RM-32

De Wiki LDN
Aller à : navigation, rechercher
Note.png

Pad de la session http://pad.sebian.fr/p/reunionldn32

Présents

  • Gabriel
  • Stéphane
  • Vincent (mumble)
  • slash (Mumble)
  • nah (Mumble CCAN)
  • petit (Mumble)
  • DaveNull (Mumble, retard)
  • seb (Mumble, bien en retard => 20h25)

(participer à distance : https://wiki.ldn-fai.net/wiki/Mumble )

(trombinoscope : https://wiki.ldn-fai.net/wiki/Trombinoscope )

Excusés

  • ju (notamment une conf « Rien à Cacher » à préparer pour le lendemain (promo 3A TELECOM Nancy)) (petit se sent moins seul de ne pas avoir encore préparé sexe alcool et vie privée…)

Glossaire

https://wiki.ldn-fai.net/wiki/Glossaire (à ajouter systématiquement, et à compléter au fur et à mesure)

Ordre du jour

Vie de l'association

Fin de vie de l'ADSL nu

Point CCAN

  • Réunion Fusion (1er février). Possibilité de stocker des trucs sur une étagère dans la cave. Le CCAN décline toute responsabilité en cas de problème.
  • Avenir du CCAN incertain à partir de septembre ?
  • Problématique au niveau moyens humain (pas assez de bénévoles actifs).
  • Il faudra peut être chercher un nouveau local à partir de septembre. On verra d'ici là.
    • Le CCAN cherche des volontaires pour tenir le bar le jeudi soir (un volontaire au moins une fois par mois).
  • Le CCAN recherche des gens pour tenir le bar, de temps en temps les jeudi soir. Si des gens de LDN sont intéressés, ce serait sympa (et ça permettrait d'échanger avec d'autres gens).
  • Clapper.png Gabriel → courriel sur la liste bénévoles pour le rappeler (ou les informer) aux adhérents

Bulletins d'adhésion

  • Les bulletins d'adhésion sont encore à l'adresse de Ju. Normal ou pas ?
  • https://ldn-fai.net/adherer/
  • Il faudra changer l'adresse et mettre celle du président actuel sur tous les documents officiels.
  • Clapper.png Jc → Mettre à jour l'adresse https://ldn-fai.net/adherer/
  • Changer aussi l'adresse de l'ORG LDN dans la base du RIPE.

Création du VPN pour Pascal aka.Bobage

  • Je suis censé arrivé vers 21h (connecté sur le chat, si la réunion se finit plus tôt, faire signe :D - 15/20min trajet) (il arrive) -je passe bientôt -jarrive :)

Blog de l'association

  • Modification des pages (statiques) pour s'afficher en https sans erreur. => Alex a corrigé
    • Annoncé sur redmine.
  • Correction d'un bug d'affichage sur la timeline (certaines entrées étaient échangées, 30/11 affiché avant le 27/12, suivi du 15/11…).

VPN dans Dolibarr

  • Faire un « produit » vpn dans dolibarr? (histoire d'avoir rapidement la liste des mails des gens disposant d'un VPN)
    • Sebian avait commencé à stocker ça dans hiera, mais pas glop…

Gestion compta avec Dolibarr

  • Clapper.png sgnb → Demander à Samuel Thibault (aquilenet) comment il fait

Projets et Infrastructure

Incident / reboot de router

  • Officiellement : aucune activité humaine au niveau de la baie d'après les caméras de surveillance (selon le support WideVOIP).
    • si attaque, intrusion via IPMI ?
  • La machine est-elle compromise ? Oui par défaut
    • Le reboot via ctrl+alt+del a été désactivé.
    • ca:12345:ctrlaltdel:/usr/bin/logger 'CTRL-ALT-DEL pressed (but disabled)'
    • Note : il me semble qu'on peut aussi désactiver les magic keys
  • À étudier lors de la migration : comment durcir les serveurs ?
    • grsecurity, rkhunter, iptables, enregistrement des process (toutes les minutes par exemple), décentraliser les logs (logger.ldn-fai.net)
    • travail au niveau des logs (logcheck et module via check_mk (déjà en place mais pas forcément tunné))
    • logs des connexions SSH
    • unattended-upgrades? On avait dit qu'on utilisait pas.
    • Fin de support debian : https://wiki.debian.org/fr/LTS
    • Il y aura une Wheezy LTS, c'est confirmé : https://wiki.debian.org/fr/LTS/FAQ#Y_aura_t-il_une_wheezy-lts.3F
    • envoyer un mail quotidien ?
      • faire un résumé de l'ensemble des machines (pas un mail par machine) (?)
      • logwatch
  • Préparer un email récapitulant l'incident, et l'envoyer sur la ML publique.
    • Clapper.png Gabriel → comm' publique (mes les adhérents utilisateurs ont été prévenus)

Migration infra

  • On a les tarifs (mail via private), mais sous NDA (Octopuce).
  • on emprunte deux machines à ARN (qui s'occupe du transport ? )
  • Petit demande les tarifs d'hébergement à Octopuce (dépendance vis à vis d'une seule personne, accès plus difficile).
  • Sebian demande les tarifs d'hébergement à Gitoyen (à priori, plus de gens compétents chez Gitoyen, mais plus cher. Cependant, l'écart de prix est "négligable").
  • Sacrediou fourni 2 x 1Tio (SATA 3,5" western digital blue 7200trs)
  • Une décision sera à prendre après réponse de Liazo
  • Préparation des machines à faire avant le montage en rack, sur Paris si possible. Occasion pour les membres actifs/bureau d'acquérir des compétences.
    • Covoiturage depuis Nancy à voir (Je (Dave Null) veut bien, voulait que je voulais déjà faire un peu d'AdminSys).
    • Cependant, si la plupart des personnes sont sur Metz/Nancy, quel est l'intérêt de déplacer et les machines et les gens sur Paris ?
      • Prévoir le transport des machines sur Paris, en train, c'est pas l'idéal (~20 kg et le form factor est pas glop :-D).
      • Dans tous les cas, le trajet Nancy -> Paris est à faire.
      • En DC, tout le monde ne pourra pas entrer. Sinon, prévoir les autorisations.
  • Planifier toutes les étapes avec nos amis alsaciens.
    • On en reparlera lorsque l'on aura les dates de migration. (28 février-11 mars à exclure.)

Backup sur Conrad

  • On n'a plus de place pour faire les sauvegardes (87%).
  • Demander un espace mutualisé pour stocker les backups.
    • Tetaneutral (demander une vm chez ttnn) ?
    • Grenode (demander un espace sur le backup mutu) ?
      • Une clé SSH qui permet de faire du backup
      • Chroot dans un répertoire
      • Push vers le serveur distant
        • Du coup, si quelqu'un contrôle la machine elle peut supprimer les backups.
        • Ce n'est pas le cas à l'heure actuelle.
        • On peut mettre une machine entre les deux qui pull les données et qui push sur l'espace de backup.
  • http://www.grenode.net/Services/Espaces_de_sauvegarde/
  • attic (backup chiffré et support du distant + incrémentas)
  • SX (présentation au fosdem, vidéo à venir) https://fosdem.org/2016/schedule/event/sxfs/ (mais pas d'incremental)
  • Organiser un screen

Certificats VPN

  • Faudra-t-il changer les certificats (création d'une nouvelle autorité de certification côté serveur et révocation de l'ancienne) après la migration de l'infra (valide jusqu'en 2024)?
    • Tous les utilisateurs devront télécharger le nouveau certificat.
    • Peut être fait avec les .cube pour les utilisateurs de brique inter.net. Ne fonctionnera pas avec les téléphones android.
    • Distribution des CRL non automatisée. Téléchargement à faire à la main.
    • Profiter pour:
      • revoir les suites crypto
      • utiliser une durée de vie des certificats plus courtes (quelle durée ?)

Brique Internet

  • nah : juste une question que je me posais pour LaBriqueÎnter.Net : c'est pénible de brancher l'USB pour alimenter et ajouter un câble ethernet pour configurer la brique. Les cartes LIME/LIME2 supporteraient le mode ethernet over USB (et serial over usb).
  • Du coup, un seul câble usb à brancher : alim + réseau pour gérer/administrer la brique.
  • Linux-USB Gadget (émulation ethernet sur USB)
    Device Drivers  --->
        USB support  --->
            <*>    USB Gadget Support  --->
                <m>    Ethernet Gadget (with CDC Ethernet support)
            <*>    NOP USB Transceiver Driver
            [*]    SUNXI USB2.0 Dual Role Controller support --->
                [*]    Sunxi USB2.0 Manager
                       USB0 Controller support (otg support) --->
                           (*) otg support
  • (pour info : une de mes consoles de jeu (GCW-Zero) tournant sous OpenDingux (distrib GNU/Linux optimisée) propose ce mode de fonctionnement).
  • Problème de brique qui ne se connecte pas toujours sur le réseau : parfois des requêtes DHCP sont émises, parfois nan... donc rend la brique innacessible. => faire un rapport de bug
  • Changement de /etc/network/interfaces en : auto eth0; iface eth0 inet dhcp; (rien de plus -> pas par défaut).
    • La mienne (DaveNull) a pendant à certain temps généré trop de logs : 13 Go en 1 mois, messages de logs en rapport avec le ath9k_htc (noyau 4.0.0) => ancienne image… plus supporté (version actuelle : 4.3.0-1) apt me dit que j'ai aucune mise à jour en attente, à refaire à la main ? (mise à jour de l'image de la brique) via repo.labriqueinter.net (à rajouter à /etc/apt/sources.list ?)
    • Hotspot brique à tendance à disparaitre jusqu'à debranchement/rebranchement physique de la clé ET réactivation manuelle depuis l'interface admin de l'app hotspot => poser un bug
    • ça l'air de se calmer mais c'est pas confirmé, quelqu'un à eu ce problème ? (bug pas reporté à Debian, car j'ai pas trouvé de noyau 4.0.0 sur la liste de packages Debian)
    • penser à faire des rapports de bug sur https://dev.yunohost.org/ (peut etre que d'autres personnes ont le pb)

Certificats

Événements et Conférences

AG Grenode

  • Nous sommes invités à l'AG de Grenode le week-end du 5 et 6 mars à Grenoble.

Assemblée générale samedi 6 février

  • On aura la clef pour l'AG ce samedi.
  • Mumble à prévoir. (nah : apporte ton h2n).
  • Boisson : Formation pour pouvoir utiliser la tireuse (Gabriel a fait)
  • nourriture/grignotage à prévoir ? -> rdv 1H avant l'AG pour faire des courses (donc, vers 15h)
  • Apporter de la bouffe (passer au supermarché du coin avant)
  • CR à finir (accessible via le dépot private)
  • Poste de secrétaire à pourvoir : nah est candidat (annoncé via private et benevole).