le mettre en vidéo et le traduire.

Augmenter le nombre de CPUs sur videos.globenet.org

Il y a une forte demande de Peertube, surtout pour le live.
4 CPU ne permet pas d'avoir plusieurs lives simultanés de manière sereine (ffmpeg demande trop de ressource). De plus, un seul live en 1080p peut mettre les 4 CPUs à genou.

Une fois l'achat de CPU fait, on pourra augmenter sans problème.

BBB 2.3

Ça y'est c'est dispo.
La migration pourra se faire quand on aura un peu plus de place sur ruche.

Backeupe3

Pas mal d'échanges de mails sur geeks@ sur ce sujet.
On pourrait récupérer un CPU de Ruche pour le serveur de backup.
L'idée qui se dégage serait de changer la carte mère et la carte SATA pour pouvoir passer à un châssis avec plus de disques par la suite.

Question : backeup2 a-t-il assez d'espace disque pour accueillir les backups du nouveau panel ?

achat disque 8To - 2x 218€HT WD80EFBX

2 disques pour backeup2.
Pour du 8To il vaut mieux prendre du neuf, les prix en occase ne sont pas intéressant.
Ce serait donc une autre commande que celle mentionnée plus haut.
Christophe passe la commande.

Nextcloud + nginx

John se rend compte que la recette Ansible utilisée pour le déploiement des serveurs Nextcloud chez Globenet utilise Nginx, et non Apache.
Or Nextcloud utilise officiellement Apache, nginx n'est supporté que via des fichiers de conf produits par la communauté.
Le principal problème, c'est que nginx ne gère pas les fichiers .htaccess. Avec plusieurs conséquences :

il faut que la conf nginx soit à jour, et compatible avec la version nextcloud déployée (certaines modifs sont faite par les dev via des fichiers .htaccess)
si une application externe vient avec un fichier .htaccess pour des raisons de sécurité (interdire l'accès à un dossier par exemple), ça risque de ne pas être pris en compte
John a constaté des erreurs HTTP 412 sur une de nos instance, qui pourraient être générées par Nginx (pas de log côté nextcloud). Il n'a pas trouvé la cause exacte. Ça semble toucher plusieurs types de requêtes différentes. Et ça pourrait expliquer les problèmes rencontrés avec OnlyOffice (on voit quelques erreurs 412 avec des urls qui semblent correspondre).
NDLR : je découvre aujourd'hui que certaines en-têtes HTTP sont gérées par les fichiers .htaccess, et mal configurées sur notre conf nginx
etc.

Recontacter Simon/Carine, voir si les pb only office persistent. Si oui, tenter une bascule vers apache pour voir si ça arrange.
Problème : quand est ce qu'on est dispo pour faire ça ? Il vaut mieux attendre de finir la migration AlternC.

Mail au support de la p'tite fabrique

3 actions :
- mot de passe sur le mutu
- quel nom de domaine pour leur VM ? ielles ont ce qu'il faut ?
- où a été envoyé le devis ?

Mathieu va s'en charger.

Union Syndicale Solidaires

Relancer (toutes les adresses) pour avoir le RIB.
Documenter la procédure de facturation.
John va s'en occuper.

Réunion technique de janvier 2021

John Livingston — 2021-01-27T16:25:49Z

Réunion technique du 26 janvier 2021

Comme discuté lors des derniers mardis Globenet, nous avons mis de côté les discussions purement techniques le 12 janvier pour les aborder aujourd'hui.

Réunion technique Globenet du mardi 26 janvier 2021

Cette réunion a eu lieu sur un salon BigBlueButton.

Présent⋅e⋅s :

John Livingston, -e, Jacques, Petit, Rozlav

Whilelm et Emile ont eu des empêchement de dernière minute.

ODJ

retour sur l'intervention en DC en décembre 2020
firewall : on souhaite réfléchir à plusieurs changements sur le firewall actuel. Liste non exhaustive :
- optionnel pour les hébergés ?
- mise en place de crowdsec ?
- passer par ipset ?
- voir les divers points dans le mail envoyé par Emile suite à son intervention en DC
- port ssh : le changer pour qu'il ne soit pas trouvable aussi facilement ? prendre le numéro d'AS ?
- firewall sur les machines extérieures ?
- shorewall est-il trop lié à iptable (qui disparaît) ?
- refaire un tour des mails échangés sur geeks@ pour être sûr de ne rien oublier
Borg :
- voir si le paramètre free_additionnal_space devrait être paramétré à la création des comptes. Apparemment l'hébergé ne peut pas le set lui-même.
- paramètres sshd à customiser d'après https://borgbackup.readthedocs.io/en/stable/usage/serve.html . Faut-il le faire ?
Point sur encfs chez globenet. Est-ce un problème ?
peertube v3 à installer sur videos.gn
– *certificat ftp.globenet.org

Compte-rendu

Exploit BigBlueButton

L'exploit BigBlueButton trouvé par John a été évoqué. Il permet à un⋅e utilisateur⋅rice malveillant⋅e de faire semblant de quitter une réunion, alors que la personne entend toujours ce qui se passe.
L'exploit a été testé avec succès sur le serveur BBB d'octopuce.
La faille a été remonté par mail à BBB le 19 janvier, mais aucune réponse de leur part à ce jour.

ftp.globenet.org

Le certificat de ftp.globenet.org expire bientôt : le 1er février à 3h du matin.
Avec les changements effectués lors de l'installation de Panel, le serveur dns a changé (Panel au lieu de Boreal), ce qui pose pb pour renouveller le certificat.
Il faudrait installer le paquet debian dehydrated sur Panel.
Avant dehydrated était sur Boreal.

Autre option, non mentionnée dans le texte : utiliser la config sur boréal et faire la mise à jour sur le serveur DNS de panel en utilisant dnsupdate, ce qui est prévu par le script, mais influe aussi sur la config de l'autre domaine (no-log.org) géré par ce déhydrated (pas de possibilité d'avoir une méthode de mise à jour selon le domaine).

On va proposer sur geeks@ que Jacques s'en charge. Si pas d'objection, il pourra le faire ASAP.

Doc de dehydrated : https://wiki.globenet.org/doku.php?id=archives:outils:tech:manuels:gestion_certificats_avec_dehydrated

no-log

Jacques a du code pour rétablir les changements de mot de passe sur no-log (ça avait été discuté au dernier mardi globenet). John va faire une review demain (mercredi).

Borg

free_additionnal_space

Le param est actuellement à 0 sur be-ext.globenet.org.
Borg a besoin d'écrire des fichiers temporaires, y compris pour les opérations de « prune ». La doc recommande de garder un peu d'espace disque de libre via ce paramètre, pour éviter de tout bloquer en cas de disque plein.
Ce paramètre apparait dans le fichier « config » situé dans les repository. On est censé le modifier via une commande borg, mais celle-ci ne marche pas sur un « borg serve » chrooté.
John ne sait pas si le quota donné à Borg Serve peut être bloquant, et donc s'il faut prévoir de mettre un free_additionnal_space non nul dans nos fichiers de conf.

La question est à poser geeks@.

Pour info, Attac a de la doc ici : https://wiki.attac.org/attac-technique/interne/infra/gestion_des_sauvegardes?s[]=borg

paramètres sshd

Paramètres ssh/sshd Client à customiser d'après la doc de « borg serve » https://borgbackup.readthedocs.io/en/stable/usage/serve.html ? Actuellement chez globenet on a les valeurs par défaut (ServerAliveInterval=1 et ServerCountMax=3). Est-il pertinent de changer ? De ce que John comprend de la doc, les valeurs par défaut sont même plus adaptées que celles proposées (10 et 30).

Poser la question sur geeks@

Intervention en DC

En l'absence d'Emile, nous ne pouvons pas aborder ce point.

Firewall

Idem

Peertube v3

John a des questions sur le process de mise à jour de videos.globenet.org. En l'absence d'Emile, nous ne pouvons pas aborder ce point.

encfs

Le paquet encfs est utilisé par globenet. Lors de l'installation de encfs, il y'a un avertissement pour dire qu'il y a une faille et que ça ne peut pas être considéré comme secure. Est ce un problème pour les usages qu'on en fait ?
Nous ne détaillons pas ici les usages, au cas où cela serait un risque.
John doit voir avec Emile s'il a un avis.

prochain rdv

John va proposer par mail de faire une autre réunion technique avant le prochain mardi globenet, pour clôturer les sujets en cours. Un sondage sur le choix de la date sera proposé.