crans
/
documentation
mirror of https://gitlab.crans.org/nounous/documentation.git
19
0
Fork 0
Code Issues Projects Releases Wiki Activity

Gros fix du Markdown sur 7-8 mois de CR

master
Hachino 2026-02-21 10:25:54 +01:00
parent f368d73fa0
commit d88ae8aeb3
14 changed files with 2747 additions and 1659 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

288
compte_rendus/2025_04_06.md
View File

@ -1,11 +1,12 @@
= Réunion IN =
# Réunion IN
* Date : Dimanche 6 avril 2025
* Lieu : MB87 et Galène
* Début : 18h10
* Fin : 20h20
* Date : Dimanche 6 avril 2025
* Lieu : MB87 et Galène
* Début : 18h10
* Fin : 20h20
## présent⋅es
=== présent⋅es ===
Lyes
Lzebulon
korenst1
@ -18,229 +19,248 @@ GaBo
bleizi
Aeltheos
= Réunion IN =
## Ordre du jour
* Date : Dimanche 6 avril 2025
* Lieu : MB87 et Galène
* Début : 18h10
* Fin : 20h20
=== présent⋅es ===
Lyes
Lzebulon
korenst1
Hachino
Chiaroush
Pigeon Moelleux
Alexis MDR
PyJaC++
GaBo
bleizi
Aeltheos
== Ordre du jour ==
[Lyes] Il y a trop de points, et certains sont plus urgents que d'autres, il conviendrait de filtrer [Hachino] En direct pendant l'IN et tant pis pour les derniers choisis ? Sinon faut ptet programmer plus d'IN pour écluser un peu (+1), même si c'est compliqué.
[Pigeon] https://docs.numerique.gouv.fr/ -> on déploie ça ?
vs https://github.com/toeverything/AFFiNE
vs https://github.com/outline/outline
vs https://anytype.io/
[Otthorn] C'est très sympa anytype mais c'est pas vraiment une alternatives à docs. Hedgedoc c'est genre des pads avec du support markdown si vous voulez, ça fait un peu moins que docs, mais les trois proposés ici font beaucoup plus et sont plus des notion / obsidian / logseq / joplin / zettlr alternative (en web based pour certaines)
[Lyes] Il y a trop de points, et certains sont plus urgents que d'autres,
il conviendrait de filtrer
[Hachino] En direct pendant l'IN et tant pis pour les derniers choisis ?
Sinon faut ptet programmer plus d'IN pour écluser un peu (+1),
même si c'est compliqué.
[Pigeon] <https://docs.numerique.gouv.fr/> -> on déploie ça ?
vs <https://github.com/toeverything/AFFiNE>
vs <https://github.com/outline/outline>
vs <https://anytype.io/>
[Otthorn] C'est très sympa anytype mais c'est pas vraiment
une alternatives à docs.
Hedgedoc c'est genre des pads avec du support markdown si vous voulez,
ça fait un peu moins que docs, mais les trois proposés ici font
beaucoup plus et sont plus des notion / obsidian / logseq /
joplin / zettlr alternative (en web based pour certaines)
Et grist
[Lzebulon] revoir le système de monitoring/alerte. (Nextcloud down 2j personne ne l'a vu) (devenu sourd au logs), proposition :
[Lzebulon] revoir le système de monitoring/alerte.
(Nextcloud down 2j personne ne l'a vu) (devenu sourd au logs),
proposition :
Fix de tous les Warning
Envoi journalier nb erreurs (voir évolution)
[Otthorn] voir https://en.wikipedia.org/wiki/Alarm_fatigue
[Hachino] Possible de faire des sous-chans de logs par niveau d'alerte ? Un service de status.crans.org qui répond plus -> #roots/logs/critical ?
[Otthorn] voir <https://en.wikipedia.org/wiki/Alarm_fatigue>
[Hachino] Possible de faire des sous-chans de logs par niveau d'alerte ?
Un service de status.crans.org qui répond plus -> #roots/logs/critical ?
[Lyes] Retour sur les dadfailed (problème résolu)
[Lzebulon] retour sur coupure électrique
idéal : pas besoin d'intervention humaine pour redemarrer la baie
[Lzebulon] reconfigurations des switchs et vlan (acces aux ilos...)
[Lyes] Kiwi tourne en rond et fini avec un 502 dès qu'on essaye de modifier une page, tout en prenant en compte les modifs (problème résolu)
[Lzebulon] faire un truc pour les erreurs "Returned mail: Could not send message", check pour les agreger, parce que c'est drole de faire monter les stats du serveur mail mais au bout d'un moment je pense avoir compris le message du mail
[Lyes] Kiwi tourne en rond et fini avec un 502
dès qu'on essaye de modifier une page,
tout en prenant en compte les modifs (problème résolu)
[Lzebulon] faire un truc pour les erreurs
"Returned mail: Could not send message", check pour les agreger,
parce que c'est drole de faire monter les stats du serveur mail
mais au bout d'un moment je pense avoir compris le message du mail
[Pigeon] Comparer et choisir un remplaçant pour linx
Candidats pour le moment :
https://github.com/stonith404/pingvin-share (packagé en nix par Pigeon) : supporte LDAP et reverse-share
https://framagit.org/fiat-tux/hat-softwares/lufi (pas packagé en nix mais faisable) : supporte LDAP et chiffrement des fichiers, mais plus maintenu depuis un an
[Otthorn] : https://gitlab.com/timvisee/send c'est un firefox maitained de ff-send (pas de support LDAP, je sais pas si c'est une feature dans le cahier des charges) [Hachino] Plutôt oui, a priori, pour tracer qui "fait de la merde" (IYKWIM) avec le service.
[Pigeon] #roots est un moulin, aujourd'hui tout le monde peut entrer/sortir (et pas mal de gens le font) -> on fout des règles plus strictes / crée un autre salon que pour nounous/apprenti⋅e⋅s pour des choses sensibles ? -[Hachino] "De mon temps" #papino (je te zute, sale gosse), il fallait une invite explicite pour rentrer dedans. C'est désactivé ?
<https://github.com/stonith404/pingvin-share> (packagé en nix par Pigeon) :
supporte LDAP et reverse-share
<https://framagit.org/fiat-tux/hat-softwares/lufi>
(pas packagé en nix mais faisable) : supporte LDAP et chiffrement des fichiers,
mais plus maintenu depuis un an
[Otthorn] : <https://gitlab.com/timvisee/send>
c'est un firefox maintained de ff-send
(pas de support LDAP, je sais pas si c'est une feature
dans le cahier des charges)
[Hachino] Plutôt oui, a priori, pour tracer qui "fait de la merde"
(IYKWIM) avec le service.
[Pigeon] #roots est un moulin, aujourd'hui tout le monde peut entrer/sortir
(et pas mal de gens le font) ->
on fout des règles plus strictes / crée un autre salon que pour
nounous/apprenti⋅e⋅s pour des choses sensibles ?
[Hachino] "De mon temps", il fallait une invite explicite pour rentrer dedans.
C'est désactivé ?
[Pigeon] Matrix et OIDC (j'ai peut être dit "oui" à une MR qui cassait tout)
[Lzebulon] y a pas un serveur de test ? les tests c'est pas en prod...
[Pigeon] Ça fonctionnait sur le serveur de test ^^' j'avais Nicomarg devant moi et tout allait bien
ah
Ah 2s je test un truc
[Pigeon] Ça fonctionnait sur le serveur de test ^^'
j'avais Nicomarg devant moi et tout allait bien
[bleizi] arrêter de recevoir les mails de NextCloud en copie
[Lzebulon] discussion autour d'une CI/CD pour nixos
auto update flake.lock : 1/jour ? 1/semaines ?
[korenstin] utilisation de cephiroth pour installer les VM : c'est beaucoup moins trivial que ça n'en à l'air
[korenstin] utilisation de cephiroth pour installer les VM :
c'est beaucoup moins trivial que ça n'en à l'air
[Lzebulon] on garde la zone de test ?
[Hachino] Le retour d'un partenariat Crans-Tuxae : est-ce que le Crans a de la place pour des backups (quelques centaines de Go au plus) ? (Ceci n'est pas une demande formelle, juste un renseignement.)
[Hachino] Le retour d'un partenariat Crans-Tuxae :
est-ce que le Crans a de la place pour des backups
(quelques centaines de Go au plus) ?
(Ceci n'est pas une demande formelle, juste un renseignement.)
[korenstin] le crans est pété (surtout tealc et adh)
[Lyes] Déployer Cephiroth
== Ordre du jour ==
[Lyes] Il y a trop de points, et certains sont plus urgents que d'autres, il conviendrait de filtrer [Hachino] En direct pendant l'IN et tant pis pour les derniers choisis ? Sinon faut ptet programmer plus d'IN pour écluser un peu (+1), même si c'est compliqué.
[Pigeon] https://docs.numerique.gouv.fr/ -> on déploie ça ?
vs https://github.com/toeverything/AFFiNE
vs https://github.com/outline/outline
vs https://anytype.io/
[Otthorn] C'est très sympa anytype mais c'est pas vraiment une alternatives à docs. Hedgedoc c'est genre des pads avec du support markdown si vous voulez, ça fait un peu moins que docs, mais les trois proposés ici font beaucoup plus et sont plus des notion / obsidian / logseq / joplin / zettlr alternative (en web based pour certaines)
Et grist
[Lzebulon] revoir le système de monitoring/alerte. (Nextcloud down 2j personne ne l'a vu) (devenu sourd au logs), proposition :
Fix de tous les Warning
Envoi journalier nb erreurs (voir évolution)
[Otthorn] voir https://en.wikipedia.org/wiki/Alarm_fatigue
[Hachino] Possible de faire des sous-chans de logs par niveau d'alerte ? Un service de status.crans.org qui répond plus -> #roots/logs/critical ?
[Lyes] Retour sur les dadfailed (problème résolu)
[Lzebulon] retour sur coupure électrique
idéal : pas besoin d'intervention humaine pour redemarrer la baie
[Lzebulon] reconfigurations des switchs et vlan (acces aux ilos...)
[Lyes] Kiwi tourne en rond et fini avec un 502 dès qu'on essaye de modifier une page, tout en prenant en compte les modifs (problème résolu)
[Lzebulon] faire un truc pour les erreurs "Returned mail: Could not send message", check pour les agreger, parce que c'est drole de faire monter les stats du serveur mail mais au bout d'un moment je pense avoir compris le message du mail
[Pigeon] Comparer et choisir un remplaçant pour linx
Candidats pour le moment :
https://github.com/stonith404/pingvin-share (packagé en nix par Pigeon) : supporte LDAP et reverse-share
https://framagit.org/fiat-tux/hat-softwares/lufi (pas packagé en nix mais faisable) : supporte LDAP et chiffrement des fichiers, mais plus maintenu depuis un an
[Otthorn] : https://gitlab.com/timvisee/send c'est un firefox maitained de ff-send (pas de support LDAP, je sais pas si c'est une feature dans le cahier des charges) [Hachino] Plutôt oui, a priori, pour tracer qui "fait de la merde" (IYKWIM) avec le service.
[Pigeon] #roots est un moulin, aujourd'hui tout le monde peut entrer/sortir (et pas mal de gens le font) -> on fout des règles plus strictes / crée un autre salon que pour nounous/apprenti⋅e⋅s pour des choses sensibles ? -[Hachino] "De mon temps" #papino (je te zute, sale gosse), il fallait une invite explicite pour rentrer dedans. C'est désactivé ?
[Pigeon] Matrix et OIDC (j'ai peut être dit "oui" à une MR qui cassait tout)
[Lzebulon] y a pas un serveur de test ? les tests c'est pas en prod...
[Pigeon] Ça fonctionnait sur le serveur de test ^^' j'avais Nicomarg devant moi et tout allait bien
ah
Ah 2s je test un truc
[bleizi] arrêter de recevoir les mails de NextCloud en copie
[Lzebulon] discussion autour d'une CI/CD pour nixos
auto update flake.lock : 1/jour ? 1/semaines ?
[korenstin] utilisation de cephiroth pour installer les VM : c'est beaucoup moins trivial que ça n'en à l'air
[Lzebulon] on garde la zone de test ?
[Hachino] Le retour d'un partenariat Crans-Tuxae : est-ce que le Crans a de la place pour des backups (quelques centaines de Go au plus) ? (Ceci n'est pas une demande formelle, juste un renseignement.)
[korenstin] le crans est pété (surtout tealc et adh)
[Lyes] Déployer Cephiroth
### revoir le système de monitoring/alerte
On reçoit beaucoup trop de logs mineurs,
on a une alarm fatigue où on commence à ignorer tous les logs.
=== revoir le système de monitoring/alerte ===
Korenstin propose de passer tous les Cron en Systemd
grâce à un système rétro-compatible.
Pigeon répond qu'on aura plus de mails mais un #roots/log infini,
qu'on ne lis pas non plus.
On reçoit beaucoup trop de logs mineurs, on a une alarm fatigue où on commence à ignorer tous les logs.
Prometheus a une bonne interface graphique.
Ou Loki un agrégateur de log de grafana.
Korenstin propose de passer tous les Cron en Systemd grâce à un système rétro-compatible. Pigeon répond qu'on aura plus de mails mais un #roots/log infini, qu'on ne lis pas non plus.
Prometheus a une bonne interface graphique. Ou Loki un aggrégateur de log de grafana.
NixOS a un module pour créer un graphe des machines qui permettrait de mieux visualiser l'infrastructure du crans, nix-topology : https://github.com/oddlama/nix-topology
NixOS a un module pour créer un graphe des machines
qui permettrait de mieux visualiser l'infrastructure du crans,
[nix-topology](https://github.com/oddlama/nix-topology).
Pigeon propose d'investiguer Loki.
Lzebulon se charge de tester de déployer zabbix.
Faire un #roots/log/critical est une bonne idée pour prioriser les logs critiques.
Faire un #roots/log/critical est une bonne
idée pour prioriser les logs critiques.
=== Retour sur les dadfailed ===
### Retour sur les dadfailed
Routeur-ft décidait de prendre plusieurs adresses IPv6, mettant down plein d'autres VM.
Routeur-ft décidait de prendre plusieurs adresses IPv6,
mettant down plein d'autres VM.
On a dû désactiver routeur-ft, et dire à toute les VMs de reprendre leurs adresses.
On a dû désactiver routeur-ft et dire à toute les VMs de reprendre leurs adresses.
Sauf que routeur-ft était rallumé par un cron, qui a dû être désactivé.
L'incident est globalement réglé
=== Retour sur la coupure électrique ===
### Retour sur la coupure électrique
L'ENS a eu une commission de sécurité Mardi, qui a coupé par erreur l'électricité des serveurs de la DSI et de l'ENS.
L'ENS a eu une commission de sécurité mardi,
qui a coupé par erreur l'électricité des serveurs de la DSI et de l'ENS.
Le redémarrage a duré beaucoup plus longtemps que prévu, parce que les switchs ont semblent-ils changé leur configuration et ont perdu leur connexion au serveur cameron.
Le redémarrage a duré beaucoup plus longtemps que prévu,
parce que les switchs ont semblent-ils changé leur configuration
et ont perdu leur connexion au serveur cameron.
Arrivé à 3h du mat, on a trouvé un "fix" à cameron qui consiste à casser le LACP. FT et Thot ne sont toujours pas contactable, et certains serveurs physiques ne semblent toujours pas être contactable.
Arrivé à 3h du mat, on a trouvé un "fix" à cameron
qui consiste à casser le LACP.
Certains serveurs physiques, dont ft et thot,
ne sont toujours pas contactables.
Il faut aussi remettre en place la connexion aux ilos, parce que la configuration aux switchs à sauté.
Il faut aussi remettre en place la connexion aux ilos,
parce que la configuration aux switchs à sauté.
On remet ça à Aeltheos par décret suprême de Pigeon.
=== Tealc is/si dead ===
### Tealc is/si dead
Hier, l'infra du crans à commencé à tomber un par un, et dont l'origine est tealc, le bug ressemble beaucoup à un bug rencontré il y a deux moi
Hier, l'infra du crans à commencé à tomber un par un
et dont l'origine est tealc,
le bug ressemble beaucoup à un bug rencontré il y a deux mois.
L'erreur : https://zero.auro.re/?fafd68e7d3c495f5#5nhgibRebwbwth5S22K8jjZvT3ADP7TAiBYSJG7CRfsV
(L'erreur était dans un zero sur Aurore, qui a expiré depuis.)
Erdnaxe pense que c'est peut-être un problème avec l'un des disques de tealc => Demander au CA de passer aux SSDs.
Erdnaxe pense que c'est peut-être un problème avec l'un des disques de tealc.
Il faudrait demander au CA de passer aux SSDs.
Pigeon a éteint tealc de force et l'a rallumé, puis a relancé tealc à la main. Ses jours sont comptés et il faudrait penser à installer cephiroth dans les plus brefs délais.
Pigeon a éteint tealc de force et l'a rallumé,
puis a relancé tealc à la main.
Ses jours sont comptés et il faudrait penser à installer
cephiroth dans les plus brefs délais.
=== Kiwi ===
### Kiwi
Problème résolu avec les backups restic, il suffit de clean les back ups de temps en temps.
Problème résolu avec les backups restic,
il suffit de clean les backups de temps en temps.
=== Returned mail ===
### Returned mail
À gérer avec les warnings
=== #roots est un moulin ===
### #roots est un moulin
beaucoup de gens sur #roots, alors que c'est réservé aux membres actif⋅ves.
Beaucoup de gens sur #roots, alors que c'est réservé aux membres actif⋅ves.
Il faudrait virer les gens qui ne devrait pas être là, mais il serait intéressant que les membres d'Aurore restent.
Il faudrait virer les gens qui ne devrait pas être là,
mais il serait intéressant que les membres d'Aurore restent.
Est-ce qu'on a un endroit où on a toutes les chartes adhérents ? <- dans l'historique des mails.
Est-ce qu'on a un endroit où on a toutes les chartes adhérents ?
Réponse : dans l'historique des mails.
=== Matrix et l'OIDC ===
### Matrix et l'OIDC
L'OIDC ne semblerait pas marcher. Pour que l'OIDC marche sur matrix, il faut qu'un json très précis soit envoyé. Il y a un problème de scope à régler.
L'OIDC ne semblerait pas marcher.
Pour que l'OIDC marche sur matrix, il faut qu'un json très précis soit envoyé.
Il y a un problème de scope à régler.
Le bridge matrix-IRC est aussi réglé.
=== Nextcloud met en copie roots ===
### Nextcloud met en copie roots
Nextcloud met pour une certaine raison à chaque fois roots lorsqu'un partage est effectué.
Nextcloud met pour une certaine raison à chaque fois roots
en copie lorsqu'un partage est effectué.
Nextcloud a une ou deux versions de retard. Màj Nextcloud est chiant, il faut juste le faire, on a donc décidé de passer Nextcloud à NixOS, mais on a pas eu le temps de le faire encore.
Nextcloud a une ou deux versions de retard.
Màj Nextcloud est chiant, il faut juste le faire,
on a donc décidé de passer Nextcloud à NixOS,
mais on a pas eu le temps de le faire encore.
Le bottleneck sur nextcloud pour le crans c'est les DD. Solution : Passer à des SSD (prévoir ~7200€ de budget ?).
Le bottleneck sur nextcloud pour le crans c'est les DD.
Solution : Passer à des SSD (prévoir ~7200€ de budget ?).
=== utilisation de cephiroth pour installer les VM ===
### utilisation de cephiroth pour installer les VM
C'est moins trivial que ça en a l'air.
La fonctionnalité qu'on voudrait utiliser n'existerait pas. Aeltheos objecte et donne une autre solution qui marcherait : --builder.
La fonctionnalité qu'on voudrait utiliser n'existerait pas.
Aeltheos objecte et donne une autre solution qui marcherait : --builder.
En attendant, une solution trouvée serait de copier les closures, mais il query internet, mais après il fait bien l'installation.
En attendant, une solution trouvée serait de copier les closures,
mais il query internet, mais après il fait bien l'installation.
Sinon, il y a nixos-anywhere (mais c'est overkill).
Il faudrait update la documentation.
=== NixOS CI/CD ===
### NixOS CI/CD
Auto update la flake.lock ? Il faudrait faire des tests. Les tests pourraient se faire sur la branche dev.
Auto update la flake.lock ? Il faudrait faire des tests.
Les tests pourraient se faire sur la branche dev.
1/jour serait utile pour les patchs de sécu.
=== Zone de test ===
### Zone de test
Projet qui a duré longtemps avec ds-ac. C'est une zone où on peut faire des tests, mais il n'y a jamais eu le temps de mettre bien ça en place.
Projet qui a duré longtemps avec ds-ac.
C'est une zone où on peut faire des tests,
mais il n'y a jamais eu le temps de mettre bien ça en place.
Depuis, il y a apprentis et apprentix.
Virer ecilis ? On pourrait les virer.
=== le crans est pété (surtout tealc et adh) ===
### le crans est pété (surtout tealc et adh)
tealc est en vie pour l'instant.
=== Déployer Cephiroth ===
### Déployer Cephiroth
L'objectif donné est de déployer Ceph en mai.
=== Docs ===
### Docs
Grist serait une bonne alternative à ethercalc, il a des fonctionnalités très intéressantes.
Grist serait une bonne alternative à Ethercalc,
il a des fonctionnalités très intéressantes.
Pour les Docs/Outline/AFFiNE il faudrait étudier ça plus en détail pour voir quelle serait la plus value.
Pour les Docs/Outline/AFFiNE il faudrait étudier ça plus en détail
pour voir quelle serait la plus value.
=== Tuxae ===
### Tuxae
Les jeunes qui ont repris le mandat sont surmotivés, et l'un de leurs projets et d'enfin mettre à jour Proxmox et des backups, donc potentiellement au Crans. Pour l'instant ils sont moyennement chaud, ils pencheraient juste un SSD, sinon, s'il serait possible d'emprunter quelques 100aines de Go.
Les jeunes qui ont repris le mandat sont surmotivés,
et l'un de leurs projets et d'enfin mettre à jour Proxmox et des backups,
donc potentiellement au Crans.
Pour l'instant ils sont moyennement chauds,
ils pencheraient pour juste un SSD, sinon, s'il serait possible d'emprunter
quelques centaines de Go.
Le Crans pourrait le faire, mais n'a pas nécessairement les ressources pour le faire dans l'immédiat.
Le Crans pourrait le faire, mais n'a pas nécessairement les ressources
pour le faire dans l'immédiat.
=== Linx ===
### Linx
On voudrait le remplacer par des services différents : Pingvin, lufi, send, Palmyr.

195
compte_rendus/2025_05_11.md
View File

@ -1,11 +1,12 @@
= Réunion IN =
# Réunion IN
* Date : Dimanche 11 mai 2025
* Lieu : MC77 et Galène
* Début : 16h11
* Fin : 19h48
* Date : Dimanche 11 mai 2025
* Lieu : MC77 et Galène
* Début : 16h11
* Fin : 19h48
## présent⋅es
=== présent⋅es ===
Lyes
Lzebulon
korenst1
@ -16,130 +17,163 @@ GaBo
bleizi
Rigobert
== Ordre du jour ==
## Ordre du jour
[Lzebulon] channel public matrix ?
[Lzebulon] keepalived non configurer pour l'ip 172.16.10.99 ? de meme pour 172.16.4.99
[Lzebulon] keepalived non configurer pour l'ip 172.16.10.99 ?
de meme pour 172.16.4.99
mais est OK pour les ip publics et vmbr3
[Lzebulon] PB d'espace sur tealc, 15T de mirror (pb resolu)
[korenstin] Thot pb d'espace à cause de Cameron
[korenstin] fan_speed fail sur ft car il n'a pas accès à l'ilo (fan_speed est le script qui ralenti les ventilos)
[korenstin] fan_speed fail sur ft car il n'a pas accès à l'ilo
(fan_speed est le script qui ralenti les ventilos)
[korenstin] zerobin
[korenstin] archiver les vieux repo du crans sur gitlab (https://pad.crans.org/p/repo_crans)
[Lzebulon] on reparle disque mais cette fois on donne un nombre plus précis et un meilleur plan pour le CA
[korenstin] archiver les vieux repo du crans sur gitlab
(<https://pad.crans.org/p/repo_crans>)
[Lzebulon] on reparle disque mais cette fois on donne un nombre plus précis
et un meilleur plan pour le CA
[Lyes] Le Changelog du Crans
[Lzebulon] utilisation bande passante
[Pigeon] TODO : Trouver quoi raconter pour le séminaire surprise, à destination des apprenti⋅e⋅s **et des nounous**
[Pigeon] TODO : Trouver quoi raconter pour le séminaire surprise,
à destination des apprenti⋅e⋅s **et des nounous**
[korenstin] passage des dernières machines sous bookworm ?
en7
ethercalc
fyre
gitzly
irc
kenobi
neree
netns
owl
proxy-pve-adh
re2o
r{sam, jack}
silice
[lzebulon] Rajouter des points à l'OdJ au dernier moment parce que Lz trouve qu'on a pas assez de choses à l'IN
en7, ethercalc, fyre, gitzly, irc, kenobi, neree, netns, owl,
proxy-pve-adh, re2o, r{sam, jack}, silice
[lzebulon] Rajouter des points à l'OdJ au dernier moment
parce que Lz trouve qu'on a pas assez de choses à l'IN
[Rigobert] Venez nombreux au bus Méd + Crans + Rock au WEI !
== [Lzebulon] Channels publics Matrix ==
## Channels publics Matrix
risque de bot (et les bots sur matrix ont tendance à ping tout le monde + envoyer des images horrible)
risque de bot (et les bots sur matrix ont tendance à
ping tout le monde + envoyer des images horrible)
Je confirme, je vois ça sur les channels NixOS/Fedora
Existe des bots de filtrage / modération, on peut les rajouter sur l'instance
Problème parallèle, comment marche la modo / admin ?
Les reports devraient arriver à un compte admin, qui peut tout gérer dans une interface OP sur Synapse
Donc faudrait déployer une appli admin de synapse (packaged sur Nix) (https://github.com/Awesome-Technologies/synapse-admin) (existe des forks populaires)
Existe aussi https://github.com/matrix-org/mjolnir par exemple
Les reports devraient arriver à un compte admin,
qui peut tout gérer dans une interface OP sur Synapse
Donc faudrait déployer une appli admin de synapse (packaged sur Nix)
(<https://github.com/Awesome-Technologies/synapse-admin>)
(existe des forks populaires)
Existe aussi <https://github.com/matrix-org/mjolnir> par exemple
Faut-il donc rendre publique l'instance, et donc ajouter des bots de modo ?
La publication de la liste est réversible
Dépend de si l'instance est leak : arrive pas souvent, mais pourrait être plus haut avec une utilisation fédérée
Que reste-t-il comme barrières à la déclaration de sortie de Beta de Matrix ? Semble pas y en avoir d'autres
Dépend de si l'instance est leak : arrive pas souvent,
mais pourrait être plus haut avec une utilisation fédérée
Que reste-t-il comme barrières à la déclaration de sortie de Beta de Matrix ?
Semble pas y en avoir d'autres
Décision adoptée : ajouter les bots, puis rendre l'instance publique
Faut-il dans ce cas éviter Matrix.org qui est le plus gros nid à bots ?
== [Lzebulon] keepalived non configuré pour l'ip 172.16.10.99 ? de meme pour 172.16.4.99 ==
Permet de partager une même IP sur plusieurs machine, utilisé pour rester connecté sur un routeur tombe
Semblait pas configuré pour la VLAN 10 qui communique avec les serveurs internes
korenstin dit que en fait c'est bon (car probablement pas utile ? J'ai pas tout crampté)
## keepalived non configuré ?
Permet de partager une même IP sur plusieurs machine,
utilisé pour rester connecté sur un routeur tombe
Semblait pas configuré pour la VLAN 10 qui communique
avec les serveurs internes
korenstin dit que en fait c'est bon
(car probablement pas utile ? J'ai pas tout crampté)
En tout cas, utile car des gens ont déjà coupé un routeur par erreur
## PB d'espace sur tealc, 15T de mirror (pb resolu)
== [Lzebulon] PB d'espace sur tealc, 15T de mirror (pb resolu) ==
Données VM et données appli (les données adhérent, c'est Cameron)
15 TB -> 7 TB dans les miroirs
== [korenstin] Thot pb d'espace à cause de Cameron ==
## Thot pb d'espace à cause de Cameron
Thot n'avait plus d'espace à cause de Cameron qui essaie de se backup dessus
Cameron backup plus dessus, donc problème réglé
Les données adhérent sont de toute façon backup sur FT par Borgmatic
Les /home sont bien toujours backup, et même toutes les 15 minutes (borg fait des backups différentiels anyway, ouf)
Les /home sont bien toujours backup
et même toutes les 15 minutes (borg fait des backups différentiels anyway, ouf)
À moins que ce soit un fichier de config généré ? Qqun d'autre dit 34h
De toute façon, y'a pas assez de place en général pour les backups de Cameron (2,3 TB) sur Thot (3,6 TB de taille, 934 GB utilisés, plus 1TB de mails)
Si on passe de RAID 0 + 1 à ZFS 2, ferait sûrement 1TB de place en plus -> semble pas possible
Gabo : Si on remplaçait les disques, pourrait aller mieux (attention coût, mais occasion de rescale)
De toute façon, y'a pas assez de place en général
pour les backups de Cameron (2,3 TB) sur Thot
(3,6 TB de taille, 934 GB utilisés, plus 1TB de mails)
Si on passe de RAID 0 + 1 à ZFS 2, ferait sûrement 1TB de place en plus
-> semble pas possible
Gabo : Si on remplaçait les disques, pourrait aller mieux
(attention coût, mais occasion de rescale)
5,2 TB de place sur FT, 4.2 utilisés
Sur Thot, 8 disques dont 2 utilisés pour l'OS (mirorred)
Gabo soutient l'argument qu'il faut rescale plutôt que repousser le problème
Faudrait acheter des nouveaux disques de 3 ou 4 TB (actuellement, c'est 1,8TB)
Faudrait acheter des nouveaux disques de 3 ou 4 TB
(actuellement, c'est 1,8TB)
Faut voir tradeoffs (techniques et financiers) entre HDD et SDDs
HDD pour les backups en tout cas, sauf si coup au TB donne un vrai avantage
Problèmes et solutions en vrac : rassembler les disques HDD et SSD dans les mêmes clusters, formet des caches, période de transition...
Problèmes et solutions en vrac : rassembler les disques HDD et SSD
dans les mêmes clusters, formet des caches, période de transition...
Annonce de plan de remplacement par Pigeon : réacheter la même chose (2TB) et du rab, qu'on remplace sur Tealc, Cameron et Cephiroth
Annonce de plan de remplacement par Pigeon :
réacheter la même chose (2TB) et du rab,
qu'on remplace sur Tealc, Cameron et Cephiroth
Cameron est en ZFS3, 32,7TB de taille, 27,0TB de libre
Tealc a deux disques morts, encore un qui peut craquer avant que ça soit vraiment la merde
Tealc a deux disques morts, encore un qui peut
craquer avant que ça soit vraiment la merde
Rien que changer tous les disques de Tealc : 1200€
Décision : base de 12 disques, 2 redondances -> 14 SSD (SATA) de TB
Pas ouf en occasion si on en connaît pas l'âge ?
Reconditionnés ?
Budg : environ ?
Peut passer en HT comme frais de société -> on collecte pas la TVA derrière donc on risque pas d'éviter grand chose
Peut passer en HT comme frais de société
-> on collecte pas la TVA derrière donc on risque pas d'éviter grand chose
== [korenstin] fan_speed fail sur ft car il n'a pas accès à l'ilo (fan_speed est le script qui ralenti les ventilos) ==
## fan_speed fail sur ft car il n'a pas accès à l'ilo
(fan_speed est le script qui ralenti les ventilos)
Script systemd
A besoin de l'accès aux ilo
La raison des plaintes de viarézo ?
== [korenstin] zerobin ==
## zerobin
Pas dans Ansible
Est sur le serveur qui gère les pads (sur Kenobi)
On utilise toujours les thèmes du repo de Zerobin, c'est le bordel dans les fichiers
On utilise toujours les thèmes du repo de Zerobin,
c'est le bordel dans les fichiers
Donc on remet le thème Crans
On pourrait les incorporer plus proprement
Et en plus tout ça est joliment Nixifié
On pourrait se débarasser des données du vieux Zerobin (pas d'engagement)
Sinon on peut juste migrer le datadir (/var/lib/zerobin)
== [korenstin] archiver les vieux repo du crans sur gitlab (https://pad.crans.org/p/repo_crans) ==
(Voir lien)
## archiver les vieux repo du crans sur gitlab
== [Lzebulon] on reparle disque mais cette fois on donne un nombre plus précis et un meilleur plan pour le CA ==
(fait)
Cf [ce lien](https://pad.crans.org/p/repo_crans).
== [Lyes] Le Changelog du Crans ==
Pour la com du Crans, un changelog du crans sur un pad, et on enverrai ces news sur la NL BDE
## on reparle disque
Mais cette fois on donne un nombre plus précis
et un meilleur plan pour le CA.
## Le Changelog du Crans
Pour la com du Crans, un changelog du crans sur un pad
et on enverrai ces news sur la NL BDE
Genre lors de la mise en place du Matrix ç'aurait été bien
Une peu une question de CA
Faut choisir les plateformes qu'on vise : NLs, Masto et microblogging, mails, discord...
Faut choisir les plateformes qu'on vise :
NLs, Masto et microblogging, mails, discord...
Du temps de Bleizi, Pigeon avait écrit des trucs qui étaient mis dessus
Aussi, on peut avoir juste un texte de rappel qui est mis tout le temps (un lien "hosted by Crans" ?)
Aussi, on peut avoir juste un texte de rappel qui est mis tout le temps
(un lien "hosted by Crans" ?)
## utilisation bande passante
== [Lzebulon] utilisation bande passante ==
On utilise moins de 1GB/s de bande passante, et Aurore se plaint quand même
En permanence, on a 20MB qui partent à l'extérieur mais ça semble pas aberrant anyway
On utilise moins de 1GB/s de bande passante
et Aurore se plaint quand même
En permanence, on a 20MB qui partent à l'extérieur
mais ça semble pas aberrant anyway
Maintenant ya plus de pb ?
Pics ultra-corrélés avec Éclat (?)
Est-ce qu'on peut limiter la bande passante ? Via proxmox ? -> korenstin dit 50MB/s
Est-ce qu'on peut limiter la bande passante ?
Via proxmox ? -> korenstin dit 50MB/s
## passage des dernières machines sous bookworm ?
== [korenstin] passage des dernières machines sous bookworm ? ==
OK :
en7 ok
ethercalc ok
@ -159,15 +193,21 @@ Non (faut beaucoup de setup) :
proxy-pve-adh non
rsam no
== [lzebulon] Rajouter des points à l'OdJ au dernier moment parce que Lz trouve qu'on a pas assez de choses à l'IN ==
## Rajouter des points à l'OdJ au dernier moment
Parce que Lz trouve qu'on a pas assez de choses à l'IN.
## owncloud pb
== [Lzebulon] owncloud pb ==
Owncloud a supprimé sa propre conf
Pigeon l'a refaite, mais mal, donc l'id donné à qui se connectait était un uid au hasard
Ça ne fonctionnerait toujours pas pour Lila selon Hachino -> retirer de la DB n'a rien changer
Pigeon l'a refaite, mais mal, donc l'id donné à qui
se connectait était un uid au hasard
Ça ne fonctionnerait toujours pas pour Lila selon Hachino
-> retirer de la DB n'a rien changer
nextcloud > owncloud (sauf les perfs)
== [Gabo] Grist ==
## Grist
korenstin et Gabo ont déployé (avec du choléra (docker))
C'est cool comme app mais putain le déploiement les gars
Docker dans une VM ?
@ -175,10 +215,17 @@ Docker dans une VM !
Nan mais les mecs
Heureusement que c'est "juste un test"
Pour Ethercalc, comme pour Owncloud, faudrait arrêter de les mettre sur la page services (comme ça on break rien mais les gens les utilisent pas !)
Pour Ethercalc, comme pour Owncloud,
faudrait arrêter de les mettre sur la page services
(comme ça on break rien mais les gens les utilisent pas !)
== [Rigobert] Venez nombreux au bus Méd + Crans + Rock au WEI ! ==
Rigo, on fait une équipe Crans ? -> Frérot je suis e-, ouais, moi aussi, mais on compte sur gabo pour nous négocier ça
Après, si on peut ........................
## Venez nombreux au bus Méd + Crans + Rock au WEI
== [Pigeon] TODO : Trouver quoi raconter pour le séminaire surprise, à destination des apprenti⋅e⋅s **et des nounous** ==
Rigo, on fait une équipe Crans ?
-> Frérot je suis e-, ouais, moi aussi,
mais on compte sur gabo pour nous négocier ça
Après, si on peut...
## TODO : Trouver quoi raconter pour le séminaire surprise
À destination des apprenti⋅e⋅s **et des nounous**.

434
compte_rendus/2025_06_22.md
View File

@ -1,10 +1,12 @@
= Réunion IN =
* Date : Dimanche 22 juin 2025
* Lieu : Galène
* Début : 14h11
* Fin : 17h20
# Réunion IN
* Date : Dimanche 22 juin 2025
* Lieu : Galène
* Début : 14h11
* Fin : 17h20
## présent⋅es
=== présent⋅es ===
Lyes
Lzebulon
korenst1
@ -13,171 +15,279 @@ Pigeon Moelleux
Hachino
Rigobert
## Ordre du jour
== Ordre du jour ==
=== En bref : ===
[Hachino] Les switchs arceus et carapuce sont devenus injoignables depuis l'extérieur. Thot aussi, du coup restic se plaint. --> Done.
Descente en salle serveurs samedi 14 ? Oui. Les liens Arceus-7 (ENS) et Carapuce-17 (VR) sont éteints.
Tiens, Borgmatic se met à se plaindre sur Gitzly lui aussi (mercredi 11 matin). -> Oui, il y a eu un début de passage de gitzly vers bookworm mais la procédure a été interrompu par une version pas à jour de gitlab, update de gitlab impossible à cause d'une vielle version de postgreSQL
### En bref
[Hachino] Les switchs arceus et carapuce sont devenus injoignables
depuis l'extérieur. Thot aussi, du coup restic se plaint. --> Done.
Descente en salle serveurs samedi 14 ? Oui.
Les liens Arceus-7 (ENS) et Carapuce-17 (VR) sont éteints.
Tiens, Borgmatic se met à se plaindre sur Gitzly lui aussi
(mercredi 11 matin). -> Oui, il y a eu un début de passage de gitzly
vers bookworm mais la procédure a été interrompue par une version
pas à jour de gitlab, update de gitlab impossible à cause d'une
vieille version de postgreSQL
[Hachino/Lzebulon] Amélioration des mails de modération de Mailman (done) \o/
[korenstin] incident vm en7
[korenstin] sam et des problèmes
### IMPORTANT
=== IMPORTANT ===
[Pigeon] Mettre à jour PostgreSQL sur tealc
Pas encore critique mais bientôt
On est en version 13, la dernière version sortie est la 17 (et 18 en beta)
euh on est sur de l'info ? parce que sur sam, daniel et jack le serveur est la version 15.13 mais tealc en version 13.21
euh on est sur de l'info ? parce que sur
sam, daniel et jack le serveur est la version 15.13
mais tealc en version 13.21
j'ai rien dit, la db est toujours en 13
besoin pour gitlab 18 (et 17 techniquement...)
voir replication ?
=== Le reste ===
### Le reste
[korenstin] redémarrage des serveurs août
test de si le système de routeur fonctionne
Comprendre pourquoi l'ensemble des machines se sont éteintes (suite à un certain incident) qui à déconnecter le sam (et donc rsam) de tout réseau (adm, srv-nat, srv, 2756, aurore, ...)
update / upgrade des serveurs sous bullseye vers bookworm (voire trixie si déjà sortie)
vérifier / configurer les éléments manquant ou en trop sur proxmox (typiquement le port série)
Comprendre pourquoi l'ensemble des machines se sont éteintes
(suite à un certain incident) qui à déconnecté sam (et donc rsam)
de tout le réseau (adm, srv-nat, srv, 2756, aurore, ...)
update / upgrade des serveurs sous bullseye vers
bookworm (voire trixie si déjà sortie)
vérifier / configurer les éléments manquant ou en trop sur proxmox
(typiquement le port série)
vérifier / débugger les problèmes les problèmes sur sam (cf point à l'ODJ)
upgrade la version de postgresql (cf point à l'ODJ)
Créer un pad avec la liste des trucs à faire et penser à le copier en local...
=== INTERNET ===
[korenstin] Depuis le ~3 juin, le wiki et le gitlab ont de forts piques de ping au point de rendre les services inaccessible (status.crans.org) toutes les ~5h, scraping ? DDoS ?
### INTERNET
[korenstin] Depuis le ~3 juin, le wiki et le gitlab ont de forts pics
de ping au point de rendre les services inaccessibles
(status.crans.org) toutes les ~5h, scraping ? DDoS ?
le wiki ca date de bien avant <- d'après status.crans.org, le ~3 juin
Anubis a été installé pour certains services : wiki, mediawiki, mirrors et install-party mais pourrait empêcher status.crans.org de bien tout surveiller
la conf anti robot semble assez efficace (réduction drastique de la bande passante sur reverseproxy)
passons nous eclat (http, pas la version https) par reverseproxy ou on laisse l'ip publique ?
[Hachino] Dans la même veine, Mailman sature sa RAM plein de fois par jour. Pas très grave a priori, mais pourquoi ? EDIT : une fois par heure visiblement, à xx:04:18
Après vérif sur htop, le process coupable est `python3 /usr/share/mailman3-web/manage.py runjobs hourly` 100% sur un CPU et 50% RAM pour lui tout seul.
Issue pertinente : https://github.com/maxking/docker-mailman/issues/327
Et https://lists.mailman3.org/archives/list/mailman-users@mailman3.org/thread/E6OLOJAGNPGYFTXZO7AVRWOC762RFGLH/
Conclusion : l'indexeur par défaut de Mailman3 est gourmand du cul, mais on peut décréter qu'on s'en tape pour l'instant.
Anubis a été installé pour certains services :
wiki, mediawiki, mirrors et install-party mais pourrait empêcher
status.crans.org de bien tout surveiller
la conf anti robot semble assez efficace
(réduction drastique de la bande passante sur reverseproxy)
passons nous eclat (http, pas la version https)
par reverseproxy ou on laisse l'ip publique ?
[Hachino] Dans la même veine, Mailman sature sa RAM plein de fois par jour.
Pas très grave a priori, mais pourquoi ?
EDIT : une fois par heure visiblement, à xx:04:18
Après vérif sur htop, le process coupable est
`python3 /usr/share/mailman3-web/manage.py runjobs hourly`
100% sur un CPU et 50% RAM pour lui tout seul.
[Issue pertinente](<https://github.com/maxking/docker-mailman/issues/327>)
Et [celle-là](<https://lists.mailman3.org/archives/list/mailman-users@mailman3.org/thread/E6OLOJAGNPGYFTXZO7AVRWOC762RFGLH/>)
Conclusion : l'indexeur par défaut de Mailman3 est gourmand du cul,
mais on peut décréter qu'on s'en tape pour l'instant.
[korenstin] limitation bande passante
installation de fail2ban ? (log owl, un peu trop de ssh invalide a mon gout x) )
y a pas que owl, il y a aussi gulp, et pourquoi on n'installe pas fail2ban de partout ?
installation de fail2ban ?
(log owl, un peu trop de ssh invalide a mon gout x)
y a pas que owl, il y a aussi gulp,
et pourquoi on n'installe pas fail2ban de partout ?
seulement necessaire sur les vm a ip publics
justement, il n'y aurait pas certaine machine à IP publique sans fail2ban ?
on a pas de fail2ban au crans a ma connaissance
ça peut s'arranger...
~160/s pendant ~15min : https://grafana.crans.org/d/i9e_8GkWz/accueil?orgId=1&from=2025-06-18T18:40:47.445Z&to=2025-06-18T19:01:59.773Z&timezone=browser&refresh=30s
~160/s pendant ~15min, cf [Grafana](<https://grafana.crans.org/d/i9e_8GkWz/accueil?orgId=1&from=2025-06-18T18:40:47.445Z&to=2025-06-18T19:01:59.773Z&timezone=browser&refresh=30s>)
=== MONITORIIIINNNNG ===
[Lzebulon] nouvelle politique de mise en place de service : pas de création de services sans monitoring fonctionnel et check (avec dashboard grafana accessible)
### MONITORIIIINNNNG
[Lzebulon] nouvelle politique de mise en place de service :
pas de création de services sans monitoring fonctionnel et check
(avec dashboard grafana accessible)
monitoring en particulier de la bande passante de chaque service
D'ailleurs, est-ce qu'on ne referait pas certains graphes de grafana histoire que ce soit plus simple de monitorer (et jsp si grafana le permet mais ajout d'alerte en cas de sur utilisation du réseau)
D'ailleurs, est-ce qu'on ne referait pas certains graphes de
grafana histoire que ce soit plus simple de monitorer
(et jsp si grafana le permet mais ajout d'alerte en cas de sur
utilisation du réseau)
les alertes c'est prometheus, mais oui il faut faire ca
[Lzebulon] regroupement des logs dans graphane : <- graphane ou grafana ? oui grafana, il etait un peu trop tard
pb de RGPD ?
si fait : evidement seulement accessible si connecte et role de nounous (apprentie ?)
[Hachino] Comment on débranche des alertes Prometheus (pour calmer un peu #roots/logs) ? Faut les droits nounou ?
c'est espilonesquement pénible... en fait prometheus possède un délai de conservations des erreurs de ~3mois je crois et c'est supprimé qu'une fois passé ce délai. J'imagine que c'est possible de le faire à la main.
certains diront que la meilleures facon de debrancher les alertent est de fix les pb
certains pb ne peuvent pas être fix puisqu'il s'agit de machine qui n'existe plus et que prometheus n'arrive plus à contacter...
C'est à celles-là que je pensais en priorité (c'est simple, on casse rien si on fait de la merde (famous last words), idéal pour apprendre). Sinon, "délai de conservation des erreurs" ? Si on réécrit la config pour tuer une alerte, Prometheus la fire encore 3 mois plus tard ?
Jsp je ne connais pas les effets de bords de prometheus... (en toutes logiques, je pense que oui mais je suis tout sauf un professionnel contrairement à ce qu'une certaine maman du crans prétend régulièrement...). Je pense quand-même que prometheus doit avoir une option pour remove une alerte dans ce genre de cas mais je ne me suis pas trop pencher sur la question.
Je tombe sur cette doc en cherchant un peu, à creuser tout à l'heure peut-être : https://prometheus.io/docs/prometheus/latest/configuration/alerting_rules/
La conf est plus ou moins dynamique... Une partie du monitoring est géré (au moins en partie) par la conf du LDAP, et si devais parier, je dirais qu'il s'agit d'un script python qui réactualise la conf via un cron (j'ai gagné ! /var/local/services/prometheus-target/, https://gitlab.crans.org/nounous/prometheus-target)
[Lzebulon] regroupement des logs dans Grafana : pb de RGPD ?
si fait : evidement seulement accessible si connecte et
role de nounous (apprentie ?)
[Hachino] Comment on débranche des alertes Prometheus
(pour calmer un peu #roots/logs) ? Faut les droits nounou ?
c'est espilonesquement pénible...
en fait prometheus possède un délai de conservation
des erreurs de ~3mois je crois et c'est supprimé qu'une fois passé ce délai.
J'imagine que c'est possible de le faire à la main.
certains diront que la meilleure facon de debrancher les alertes
est de fix les pb
certains pb ne peuvent pas être fix puisqu'il s'agit de machine
qui n'existent plus et que prometheus n'arrive plus à contacter...
C'est à celles-là que je pensais en priorité
(c'est simple, on casse rien si on fait de la merde (famous last words),
idéal pour apprendre). Sinon, "délai de conservation des erreurs" ?
Si on réécrit la config pour tuer une alerte,
Prometheus la fire encore 3 mois plus tard ?
Jsp je ne connais pas les effets de bords de prometheus...
(en toutes logique, je pense que oui mais je suis tout sauf un professionnel
contrairement à ce qu'une certaine maman du crans prétend régulièrement...).
Je pense quand-même que prometheus doit avoir une option pour remove une
alerte dans ce genre de cas mais je ne me suis pas trop pencher sur la question.
Je tombe sur [cette doc](<https://prometheus.io/docs/prometheus/latest/configuration/alerting_rules/>)
en cherchant un peu, à creuser tout à l'heure peut-être :
La conf est plus ou moins dynamique... Une partie du monitoring est géré
(au moins en partie) par la conf du LDAP
et si devais parier, je dirais qu'il s'agit d'un script python qui
réactualise la conf via un cron
(j'ai gagné ! /var/local/services/prometheus-target/,
<https://gitlab.crans.org/nounous/prometheus-target>)
[Lzebulon] (si jamais on manque de points) generation auto de la doc `qui_est_qui`, avec une concatenation de fichier `hosts/{physique,vm}/*/README.md` pour chaque host dans le repo nix + un README.md par defaut pour les vm sous debian ou/et physique
à ce niveau là, pourquoi ne pas fusionner nixos et documentation ? (au moins pour la partie technique) [ps : on ne manque jamais de points... plus sérieusement, ça veut dire que le crans vit]
parce que c'est pratique de tout avoir sur une page, un CTRL+F suffit (on pourrait aller plus loin et generer de la doc avec la config nixos, IP, services, etc...)
En soit, c'est pas une mauvaise idée, je crois que nix-topology peux aider dans ce cas. Je ne vois pas particulièrement de problème à mettre de la doc dans modules/services, que se soit à coup de README ou de commentaire ça reste plus ou moins centraliser et c'est potentiellement à l'endroit le plus important lors des modifs
[Lzebulon] (si jamais on manque de points) generation auto de la doc
`qui_est_qui`, avec une concatenation de fichier
`hosts/{physique,vm}/*/README.md`
pour chaque host dans le repo nix + un README.md par defaut pour les vm
sous debian ou/et physique
à ce niveau là, pourquoi ne pas fusionner nixos et documentation ?
(au moins pour la partie technique)
[ps : on ne manque jamais de points... plus sérieusement,
ça veut dire que le crans vit]
parce que c'est pratique de tout avoir sur une page,
un CTRL+F suffit (on pourrait aller plus loin et generer de la doc
avec la config nixos, IP, services, etc...)
En soit, c'est pas une mauvaise idée, je crois que nix-topology
peux aider dans ce cas. Je ne vois pas particulièrement de problème
à mettre de la doc dans modules/services, que se soit à coup de README
ou de commentaire ça reste plus ou moins centraliser et c'est
potentiellement à l'endroit le plus important lors des modifs
=== C'est aussi important ===
### C'est aussi important
[Lyes] Impossible de créer un nouveau compte sur le wiki crans (erreur 502).
ça ne semble ni venir de anubis ni du passage de `hodaur` à `reverseproxy` (c'est déjà ça)
ça ne semble ni venir de anubis ni du passage de `hodaur` à
`reverseproxy` (c'est déjà ça)
[Pigeon] Passation de la VM bde-note à des plus jeunes du BdE
[korenstin] préparation rentrée (séminaires, semaine d'inté, présentation du crans (amphi de rentré et forum des assos), projet apprenti·es, install-party, ...)
[korenstin] préparation rentrée (séminaires, semaine d'inté,
présentation du crans (amphi de rentré et forum des assos),
projet apprenti·es, install-party, ...)
### Si on a le temps 2
=== Si on a le temps 2 ===
[Lzebulon] suppression de vm :
Trinity
Éclaircie ?
[korenstin] partition de 44G sur gitzly qui ne semble pas utiliser
[Pigeon] Stirling PDF crash sur la conversion HTML -> PDF
[Lzebulon] mail sur nextcloud
[Hachino] L'éternel problème des dossiers Nextcloud/Owncloud pas symlinkés dans certains /home
[Hachino] L'éternel problème des dossiers Nextcloud/Owncloud
pas symlinkés dans certains /home
[korenstin] création vlan
[Pigeon] Installation de helix sur zamok (faut toucher aux sources APT)
[Pigeon] Dovecot -> tous les dossiers ne sont paprogrammess regardés par les clients, il faut manuellement aller sur chaque dossier pour voir s'il y a eu de nouveaux mails
Jsp si ça se règle côté serveur, mais j'ai aucun problème sur mes autres mails seulement celui du Crans
[Hachino] Oh tant que j'y pense : contacter les grands opérateurs mails pour vérifier notre réputation auprès d'eux ? Marre que nos mails n'arrivent pas à nos adhérents (ça ou la ML événements)
[Pigeon] Dovecot -> tous les dossiers ne sont pas regardés par
les clients, il faut manuellement aller sur chaque dossier pour
voir s'il y a eu de nouveaux mails
Jsp si ça se règle côté serveur, mais j'ai aucun problème sur mes
autres mails seulement celui du Crans
[Hachino] Oh tant que j'y pense : contacter les grands opérateurs mails pour
vérifier notre réputation auprès d'eux ? Marre que nos mails n'arrivent
pas à nos adhérents (ça ou la ML événements)
### Le bref
=== En bref ===
Les switchs arceus et carapuce sont devenus injoignables depuis l'extérieur. Thot aussi, du coup restic se plaint.
Les switchs arceus et carapuce sont devenus injoignables depuis l'extérieur.
Thot aussi, du coup restic se plaint.
Suite à un mauvaise configuration.
Descente en salle serveur il y a 4 mois pour résoudre
mis à ajour de la table des switch
Tiens, Borgmatic se met à se plaindre sur Gitzly lui aussi.
Il y a eu un début de passage de gitzly vers bookworm mais la procédure a été interrompu par une version pas à jour de gitlab, update de gitlab impossible à cause d'une vielle version de postgreSQL. C'est probablement la cause des erreurs
Il y a eu un début de passage de gitzly vers bookworm
mais la procédure a été interrompue par une version pas à jour de gitlab,
update de gitlab impossible à cause d'une vielle version de postgreSQL.
C'est probablement la cause des erreurs
Modification des templates sur mailman pour les mails en attente de modération pour qu'ils soient plus clair.
Modification des templates sur mailman pour les mails en attente de modération
pour qu'ils soient plus clair.
## incident vm en7
incident vm en7
mise à jour de debian vers bookworm. Il manquait de la place sur le disque.
Après augmentation de la taille des partitions, kernel panic, réinstall Lyes/korenst1 en allant cherche la doc manquante dans les backups
Impossible de faire des modifs, des backups, d'éteindre, de supprimer le disque pour une réinstal, obligé de supprimer la VM de Sam pour le recréer après
Après augmentation de la taille des partitions, kernel panic,
réinstall Lyes/korenst1 en allant cherche la doc manquante dans les backups
Impossible de faire des modifs, des backups, d'éteindre, de supprimer le disque
pour une réinstal, obligé de supprimer la VM de Sam pour le recréer après
sam et des problèmes
Deuxième problème pour redémarrer la VM apprentix, elle a été déplacée sur un autre hyperviseur (jack) et depuis elle remarche très bien. On soupçonne que Sam a des problèmes plus profonds (ça et les ventilos changés souvent, ça fait beaucoup), il faut être vigilants.
## sam et des problèmes
Deuxième problème pour redémarrer la VM apprentix, elle a été déplacée sur un
autre hyperviseur (jack) et depuis elle remarche très bien.
On soupçonne que Sam a des problèmes plus profonds
(ça et les ventilos changés souvent, ça fait beaucoup), il faut être vigilants.
=== Mettre à jour PostgreSQL sur tealc ===
### Mettre à jour PostgreSQL sur tealc
Pas encore critique mais bientôt
On est en version 13, la dernière version sortie est la 17 (et 18 en beta)
euh on est sur de l'info ? parce que sur sam, daniel et jack le serveur est la version 15.13 mais tealc en version 13.21
euh on est sur de l'info ? parce que sur sam, daniel et jack le serveur est la
version 15.13 mais tealc en version 13.21
j'ai rien dit, la db est toujours en 13
besoin pour gitlab 18 (et 17 techniquement...)
voir replication ?
PostgreSQL est très important car beaucoup de services dépendent de lui (dont gitlab qui ne peut pas être mis à jour)
Les mises à jour doivent être effectuées une à une, et pigeonmoelleux et lzebulon ne savent pas s'il est possible de le faire pendant que les services sont en fonctionnement
PostgreSQL est très important car beaucoup de services dépendent de lui
(dont gitlab qui ne peut pas être mis à jour)
Les mises à jour doivent être effectuées une à une, et pigeonmoelleux et
lzebulon ne savent pas s'il est possible de le faire pendant que
les services sont en fonctionnement
=== redémarrage des serveurs août ===
### redémarrage des serveurs août
test de si le système de routeur fonctionne
Comprendre pourquoi l'ensemble des machines se sont éteintes (suite à un certain incident) qui à déconnecter le sam (et donc rsam) de tout réseau (adm, srv-nat, srv, 2756, aurore, ...)
update / upgrade des serveurs sous bullseye vers bookworm (voire trixie si déjà sortie)
vérifier / configurer les éléments manquant ou en trop sur proxmox (typiquement le port série, qemu-guest à désactiver pour certains services)
High-avaibility pour les services importantes (paas les routeurs mais d'autres machines importantes : owl, redisdead par exemple)
Comprendre pourquoi l'ensemble des machines se sont éteintes
(suite à un certain incident) qui à déconnecter le sam (et donc rsam)
de tout réseau (adm, srv-nat, srv, 2756, aurore, ...)
update / upgrade des serveurs sous bullseye vers bookworm
(voire trixie si déjà sortie)
vérifier / configurer les éléments manquant ou en trop sur proxmox
(typiquement le port série, qemu-guest à désactiver pour certains services)
High-avaibility pour les services importantes (paas les routeurs mais d'autres
machines importantes : owl, redisdead par exemple)
vérifier / débugger les problèmes les problèmes sur sam (cf point à l'ODJ)
upgrade la version de postgresql (cf point à l'ODJ)
Créer un pad avec la liste des trucs à faire et penser à le copier en local...
### le wiki et le gitlab ont de forts pics de ping
=== le wiki et le gitlab ont de forts piques de ping au point de rendre les services inaccessible (status.crans.org) toutes les ~5h, scraping ? DDoS ? ===
C'en est au point de rendre les services inaccessible (status.crans.org)
toutes les ~5h, scraping ? DDoS ?
bot IA qui scrappe nos sites (au point de DDoS le wiki)
Anubis a été installé pour certains services : wiki, mediawiki, mirrors et install-party mais pourrait empêcher status.crans.org de bien tout surveiller.
Anubis a été installé pour certains services :
wiki, mediawiki, mirrors et install-party mais pourrait empêcher
status.crans.org de bien tout surveiller.
eclat.crans.org (http) miroir a été désactivé pour éviter scrap des bots.
Pas possible de (facilement) retirer eclat.crans.org.
Il y a une deuxième vm de reverseproxy, nom de code : `reverseproxy`, qui hébegerge.
la conf anti robot semble assez efficace (réduction drastique de la bande passante sur reverseproxy)
passons nous eclat (http, pas la version https) par reverseproxy ou on laisse l'ip publique ?
la conf anti robot semble assez efficace (réduction drastique de la bande
passante sur reverseproxy)
passons nous eclat (http, pas la version https) par reverseproxy ou on laisse
l'ip publique ?
### Dans la même veine, Mailman sature sa RAM plein de fois par jour
Pas très grave a priori, mais pourquoi ?
=== Dans la même veine, Mailman sature sa RAM plein de fois par jour. Pas très grave a priori, mais pourquoi ? ===
EDIT : une fois par heure visiblement, à xx:04:18
Après vérif sur htop, le process coupable est `python3 /usr/share/mailman3-web/manage.py runjobs hourly` 100% sur un CPU et 50% RAM pour lui tout seul.
Issue pertinente : https://github.com/maxking/docker-mailman/issues/327
Et https://lists.mailman3.org/archives/list/mailman-users@mailman3.org/thread/E6OLOJAGNPGYFTXZO7AVRWOC762RFGLH/
Conclusion : l'indexeur par défaut de Mailman3 est gourmand du cul, mais on peut décréter qu'on s'en tape pour l'instant.
Après vérif sur htop, le process coupable est
`python3 /usr/share/mailman3-web/manage.py runjobs hourly`
100% sur un CPU et 50% RAM pour lui tout seul.
Issue pertinente : <https://github.com/maxking/docker-mailman/issues/327>
Et <https://lists.mailman3.org/archives/list/mailman-users@mailman3.org/thread/E6OLOJAGNPGYFTXZO7AVRWOC762RFGLH/>H/
Conclusion : l'indexeur par défaut de Mailman3 est gourmand du cul,
mais on peut décréter qu'on s'en tape pour l'instant.
=== limitation bande passante ===
### limitation bande passante
Configuration d'une limitation de la bande passante pour éviter à aurore d'avoir des dépassements (et de nous le faire payé)
Configuration d'une limitation de la bande passante pour éviter à Aurore
d'avoir des dépassements (et de nous le faire payer)
Limitation sur les switchs ?
Sinon limitation au niveau des routeurs à configurer (limitation 100Mb/s entrant et 100Mb/s).
Sinon limitation au niveau des routeurs à configurer
(limitation 100Mb/s entrant et 100Mb/s sortant).
Installation et configuration de fail2ban pour les machines à ip publique au crans
Règle :
@ -187,40 +297,55 @@ Règle :
bantime: 1h
bantime-increment
maxtime: infinity
cf conf de Pigeon pour s'inspirer : https://gitlab.crans.org/pigeonmoelleux/nixos/-/blob/main/modules/services/fail2ban.nix?ref_type=heads
Il y a un concept de "jail" pour les récidivistes : https://stackoverflow.com/questions/66392687/fail2ban-how-to-ban-ip-permanently-after-it-was-baned-3-times-temporarily
cf conf de Pigeon pour s'inspirer : <https://gitlab.crans.org/pigeonmoelleux/nixos/-/blob/main/modules/services/fail2ban.nix?ref_type=heads>
Il y a un concept de "jail" pour les récidivistes : <https://stackoverflow.com/questions/66392687/fail2ban-how-to-ban-ip-permanently-after-it-was-baned-3-times-temporarily>
monitorin sur fail2ban : Lzebulon s'est gentillement proposé pour le faire ! merci beaucoup !!!
monitorin sur fail2ban : Lzebulon s'est gentiment proposé pour le faire !
merci beaucoup !!!
~160/s pendant ~15min : https://grafana.crans.org/d/i9e_8GkWz/accueil?orgId=1&from=2025-06-18T18:40:47.445Z&to=2025-06-18T19:01:59.773Z&timezone=browser&refresh=30s
~160/s pendant ~15min : <https://grafana.crans.org/d/i9e_8GkWz/accueil?orgId=1&from=2025-06-18T18:40:47.445Z&to=2025-06-18T19:01:59.773Z&timezone=browser&refresh=30s>
=== nouvelle politique de mise en place de service : pas de création de services sans monitoring fonctionnel et check (avec dashboard grafana accessible) ===
### nouvelle politique de mise en place de service
L'absence de monitoring gêne pour le débug. Pour simplifier le débug et être alerter lors de pb, l'ajout d'un services est désormais subordonné à l'ajout du monitoring associer (loi passée par décret maternel).
Grafana a des dashboards pré-impléms, certains services viennent avec du monitoring par défaut, bref c'est pas censé être trop difficile
Exemple : https://grafana.crans.org/dashboards/f/depm89vkifshsb/?orgId=1
Pas de création de services sans monitoring fonctionnel et check
(avec dashboard grafana accessible)
L'absence de monitoring gêne pour le débug.
Pour simplifier le débug et être alerté lors de pb, l'ajout d'un services est
désormais subordonné à l'ajout du monitoring associé (loi passée par décret maternel).
Grafana a des dashboards pré-impléms, certains services viennent avec
du monitoring par défaut, bref c'est pas censé être trop difficile
Exemple : <https://grafana.crans.org/dashboards/f/depm89vkifshsb/?orgId=1>
Le monitoring de la bande passante de chaque service avec des alertes.
D'ailleurs, est-ce qu'on ne referait pas certains graphes de grafana histoire que ce soit plus simple de monitorer (et grafana permet l'ajout d'alerte en cas de sur utilisation du réseau
D'ailleurs, est-ce qu'on ne referait pas certains graphes de grafana histoire
que ce soit plus simple de monitorer
(et grafana permet l'ajout d'alerte en cas de sur-utilisation du réseau)
c'est aussi possible sur prometheus.
=== regroupement des logs dans graphane : <- graphane ou grafana ? oui grafana, il etait un peu trop tard ===
### Regroupement des logs dans grafana
loki peremt de regrouper le log de grafana pour aider le monitoring. Loki permet d'avoir accès au log sur une plage de temps qu'on peut sélectionner..
Loki peremt de regrouper le log de grafana pour aider le monitoring.
Loki permet d'avoir accès au log sur une plage de temps qu'on peut sélectionner..
Les logs possèdent des ip qui correspondent à des données personnelles. Ne pas donner accès au log aux apprenti⋅es.
L'utilisation des logs pour le debug est une utilisation légitime (au sens du RGPD) pour la protection du crans.
Les logs possèdent des ip qui correspondent à des données personnelles.
Ne pas donner accès au log aux apprenti⋅es.
L'utilisation des logs pour le debug est une utilisation légitime (au sens du RGPD)
pour la protection du crans.
=== Comment on débranche des alertes Prometheus (pour calmer un peu #roots/logs) ? Faut les droits nounou ===
### Comment on débranche des alertes Prometheus (pour calmer un peu #roots/logs)
Faut les droits nounou
Un script random du crans regarde dans le LDAP pour synchroniser et configurer.
cf le script : https://gitlab.crans.org/nounous/prometheus-target
cf le script : <https://gitlab.crans.org/nounous/prometheus-target>
nettoyage de excalibur, ecilis, collabora
pas touche aux ilo-*, printer-lp, neo, en7 (bind), belenios
ecilis si éteinte casse le dns du crans, donc important de garder !!!
Lzebulon dit qu'il y a un foirage quelque part sur la config prometheus de neo
thot : en attente (on a thot.crans.org et thot.adm.crans.org)
odlyd : problème de carte réseau et de ventilos, joie
Suppression de éclaircie (Nextcloud-old), Trinity (matrix-old et bridgematrix-old), lynx (pour son historique sulfureux), aeris (probable VM de test de ds-ac)
Suppression de éclaircie (Nextcloud-old), Trinity (matrix-old et bridgematrix-old),
lynx (pour son historique sulfureux), aeris (probable VM de test de ds-ac)
sword = VM pour Excalidraw, projet mis en attente de manière indéfinie
redite n'est pas (encore) dans Nounous/Documentation
one : esum & shirenn, test NixOS, brûlable
@ -228,100 +353,127 @@ two : VM de référence/test pour NixOS de Pigeon, à garder
hydra-one : test d'Aeltheos de hydra, brûlable
test-debian-postfix (x2) : osef ?
=== generation auto de la doc `qui_est_qui`, avec une concatenation de fichier `hosts/{physique,vm}/*/README.md` pour chaque host dans le repo nix + un README.md par defaut pour les vm sous debian ou/et physique ===
### generation auto de la doc `qui_est_qui`
Générer le qui_est_qui automatiquement avec nixos.
Dans chaque dossier de nixos, un README soit ajouté un qu'un script concatène ces fichiers pour en faire un README
Avec une concatenation de fichier `hosts/{physique,vm}/*/README.md`
pour chaque host dans le repo nix + un README.md par defaut pour les vm sous
debian ou/et physiques
Générer le `qui_est_qui.md` automatiquement avec nixos.
Dans chaque dossier de nixos, un README soit ajouté un qu'un script concatène
ces fichiers pour en faire un README
Lzebulon subodore qu'une CI/CD pourrait faire l'affaire
La doc restera dans documentation sauf les README.
=== Impossible de créer un nouveau compte sur le wiki crans (erreur 502). ===
### Impossible de créer un nouveau compte sur le wiki crans (erreur 502)
Ça ne semble ni venir de anubis ni du passage de `hodaur` à `reverseproxy`
=== Passation de la VM bde-note à des plus jeunes du BdE ===
### Passation de la VM bde-note à des plus jeunes du BdE
Toutes les vms de clubs n'ont pas donné de personnes dans le club pour substituer
### Préparation rentrée
=== préparation rentrée (séminaires, semaine d'inté, présentation du crans (amphi de rentré et forum des assos), projet apprenti·es, install-party, ...) ===
Séminaires, semaine d'inté, présentation du crans
(amphi de rentrée et forum des assos), projet apprenti·es, install-party, ...
Forum des associations : possiblement ramener un serveur ou un switch
projet apprentisrécupérer le pad projet apprentis : https://pad.crans.org/p/projets-apprentis
projet apprentisrécupérer le pad projet apprentis : <https://pad.crans.org/p/projets-apprentis>
install-party : pour fin de support de windows 10 -> date : voir CA (Samedi 11 octobre)
proposer plusieurs créneaux pour faire des install'. Événement avec install' linux et/ou d'installation : thunderbird, firefox, nextcloud crans (et conf nextcloud-desktop), sync todo list, contact, gestionnaire de mot de passe.
proposer plusieurs créneaux pour faire des install'.
Événement avec install' linux et/ou d'installation : thunderbird, firefox, nextcloud
crans (et conf nextcloud-desktop), sync todo list, contact,
gestionnaire de mot de passe.
avoir les dates du BDE pour choisir l'orga
=== partition de 44G sur gitzly qui ne semble pas utiliser ===
### partition de 44G sur gitzly qui ne semble pas utiliser
Pas utiliser depuis 2021. Peut-être supprimer et l'espace dispponible réalloué.
=== Stirling PDF crash sur la conversion HTML -> PDF (et PDF -> {Word,ODT}) ===
### Stirling PDF crash sur la conversion HTML -> PDF (et PDF -> {Word,ODT})
Tester de redéployer stirling et peut-être que ça a été fix et en réactivant les dépendances.
Tester de redéployer stirling et peut-être que ça a été fix et en réactivant les
dépendances.
problème de droit aussi.
### mail sur nextcloud
=== mail sur nextcloud ===
Nextcloud ne peut potentiellement pas envoyer des mails. pigeonmoelleux a réglé le pb en direct live.
Nextcloud ne peut potentiellement pas envoyer des mails.
pigeonmoelleux a réglé le pb en direct live.
Est-ce qu'on propose d'utilise nextcloud comme client mail ?
nextcloud est assez lourd et possiblement pas très utiliser.
Le plugin semble être un plugin officiel.
connexion rouncube-nextcloud : https://apps.nextcloud.com/apps/mail_roundcube semble maintenu (màj ~récentes)
connexion rouncube-nextcloud : <https://apps.nextcloud.com/apps/mail_roundcube>
semble maintenu (màj ~récentes)
Projet apprenti⋅es
Sondage : que pensez-vous des services du crans (et du Crans lui-même) ?
### L'éternel problème des dossiers Nextcloud/Owncloud pas symlinkés
=== L'éternel problème des dossiers Nextcloud/Owncloud pas symlinkés dans certains /home ===
Un script sur cameron s'occupe normalement de créer les /home, d'autres pour Owncloud/Nextcloud.
Pour NC, il suppose l'existence du dossier OC, crée le dossier NC et le symlinke
Pendant un temps, OC ne checkait pas le bon sous-dossier, mais ce point a été corrigé pour les nouveaux adhérents.
Pendant un temps, OC ne checkait pas le bon sous-dossier,
mais ce point a été corrigé pour les nouveaux adhérents.
Il en reste une tranche temporelle passée à la trappe (Lila, Romain par exemple).
"Personne n'a envie de toucher à des scripts Python" -- Pigeon
korenst1 se propose pour modifier les scripts Python pour corriger le problème. Possible de tenter de faire un petit script pour corriger les anciens comptes.
Lzebulon dit qu'en principe le problème est résolu pour les nouveaux adhérents, il suffirait de résoudre à la main le souci sur les "oubliés"
korenst1 se propose pour modifier les scripts Python pour corriger le problème.
Possible de tenter de faire un petit script pour corriger les anciens comptes.
Lzebulon dit qu'en principe le problème est résolu pour les nouveaux adhérents,
il suffirait de résoudre à la main le souci sur les "oubliés"
=== création vlan ===
### création vlan
vlan 15 = vlan de test (quand le vlan sera créé)
=== Installation de helix sur zamok (faut toucher aux sources APT) ===
### Installation de helix sur zamok (faut toucher aux sources APT)
pigeon s'en charge, en plus de rajouter le repo au mirror
### Dovecot
=== Dovecot -> tous les dossiers ne sont pas regardés par les clients, il faut manuellement aller sur chaque dossier pour voir s'il y a eu de nouveaux mails ===
Tous les dossiers ne sont pas regardés par les clients, il faut manuellement
aller sur chaque dossier pour voir s'il y a eu de nouveaux mails
Jsp si ça se règle côté serveur, mais j'ai aucun problème sur mes autres mails seulement celui du Crans.
Jsp si ça se règle côté serveur, mais j'ai aucun problème sur mes autres mails
seulement celui du Crans.
Personne ne sait... Pigeonmoelleux va débugger
### Contacter les grands opérateurs mails pour vérifier notre réputation
Marre que nos mails n'arrivent pas à nos adhérents (ça ou la ML événements)
=== Oh tant que j'y pense : contacter les grands opérateurs mails pour vérifier notre réputation auprès d'eux ? Marre que nos mails n'arrivent pas à nos adhérents (ça ou la ML événements) ===
Des opérateurs nous ban, des gens reçoivent pas leurs mails
(La Poste, Microsoft, etc).
C'est chiant, alors qu'on respecte toute les règles et bonnes pratiques
(SPF, DKIM, SRS).
Hachino souhaite checker la réputation des serveurs mails du Crans auprès des
grands opérateurs. Lzebulon suggère de regarder du côté de DMARC
(on serait peut-être trop laxistes en entrée et ça nous donnerait une
mauvaise réputation en sortie).
Des opérateurs nous ban, des gens reçoivent pas leurs mails (La Poste, Microsoft, etc). C'est chiant, alors qu'on respecte toute les règles et bonnes pratiques (SPF, DKIM, SRS). Hachino souhaite checker la réputation des serveurs mails du Crans auprès des grands opérateurs. Lzebulon suggère de regarder du côté de DMARC (on serait peut-être trop laxistes en entrée et ça nous donnerait une mauvaise réputation en sortie).
Tiens, Talos intelligence (opéré par Cisco) nous met une réputation Neutral : https://www.talosintelligence.com/reputation_center/lookup?search=crans.org
Tiens, Talos intelligence (opéré par Cisco) nous met une réputation Neutral : <https://www.talosintelligence.com/reputation_center/lookup?search=crans.org>
Extrait de mailq de Mailman :
A03B122BAD 11079 Sun Jun 22 00:11:37 ens-saphire11-bounces+[censuré]=laposte.net@lists.crans.org
(host smtpz4.laposte.net[160.92.124.66] said: 450 4.7.0 Service refuse. Veuillez essayer plus tard. service refused, please try later. LPN007_510 (in reply to end of DATA command))
A03B122BAD 11079 Sun Jun 22 00:11:37 ens-saphire11-bounces+[censuré]=<laposte.net@lists.crans.org>
(host smtpz4.laposte.net[160.92.124.66] said: 450 4.7.0 Service refuse.
Veuillez essayer plus tard. service refused, please try later.
LPN007_510 (in reply to end of DATA command))
[censuré]@laposte.net
(host smtpz4.laposte.net[160.92.124.66] said: 450 4.7.0 Service refuse. Veuillez essayer plus tard. service refused, please try later. LPN007_510 (in reply to end of DATA command))
(host smtpz4.laposte.net[160.92.124.66] said: 450 4.7.0 Service refuse.
Veuillez essayer plus tard. service refused, please try later.
LPN007_510 (in reply to end of DATA command))
[censuré]@laposte.net
=== Drop du Stop/Spam sur Mailman au profit d'Anubis ===
### Drop du Stop/Spam sur Mailman au profit d'Anubis
korenst1 trouve que c'est une bonne idée. Le reste des gens présents n'objecte pas. Il s'en occupera quand il pourra et voudra.
NB : penser à mettre à jour le message générique des mails de modération de Mailman (voir doc à ce sujet)
korenst1 trouve que c'est une bonne idée.
Le reste des gens présents n'objecte pas. Il s'en occupera quand il pourra et voudra.
NB : penser à mettre à jour le message générique des mails de modération de Mailman
(voir doc à ce sujet)

565
compte_rendus/2025_07_26.md
View File

@ -1,32 +1,48 @@
= Réunion IN =
* Date : Dimanche 26 juillet 2025
* Lieu : Galène
* Début : 14h02
* Fin : 18h18
# Réunion IN
* Date : Dimanche 26 juillet 2025
* Lieu : Galène
* Début : 14h02
* Fin : 18h18
## présent⋅es
=== présent⋅es ===
Lzebulon
Hachino
Rigobert
Itsukushimu (invité par Hachino, SysAdmin dans une boîte, présent pour parler du setup Ceph)
Itsukushimu (invité par Hachino, SysAdmin dans une boîte,
présent pour parler du setup Ceph)
Lyes
Pigeon Moelleux
Pyjacpp
EnzoHenry
RDB
== Ordre du jour ==
## Ordre du jour
[Hachino] INFO : l'imprimante imprime ! \o\ \o| |o| |o/ /o/
[korenstin] INFO : modification des scripts pour le DNS et le firewall afin de permettre au club de ne plus avoir de membre avec une connexion internet valide
[Hachino] INFO : passage des rejets respbats@ en /ignore à la place (cf paramètres de la ML > Acceptation de message)
[Hachino] Templates mailman, le retour : ajout du lien de modération dans list:admin:notice:pending (les rappels quotidiens de modération)
Cf https://docs.mailman3.org/projects/mailman/en/latest/src/mailman/rest/docs/templates.html#templated-texts
[Hachino] Nous avons un invité qui accepte de nous partager ses connaissances en Ceph (point à passer en premier ou dès qu'il est là)
[korenstin] INFO : modification des scripts pour le DNS et le firewall
afin de permettre au club de ne plus avoir de membre avec une connexion
internet valide
[Hachino] INFO : passage des rejets respbats@ en /ignore à la place
(cf paramètres de la ML > Acceptation de message)
[Hachino] Templates mailman, le retour : ajout du lien de modération dans `list:admin:notice:pending`
(les rappels quotidiens de modération)
Cf <https://docs.mailman3.org/projects/mailman/en/latest/src/mailman/rest/docs/templates.html#templated-texts>
[Hachino] Nous avons un invité qui accepte de nous partager ses connaissances
en Ceph (point à passer en premier ou dès qu'il est là)
[Jeltz] Federez souhaite une VM légère, à usage interne
[Hachino] Review des issues sur le Nounous/Documentation ? Certaines ont l'air en pratique résolues (`ansible`).
[Hachino] Limiter la taille que peut prendre journalctl ? Jitsi râle sur son espace disque et /var/log/journal occupe 1,6 Go, à coups de 72 Mo/fichier. Il suffirait d'ajouter SystemMaxUse=7d (ou autre durée < 14d) pour calmer le problème. Gitzly idem.
Cas de Gitzly : probablement des restes des runners sur le repo NixOS (d'après Lzebulon) (pour /journal),
[Pigeon] Mise à jour galène (RPZ Hachino en AGO pile à ce moment) (b;___;)b -> on active les nouvelles options un peu sympa ?
[Hachino] Review des issues sur le Nounous/Documentation ?
Certaines ont l'air en pratique résolues (`ansible`).
[Hachino] Limiter la taille que peut prendre journalctl ?
Jitsi râle sur son espace disque et /var/log/journal occupe 1,6 Go, à coups de
72 Mo/fichier.
Il suffirait d'ajouter SystemMaxUse=7d (ou autre durée < 14d) pour calmer le problème.
Gitzly idem.
Cas de Gitzly : probablement des restes des runners sur le repo NixOS
(d'après Lzebulon) (pour /journal),
[Pigeon] Mise à jour galène (RPZ Hachino en AGO pile à ce moment) (b;___;)b
-> on active les nouvelles options un peu sympa ?
Deux potentiellement peuvent être intéressantes : LDAP et background blur
[Hachino] Le callback sur lists.crans.org et Anubis
"regle" mais c'est moche
@ -36,28 +52,31 @@ zitadel, authelia, authentik ?
j'ai oublie le nom mais Lyes a trouve un truc
dev interne d'une app ? modif du cas ?
[Lzebulon]
coupure ete pour mise à niveau + test fonction de redondance des routeurs : proposition : fin juillet ou fin aout mais avant septembre
coupure ete pour mise à niveau + test fonction de redondance des routeurs :
proposition : fin juillet ou fin aout mais avant septembre
[Lzebulon] bon, euh, ceph ?
[Lzebulon] ca serait bien de faire avant la rentrée (rentrée = 1er septembre) :
collabora/onlyoffice (pour pouvoir faire une demo à l'amphi de rentrée x) )
nextcloud ajout integration roundcube (integration officiel, du moins pubeb sur leur site officiel)
collabora/onlyoffice (pour pouvoir faire une demo à l'amphi de rentrée x)
nextcloud ajout integration roundcube (integration officiel, du moins pub
sur leur site officiel)
[Rigobert] Sinon, dans un souci de modularité, serveur DAV ?
boulot partage du CA/IN :
tour des sites, mise à jour des info : on peut retirer qu'on ne fourni plus de réseau à Cachan ?
tour des sites, mise à jour des info : on peut retirer qu'on ne fournit
plus de réseau à Cachan ?
actualiser services sur intranet.crans.org :
remplace owncloud par nextcloud ? (pareil sur crans.org ?)
mise à jour sur wiki.crans.org ou attente de mediawiki ?
debut plan Seminaire (je dis ca alors que je pourrai pas etre present en presentiel x))
debut plan Seminaire (je dis ca alors que je pourrai pas etre present en
presentiel x)
enregistrer/diffuser en direct sur galene/jitsi/peer.tube ?
matrix
connection de synapse à jitsi pour permettre des appels videos/audio
serveur notice : https://element-hq.github.io/synapse/latest/server_notices.html
serveur notice : <https://element-hq.github.io/synapse/latest/server_notices.html>
Documentation utilisateurice
[Pigeon] -> À partir du moment où on se décide de quoi déployer, je peux en faire des paquets sur tous les services du Crans
[Pigeon] -> À partir du moment où on se décide de quoi déployer,
je peux en faire des paquets sur tous les services du Crans
Il faudrait faire la liste des services prioritaires sur lesquels faire de la doc
matrix
nextcloud
mail
Exemples donnés : Matrix, Nextcloud, Mail
[Lzebulon] debut reflexion projet de l'année prochaine :
ceph ?
oidc
@ -65,15 +84,15 @@ peertube
full CI/CD/Builder nixos
mise à jour debian/proxmox
isc-dhcp deprecie
dovecot change config (https://www.debian.org/releases/trixie/release-notes/issues.en.html#dovecot-configuration-changes)
openldap (je sais pas si ca change quelque chose j'ai pas plus check) (https://www.debian.org/releases/trixie/release-notes/issues.en.html#openldap-tls-now-provided-by-openssl)
dovecot change config (<https://www.debian.org/releases/trixie/release-notes/issues.en.html#dovecot-configuration-changes>)
openldap (je sais pas si ca change quelque chose j'ai pas plus check) (<https://www.debian.org/releases/trixie/release-notes/issues.en.html#openldap-tls-now-provided-by-openssl>)
potentiel probleme de changement de nom d'interface reseau avec la mise à jour proxmox
[Rigobert] https://gitlab.aliens-lyon.fr/AliENS/old-permit
[Rigobert] <https://gitlab.aliens-lyon.fr/AliENS/old-permit>
[Rigobert] Crab.fit
[Rigobert] Mattermost / Taiga pour Kanban pour les assos
[censured] aka le projet mort vivant mais qui mets du temps à mourir
[Pigeon] Le fait qu'on en parle encore relève du miracle/nécromancie
[Lzebulon] improve security https://developer.mozilla.org/en-US/observatory
[Lzebulon] improve security <https://developer.mozilla.org/en-US/observatory>
[Pigeon] Configuration peertube
Proposition d'infrastructure :
1 VM (peertube) qui contient que le serveur avec le client web
@ -83,202 +102,428 @@ n = 2 me paraît être un début largement suffisant
Stockage ? Pool sur ceph (lol) ou sur cameron me paraît adapté
cameron, mais limite d'upload par user -> Oui évidemment
Backups
Backuper de la vidéo c'est environ équivalent à juste copier le fichier, faire des backups différentielles ne fait gagner quasiment aucune place
Backuper de la vidéo c'est environ équivalent à juste copier le fichier, faire
des backups différentielles ne fait gagner quasiment aucune place
(On en ferait quand même mais c'est pour prévoir l'espace disque nécessaire)
[Lzebulon] dhcpd en fin de vie : https://www.isc.org/dhcp/ -> maintenant c'est kea ? & stork (interface monitoring kea & bind) ?
[Lzebulon] dhcpd en fin de vie : <https://www.isc.org/dhcp/>
-> maintenant c'est kea ? & stork (interface monitoring kea & bind) ?
demande de refaire/modifier le script pour donnée accès à internet
[Lz] reverse proxy et nixos
[Lzebulon] sputnik git2.crans.org : gitea (MIT) -> forgejo (GPLv3+) ? ou au moins mise à jour
[Lzebulon] moyen de tracker la version nixpkgs de la flake utilise pour chaque vm nixos (dashboard grafana) ?
[Lzebulon] sputnik git2.crans.org : gitea (MIT) -> forgejo (GPLv3+) ?
ou au moins mise à jour
[Lzebulon] moyen de tracker la version nixpkgs de la flake utilise pour chaque
vm nixos (dashboard grafana) ?
interet : savoir quel serveur mettre a jour
[Lzebulon] imap recherche textuel longue : dovecot fts plugin
=== Présentation de Itsukushimu, en parlant de Ceph ===
A installé tout seul un cluster dans sa boîte, puisque l'ancien cluster devait passer de version 10 à 18
Le plus difficile est d'atteindre les specs minimales pour faire tourner Ceph (disque augmente => besoins en RAM et CPU augmentent)
## Présentation de Itsukushimu, en parlant de Ceph
A installé tout seul un cluster dans sa boîte, puisque l'ancien cluster devait
passer de version 10 à 18
Le plus difficile est d'atteindre les specs minimales pour faire tourner Ceph
(disque augmente => besoins en RAM et CPU augmentent)
10G minimum en connexion interne, 1G c'est non
Les devs se sont concentrés sur le SSD, il faut au moins faire de l'hybride pour passer
Loadbalancing probablement à prévoir (non mis en place pour l'instant)
Les devs se sont concentrés sur le SSD, il faut au moins faire de l'hybride pour
passer Loadbalancing probablement à prévoir (non mis en place pour l'instant)
Présentation de Lzebulon de l'infra :
2 clusers, 3 hyperviseurs
Chaque cluster a un serveur de stockage dédié dans lesquels sont stockées les VMs
Actuellement, Full HDD avec NFS
Une machine achetée pour faire du Ceph est en attente, avec plein de stockage, quasi vierge
Une machine achetée pour faire du Ceph est en attente, avec plein de stockage,
quasi vierge
On voudrait rajouter Ceph au-dessus des deux serveurs de stockage déjà remplis
-> C'est assez pour le quorum
-> Tous les trucs de Ceph sont logiciels, les points d'entrée sont les service monitors (il en faut minimum 3 pour le quorum)
-> Tous les trucs de Ceph sont logiciels,
les points d'entrée sont les service monitors (il en faut minimum 3 pour le quorum)
-> Les OSD sont les unités de stockage, chaque Daemon utilise un disque entier
crush map = carte de l'infra par ceph
osd = unité de stockage, disque = osd, le démon utilise un disque entier pour y stocker de la donnée
service manager donne accès à plein de services variés : dashboard, api, metrology, gestion plugins divers, etc
osd = unité de stockage, disque = osd, le démon utilise un disque entier pour y
stocker de la donnée
service manager donne accès à plein de services variés : dashboard, api,
metrology, gestion plugins divers, etc
Répartition des données : quand un client arrive sur le monitor, le monitor prend la donnée, la découpe, les met dans des placement groups et en suivant l'algo de la crush map, il va répartir les placement groups sur tel osd ou tel autre.
Nous, dans la manière dont est config le stockage, le placement group est répliqué deux fois, trois fois, etc. Stockage effectif != stockage réel.
Répartition des données : quand un client arrive sur le monitor,
le monitor prend la donnée, la découpe, les met dans des placement groups et en
suivant l'algo de la crush map, il va répartir les placement groups sur tel osd
ou tel autre.
Nous, dans la manière dont est config le stockage,
le placement group est répliqué deux fois, trois fois, etc.
Stockage effectif != stockage réel.
2-3 trucs à savoir : le poids pour un disque calculé par un algo de Ceph (c'est une préférence, basée sur la taille). Gros disque => gros poids => Ceph va plutôt stocker sur celui-là. Mieux d'avoir des disques uniformes.
2-3 trucs à savoir : le poids pour un disque calculé par un algo de Ceph
(c'est une préférence, basée sur la taille).
Gros disque => gros poids => Ceph va plutôt stocker sur celui-là.
Mieux d'avoir des disques uniformes.
Specs à respecter : même pour un petit workload, le minmum vital c'est 4 Go RAM/osd (ici, 4 Go/disque). Ça pique sa grand-mère.
Ensuite, service monitor et autres vont auss iconsommer de la mémoire. Pas forcément beaucoup (surtout le monitor), mais il faut prévoir du rab.
Specs à respecter : même pour un petit workload, le minmum vital c'est 4 Go RAM/osd
(ici, 4 Go/disque). Ça pique sa grand-mère.
Ensuite, service monitor et autres vont auss iconsommer de la mémoire.
Pas forcément beaucoup (surtout le monitor), mais il faut prévoir du rab.
Environ 4 Go pour le monitor.
Les specs et modèles du hardware du Crans, pas très uniforme (donc risque de ralentir le tout) : https://gitlab.crans.org/nounous/documentation/-/blob/master/infrastructure/machines/serveurs.md.
Les specs et modèles du hardware du Crans, pas très uniforme
(donc risque de ralentir le tout) : <https://gitlab.crans.org/nounous/documentation/-/blob/master/infrastructure/machines/serveurs.md>.
En effet, Ceph peut être très demandeur en CPU, deuxième bottleneck après le SSD.
Possibilité : hybride. Un SSD pour plusieurs OSD, qui va héberger (me manque des cohss) le dbdevice,, le WAL, etc. Bien quand full SSD = trop cher.
Possibilité : hybride. Un SSD pour plusieurs OSD, qui va héberger
(me manque des choses) le dbdevice,, le WAL, etc. Bien quand full SSD = trop cher.
Si hybride, mieux vaut mettre un SSD qui va gérer au max 4 OSD.
Le dbdevice est obligatoirement sur le même serveur que l'OSD. Au niveau applicatif, dans /var/lib/ceph/cluster-id/osd-id, si tu fais `ll`, t'auraus deux points de montage de /dev (des volumes LVM) : le dbdevice et l'osd lui-même pour héberger les données.
Le dbdevice est obligatoirement sur le même serveur que l'OSD.
Au niveau applicatif, dans /var/lib/ceph/cluster-id/osd-id, si tu fais `ll`,
t'auras deux points de montage de /dev (des volumes LVM) :
le dbdevice et l'osd lui-même pour héberger les données.
Si des gens sont plus orientés dev, la techno pour les metadata c'est bluestore, basé sur rocksdb.
Si des gens sont plus orientés dev, la techno pour les metadata c'est bluestore,
basé sur rocksdb.
Autre recommandation, même si il est assez vieux ça reste vrai sur la partie hardware : https://yourcmc.ru/wiki/Ceph_performance
Faire attention toutefois sur la partie "bluestore/filestore", elle ne tient plus (trop datée). Ceph s'est beaucoup amélioré depuis sur ces sujets.
Autre recommandation, même si il est assez vieux ça reste vrai sur la partie
hardware : <https://yourcmc.ru/wiki/Ceph_performance>
Faire attention toutefois sur la partie "bluestore/filestore", elle ne tient plus
(trop datée). Ceph s'est beaucoup amélioré depuis sur ces sujets.
Question de Lz : comment o ntombe sur un Wiki en russe ?
Réponse d'Itsu : quand t'as lu la doc officielle, faut chercher par toi-même. "Google fu".
Commencé à bosser dessus en juillet 2023, le cluster est devenu viable à la fin de 2024, 1 an et demi de taf (avec d'autres choses à côté au taf, genre l'hyperviseur).
Réponse d'Itsu : quand t'as lu la doc officielle, faut chercher par toi-même.
"Google fu".
Commencé à bosser dessus en juillet 2023, le cluster est devenu viable à la fin
de 2024, 1 an et demi de taf (avec d'autres choses à côté au taf, genre l'hyperviseur).
beaucoup de temps de debug, à comprendre les fondamentaux.
Sur la migration des données, ça dépend si tout le NFS est plein ou si on a de la place en rab. On peut migrer les données au fur et à mesure, un disque à la fois.
Pigeon : on a 20 To de libres sur cameron (un des serveurs cephables), plus cephiroth et tealc
Sur la migration des données, ça dépend si tout le NFS est plein ou si on a de
la place en rab. On peut migrer les données au fur et à mesure, un disque à la fois.
Pigeon : on a 20 To de libres sur cameron (un des serveurs cephables),
plus cephiroth et tealc
Combien de disques contient un serveur de stockage ? Normalement 10-12.
Lyes : l'idée de Ceph est que ça soit totalement distribué, mais comment un autre serveur accès à Ceph ? C'est une question de base, pour comprendre.
Lyes : l'idée de Ceph est que ça soit totalement distribué,
mais comment un autre serveur accès à Ceph ?
C'est une question de base, pour comprendre.
Itsu : t'as trois manières d'accéder à Ceph pour stocker des données.
1 - La plus "hyperviseur-friendly" : rbd, rados block device. Quand tu instancies ta VM, tu lui dis de se connecter à telle pool, tel nom d'image et écrire les donénes dans une image rbd. Elle est dispatchée sur les différents serveurs.
2 - on la fera probablement pas, cephfs. Plus lourd à mettre en place : pool dédié à cephfs, puis aux metadata de cephfs et il est recmmandé d'être full SSD. Monté comme un share NFS.
3 - pas VM friendly, le rados-getaway, pour faire du stockage objet (façon Amazon S3/MinIO). Bien pour du git, mais pour de l'hébergement de VM pur, c'est pas adapté. Nextcloud, c'est compatible ? À voir, mais de toute façon ça demande du SSD. Et il faut tester en conditions réelles. Ceph fournit un dashboard Grafana complet et très bien fait.
Itsu : j'ai jamais fait de proxmox avec du Ceph, donc faut voir dans la doc comment ça s'intègre avec rbd. Est-ce qye le proxmox va directement instancier les images ou est-ce qu'il faut les plugger sur la VM ? C'est à regarder.
Lz : normalement ça s'intègre bien, c'est la façon standard de faire du stockage distribué sous Proxmox.
* La plus "hyperviseur-friendly" : rbd, rados block device.
Quand tu instancies ta VM, tu lui dis de se connecter à telle pool,
tel nom d'image et écrire les donénes dans une image rbd.
Elle est dispatchée sur les différents serveurs.
* On la fera probablement pas, mais cephfs.
Plus lourd à mettre en place : pool dédié à cephfs, puis aux metadata de cephfs
et il est recommandé d'être full SSD.
Monté comme un share NFS.
* Pas VM friendly, le rados-getaway, pour faire du stockage objet
(façon Amazon S3/MinIO).
Bien pour du git, mais pour de l'hébergement de VM pur, c'est pas adapté.
Nextcloud, c'est compatible ? À voir, mais de toute façon ça demande du SSD.
Et il faut tester en conditions réelles.
Ceph fournit un dashboard Grafana complet et très bien fait.
Itsu : j'ai jamais fait de proxmox avec du Ceph,
donc faut voir dans la doc comment ça s'intègre avec rbd.
Est-ce que le proxmox va directement instancier les images ou est-ce qu'il faut
les plugger sur la VM ? C'est à regarder.
Lz : normalement ça s'intègre bien, c'est la façon standard de faire du stockage
distribué sous Proxmox.
Lyes : autre question, on avait comme projet de changer l'OS des machines de stockage.
Itsu : conseille Ubuntu 22.
Lyes : on avait en tête NixOS
Itsu : toujours Ubuntu 22. Parce que c'est testé. Ceph est encore en train d'essayer de le faire marcher sur Ubuntu 24. Chaque daemon est dans un Docker. Ça semble un peu hasardeux, mais ça change la vie pour la MCO du cluster et les mises à jour. Pour avoir tenté une upgrade de version à l'ancienne vs une upgrade de 17 à 18 puis 19, ça n'a rien à voir, le jour et la nuit. Autre truc, il faut être dans un environnement maîtrisé quand on fait de la prod. Des distribs annexes pour du lab etc, ok, pour du socle infra, c'est vital de respecter à le lettre les recos du provider. Surtout que, truc tout bête, ça utilise Docker mais pas la dernière version. On a envie d'utiliser docker-ce à la place. Faut faire gaffe : potentiellement, Ceph utilise des features dépréciées de Docker, supprimées dans la dernière version ! De manière générale, faire gaffe aux dépendances. Pourquoi Ubuntu ? Pour des raisons de version de kernel. Avec de grosses pincettes, vérifiez bien, je crois que Ubuntu 22 avec les proposed ou les backports, a un kernel plus récent que les backports de Debian 12. Jamais sid en prod. Ubuntu vs Debian ? Debien 12 a un kernel en 6.1, qui commence à se faire vieux (la 13 arrive). Même le 6.8 ça commence à dater. En ce moment, le dev du kernel Linux a explosé (dans le bon sens, plein de features cools ajoutées en core).
Itsu : toujours Ubuntu 22. Parce que c'est testé.
Ceph est encore en train d'essayer de le faire marcher sur Ubuntu 24.
Chaque daemon est dans un Docker.
Ça semble un peu hasardeux, mais ça change la vie pour la MCO du cluster
et les mises à jour. Pour avoir tenté une upgrade de version à l'ancienne
vs une upgrade de 17 à 18 puis 19, ça n'a rien à voir, le jour et la nuit.
Autre truc, il faut être dans un environnement maîtrisé quand on fait de la prod.
Des distribs annexes pour du lab etc, ok, pour du socle infra, c'est vital de
respecter à le lettre les recos du provider.
Surtout que, truc tout bête, ça utilise Docker mais pas la dernière version.
On a envie d'utiliser docker-ce à la place.
Faut faire gaffe : potentiellement, Ceph utilise des features dépréciées de
Docker, supprimées dans la dernière version !
De manière générale, faire gaffe aux dépendances. Pourquoi Ubuntu ?
Pour des raisons de version de kernel
Avec de grosses pincettes, vérifiez bien, je crois que Ubuntu 22 avec les
proposed ou les backports, a un kernel plus récent que les backports de
Debian 12. Jamais sid en prod.
Ubuntu vs Debian ? Debien 12 a un kernel en 6.1, qui commence à se faire vieux
(la 13 arrive).
Même le 6.8 ça commence à dater.
En ce moment, le dev du kernel Linux a explosé
(dans le bon sens, plein de features cools ajoutées en core).
Lyes : avantage de NixOS : conf déclarative.
Itsu : documentez. À fond. je me suis fait suer à faire uen doc de taré pour que quand je pars du taf, n'importe qui peut réinstancier un cluster. Et Ansible.
Itsu : documentez. À fond. je me suis fait suer à faire uen doc de taré pour que
quand je pars du taf, n'importe qui peut réinstancier un cluster. Et Ansible.
Lyes : on en a un, mais à chaque fois on dévie.
Itsu : au taf on a fait une CI/CD avec Ansible exec toutes les 30 min. Si quelqu'un fait une modif à la main, il se fait taper sur les doigts. je sais que vous êtes associatifs, je suis un peu par desuss la jambe aussi, mais quand on fait du socle, tu veux zéro dérive. Sans Puppet/Ansible avec CI/CD, c'est compliqué pour la perénnité.
je comprends l'argument pour la perennité de NixOS, il est valide. Cpeendant, en pensée "loi de Murphy", sur un compo critique, tu veux éviter le moindre risque qu'il te pète entre les mains. Qu'est-ce qu'on peut faire pour ça ?
Itsu : au taf on a fait une CI/CD avec Ansible exec toutes les 30 min.
Si quelqu'un fait une modif à la main, il se fait taper sur les doigts.
Je sais que vous êtes associatifs, je suis un peu par dessus la jambe aussi,
mais quand on fait du socle, tu veux zéro dérive.
Sans Puppet/Ansible avec CI/CD, c'est compliqué pour la perénnité.
je comprends l'argument pour la perennité de NixOS, il est valide.
Cependant, en pensée "loi de Murphy", sur un compo critique, tu veux éviter
le moindre risque qu'il te pète entre les mains.
Qu'est-ce qu'on peut faire pour ça ?
Problème de micro de Pigeon, oupsi.
Pigeon (revenu) : pour le passage de Ansible à NixOS, je suis celui qui a le plus vu la transition. La transition s'est faite assez difficilement, avec perte totale de connaissance. Le creux était l'année dernière, plus personne savait comment fonctionnait Ansible et l'infra en général, tous les gens qui savaient étaient partis. On s'est dit qu'on allait toucher le moins possible à ce qui existe déjà, documenter au max et plein de trous dans l'Ansiblisation, avec des scripts maisons pas documentés et pas reproductibles. Quelques personnes très intéressées par NixOS pour la reproductibilité, le principe de mutatiblité. Dans Ansible, même ce qui était écrit dans la conf n'était pas réellement déployé.
Itsu : Ansible sert à déployer, pas à maintenir en conditions, c'est le boulot de Puppet. Mais Puppet "au secours, pfffff" (dixit). On est passés au taf à Ansible pour l'IaC, en le détournant un peu.
Pigeon : Ansible est peut-être un peu trop gros pour nos besoins. Réécrire toute une conf Ansible pour un exemplaire de chaque service, c'est un peu pénible. Je suis pas certain qu'il soit une bonne idée de mettre Ceph sur NixOS. Je préfère plutôt Debian à Ubuntu si possible.
Pigeon (revenu) : pour le passage de Ansible à NixOS,
je suis celui qui a le plus vu la transition.
La transition s'est faite assez difficilement, avec perte totale de connaissance.
Le creux était l'année dernière, plus personne savait comment fonctionnait Ansible
et l'infra en général, tous les gens qui savaient étaient partis.
On s'est dit qu'on allait toucher le moins possible à ce qui existe déjà,
documenter au max et plein de trous dans l'Ansiblisation,
avec des scripts maisons pas documentés et pas reproductibles.
Quelques personnes très intéressées par NixOS pour la reproductibilité,
le principe de mutatiblité.
Dans Ansible, même ce qui était écrit dans la conf n'était pas réellement déployé.
Itsu : Ansible sert à déployer, pas à maintenir en conditions, c'est le boulot
de Puppet. Mais Puppet "au secours, pfffff" (dixit).
On est passés au taf à Ansible pour l'IaC, en le détournant un peu.
Pigeon : Ansible est peut-être un peu trop gros pour nos besoins.
Réécrire toute une conf Ansible pour un exemplaire de chaque service, c'est un peu
pénible. Je suis pas certain qu'il soit une bonne idée de mettre Ceph sur NixOS.
Je préfère plutôt Debian à Ubuntu si possible.
Itsu : en vrai ça peut peut-être se faire, mais regardez bien le kernel.
Lyes : Ceph et les dépendances ?
Itsu : pour le kernel, histoires de perfs. Dépendances qui pourraient casser : Docker. Version 27 sur Ubuntu 22, dernière version 28.xx, plein de fonctionnalités dépréciées en 27 supprimées en 28. T'es pas sûr que to ncluster démarre si t'as pas la bonne version.
Itsu : pour le kernel, histoires de perfs.
Dépendances qui pourraient casser : Docker. Version 27 sur Ubuntu 22,
dernière version 28.xx, plein de fonctionnalités dépréciées en 27
supprimées en 28.
T'es pas sûr que ton cluster démarre si t'as pas la bonne version.
Lyes : Ceph sur NixOS semble marcher directement sur le système, ce qui est terrifiant.
Itsu : est-ce que tu sais déployer les composants de ceph et créer un cluster sur NixOS ? Teste avec trois machines et regarde. Si ça marche et que tu garantis stabilité et fonctionnement, pourquoi pas.
Itsu : est-ce que tu sais déployer les composants de ceph et créer un cluster
sur NixOS ? Teste avec trois machines et regarde.
Si ça marche et que tu garantis stabilité et fonctionnement, pourquoi pas.
Lz : mise à jour ?
Itsu : normalement fait par ceph-adm, qui instancie l'orchestrateur, provisionnel les osd, etc. Mieux qu'à l'époque où il fallait installer à la main ceph-manager, ceph-rbd, etc. Je déconseille complètement NixOS, ça complexifie les choses et neuf chances sur dix que ça se transforme en legacy. Avec ceph-adm, on peut le faire en batch : si il y a trop de workload, on va le faire osd par osd, un par un tranquillement.
Itsu : normalement fait par ceph-adm, qui instancie l'orchestrateur,
provisionne les osd, etc.
Mieux qu'à l'époque où il fallait installer à la main ceph-manager, ceph-rbd, etc.
Je déconseille complètement NixOS, ça complexifie les choses et
neuf chances sur dix que ça se transforme en legacy.
Avec ceph-adm, on peut le faire en batch :
si il y a trop de workload, on va le faire osd par osd, un par un tranquillement.
Lz : cycle de mise à jour ?
Itsu : au bon vouloir des devs, pas régulier genre un fois par an. Regardez le site officiel, la doc est bonne et les annocnes de versions y sont faites. (Calendrier des versions 17 à 19). J'ai attendu 19.2.1 pour faire les migrations, pour laisser passer la première vague. Première install en 17, upgrade en 18, trash et reprise en 18, upgrade en 19.
Itsu : au bon vouloir des devs, pas régulier genre un fois par an.
Regardez le site officiel, la doc est bonne et les annonces de versions
y sont faites. (Calendrier des versions 17 à 19).
J'ai attendu 19.2.1 pour faire les migrations, pour laisser passer la première vague.
Première install en 17, upgrade en 18, trash et reprise en 18, upgrade en 19.
Lyes : si on part avec Docker, comment on sait quelel version est compatible ?
Itsu : Ceph est dev pour tourner sur des distribs. Ceph 19 a été testé sur Ubuntu 20, 22 et .... (voir ce lien : https://docs.ceph.com/en/latest/start/os-recommendations/) Platform = install manuelle, container = passage par Docker, recommande la deuxième option
Lyes : on configure comment, avec eph-adm ?
Itsu : la doc officielle, tu vas pouvoir config par le dashboard en partie. Ce que tu peux faire en GUI, tu peux le faier (et dix fois plus encore) en CLI. Prometheus + Grafana directement intégré dans ceph-adm, par des iframes. On utilise un petit logiciel contenairisé, prom2twillio (?), qui permet d'envoyer les alertes à nos téls d'astreinte
Itsu : si vous avez besoin d'aide pour la conf, je peux donner un coup de main rapide si ça bloque, si il faut rentrer dans le détail. Pour les SSD, prenez des enterprise-grade, un ou deux SSD de journalisation, il faut qu'il ait des condensateurs (enterprise-grade uniquement). Quand t'sa une coupure de courant, il a le temps d'aller commit ses écritures dans les cellules. Sorte de mini-onduleur, si on veut. Les SSD ont un petit cache ne écriture, quand tu le désactives sur les vesions entreprise-grade, les perfs augmentent. Un type explique ça sur un Wiki, à lire.
Itsu : vous auriez 8 disques par serveur, donc 24 disques et 6 SSD si j'ai bien compris. Il faut essayer d'avoir le même nombre d'osd par serveur, même nombre de disques, même tailel de stockage, sinon déséquilibre dans la répartition des données. Un déséquilibre ça peut potentiellement engranger des problèmes de stabilité et d'inégrité si on perd un noeud. La crush map essaye d'être le plus efficace possible. Si on a 10 disques+10+40 sur le troisième serveur. Dans ce genre de cas, on peut avoir des données répliquées sur le même serveur, un peu con si on le perd.
Itsu : Ceph est dev pour tourner sur des distribs.
Ceph 19 a été testé sur Ubuntu 20, 22 et ....
(voir ce lien : <https://docs.ceph.com/en/latest/start/os-recommendations/>)
Platform = install manuelle, container = passage par Docker,
recommande la deuxième option
Lyes : on configure comment, avec ceph-adm ?
Itsu : la doc officielle, tu vas pouvoir config par le dashboard en partie.
Ce que tu peux faire en GUI, tu peux le faire (et dix fois plus encore) en CLI.
Prometheus + Grafana directement intégré dans ceph-adm, par des iframes.
On utilise un petit logiciel contenairisé, prom2twillio (?),
qui permet d'envoyer les alertes à nos téls d'astreinte
Itsu : si vous avez besoin d'aide pour la conf, je peux donner un coup de main
rapide si ça bloque, si il faut rentrer dans le détail.
Pour les SSD, prenez des enterprise-grade, un ou deux SSD de journalisation,
il faut qu'il ait des condensateurs (enterprise-grade uniquement).
Quand t'as une coupure de courant, il a le temps d'aller commit ses écritures
dans les cellules.
Sorte de mini-onduleur, si on veut. Les SSD ont un petit cache en écriture,
quand tu le désactives sur les vesions entreprise-grade, les perfs augmentent.
Un type explique ça sur un Wiki, à lire.
Itsu : vous auriez 8 disques par serveur, donc 24 disques et 6 SSD
si j'ai bien compris. Il faut essayer d'avoir le même nombre d'osd par serveur,
même nombre de disques, même taille de stockage,
sinon déséquilibre dans la répartition des données.
Un déséquilibre ça peut potentiellement engranger des problèmes de stabilité et
d'intégrité si on perd un noeud. La crush map essaye d'être le plus efficace possible.
Si on a 10 disques+10+40 sur le troisième serveur. Dans ce genre de cas,
on peut avoir des données répliquées sur le même serveur, un peu con si on le perd.
Lyes : des configs déjà prêtes d'Ansible pour Ceph ?
Itsu : non, dépréciées. Conseille le bootstrap à la main et de vous casser les dents dessus, c'est en faisant qu'on apprend. Comprendre comment les choses s'intègrent les unes avec les autres. Je vais ptet faire une présentation, celle de mon chef d'il y a des années. Pas très à jour, mais pour les concepts ça ira. Je pourra ivous partage des sortes de confs, des exemples que j'ai faits de mon côté pour le maintien en conditions.
Itsu : non, dépréciées.
Conseille le bootstrap à la main et de vous casser les dents dessus,
c'est en faisant qu'on apprend.
Comprendre comment les choses s'intègrent les unes avec les autres.
Je vais ptet faire une présentation, celle de mon chef d'il y a des années.
Pas très à jour, mais pour les concepts ça ira. Je pourrai vous partager des
sortes de confs, des exemples que j'ai faits de mon côté pour le maintien en conditions.
(Petite blague sur openStack)
Itsu : par contre, openNebula... (?)
(Présentation rapide)
MON : cerbère, ...
OSD : object storage device, vérifie son état et remonte au MON, stocke la donnée. On peut avoir plusieurs OSD sur un disque dur, mais c'est de la folie furieuse. Personne ne fait ça, jamais.
Ceph MDS, metadata software. MDS utilisé pour le stockage FS, sauvegarde toutes les infos
Ceph MGR : version Kraken nouveau daemon qu ifournit du monitoring supplémentaire, interface pour le monit externe. Si les services managers tombent, e nthéorie c'ets pas grave, les deux les plus critiques c'est MON et OSD.
OSD : object storage device, vérifie son état et remonte au MON, stocke la donnée.
On peut avoir plusieurs OSD sur un disque dur, mais c'est de la folie furieuse.
Personne ne fait ça, jamais.
Ceph MDS, metadata software. MDS utilisé pour le stockage FS,
sauvegarde toutes les infos
Ceph MGR : version Kraken nouveau daemon qu ifournit du monitoring supplémentaire,
interface pour le monit externe.
Si les services managers tombent, en théorie c'ets pas grave, les deux les plus
critiques c'est MON et OSD.
Ceph RGW gateway, permet de faire du stockage objet
Specs minimales montrées plus trop à jour
Recommandé de séparer les réseaux : cloisonnement accès/réplications, permet de libérer "accès" pour les accès clients, jumbo frame mandatory en plus du 10G
Ceph autodimensionne la partition e nfonction de la taille de l'OSD. 5% de la taille de l'OSD réservée à ... un truc nécessaire aux metadata
Un placement groupe contient des fragments de données. Contacte le MON, le MON contacte la pool et la CRUSh map rentre en jeu.
Premier passage pour savoir si on assigne à l'objet à un PG ou si on e ncrée un novueau, la crush map refait un passage et regarde dans quel OSD il peut stocker le PG. En fonction du nombre de réplicats (k), le PG va être écrit sur k autres OSD.
Recommandé de séparer les réseaux : cloisonnement accès/réplications,
permet de libérer "accès" pour les accès clients,
jumbo frame mandatory en plus du 10G
Ceph autodimensionne la partition e nfonction de la taille de l'OSD.
5% de la taille de l'OSD réservée à ... un truc nécessaire aux metadata
Un placement groupe contient des fragments de données.
Contacte le MON, le MON contacte la pool et la CRUSH map rentre en jeu.
Premier passage pour savoir si on assigne à l'objet à un PG ou si on en crée
un novueau, la crush map refait un passage et regarde dans quel OSD il peut
stocker le PG. En fonction du nombre de réplicats (k),
le PG va être écrit sur k autres OSD.
Rebalancing : si on rajoute un OSD, le crush map remappe les PG sur les osd
CRUSH : controlled replication under scalable hashing Je l'ia jamais touchée, juste extraite une fois pour la lire, mais comme on a une iso-config sur nos trois neouds, la crush map était déjà configurée
Ceph permet la substitution : si un disque tombe, la crush map va automatiquement en chercher un autre, qui marche, pour jouer son rôle, en gardant le statut "master" ou "replica"
CRUSH : controlled replication under scalable hashing Je l'ai jamais touchée,
juste extraite une fois pour la lire, mais comme on a une iso-config sur nos trois
neouds, la crush map était déjà configurée
Ceph permet la substitution : si un disque tombe,
la crush map va automatiquement en chercher un autre, qui marche,
pour jouer son rôle, en gardant le statut "master" ou "replica"
La crush map fonctionne avec des arbres (au sens des graphes)
Exemple tout bête dans lequel on peut modifier une crush map : quand on a un cluster mixte, avec des HDD, on exclut les HDD du calcul.
Une crush map = un fichier de config en gros, avec une syntaxe propre En principe, avec une seule salle et trois serveurs, on devrait pas avoir à y toucher, c'est pour la culture. Pour l'exemple "pas de HDD", ça se fait avec une ruleset, faut aller lire la doc.
Exemple tout bête dans lequel on peut modifier une crush map :
quand on a un cluster mixte, avec des HDD, on exclut les HDD du calcul.
Une crush map = un fichier de config en gros, avec une syntaxe propre.
En principe, avec une seule salle et trois serveurs, on devrait pas avoir à y toucher,
c'est pour la culture.
Pour l'exemple "pas de HDD", ça se fait avec une ruleset, faut aller lire la doc.
`ceph osd tree` permet de voir l'infra
Crush map = format binaire, faut décompiler/recompiler pour la changer (lire la doc)
Crush map = format binaire, faut décompiler/recompiler pour la changer
(lire la doc)
Reste une partie sur l'auth, mais pas très importante maintenant
L'essentiel est dit, je peux passer faire une review de la conf ou aider ponctuellement à la construction.
Si pas de stockage objet et bon cloisonnement, on peut supprimer les mitigations anti-Spectre/meltdown pour gagner en perfs. On l'a fait au taf, en virt c'est une catastrophe. Pas avec des serveurs à l'extérieur, là c'est non. Truc marrant : rien qu'avec le Nextcloud côté user, sans les mitigations, tu peux accéder à l'hyperviseur. Critère : pas d'accès à l'extérieur, pas d'acceptation de connexion depuis Internet. C'est trop dangereux.
L'essentiel est dit, je peux passer faire une review de la conf
ou aider ponctuellement à la construction.
Si pas de stockage objet et bon cloisonnement,
on peut supprimer les mitigations anti-Spectre/meltdown pour gagner en perfs.
On l'a fait au taf, en virt c'est une catastrophe.
Pas avec des serveurs à l'extérieur, là c'est non.
Truc marrant : rien qu'avec le Nextcloud côté user, sans les mitigations,
tu peux accéder à l'hyperviseur.
Critère : pas d'accès à l'extérieur, pas d'acceptation de connexion depuis Internet.
C'est trop dangereux.
Pensez à mettre une passe sur les mises à jour firmware etc avant de passer à Ceph, firmware carte réseau idem.
Pensez à mettre une passe sur les mises à jour firmware etc avant de passer à Ceph,
firmware carte réseau idem.
Contact possible par Discord (username pas dur). Au pire Hachino peut faire le lien sans problème.
Contact possible par Discord (username pas dur). Au pire Hachino peut faire le
lien sans problème.
## INFO : l'imprimante imprime ! \o\ \o| |o| |o/ /o/
=== INFO : l'imprimante imprime ! \o\ \o| |o| |o/ /o/ ===
Lzebulon ne coupe plus le switch quand il le configure, deuxième victoire. Applaudissements.
Pigeon : envisageable de guider à distance quelqu'un qui est dans la salle serveurs, parce que j'habite loin. Lz pourrait aussi.
Pigeon : envisageable de guider à distance quelqu'un qui est dans la salle serveurs,
parce que j'habite loin. Lz pourrait aussi.
=== INFO : modification des scripts pour le DNS et le firewall afin de permettre au club de ne plus avoir de membre avec une connexion internet valide ===
## INFO : modification des scripts pour le DNS et le firewall
=== INFO : passage des rejets respbats@ en /ignore à la place (cf paramètres de la ML > Acceptation de message) ===
=== Templates mailman, le retour : demande d'ajout du lien de modération dans list:admin:notice:pending (les rappels quotidiens de modération) ===
Cf https://docs.mailman3.org/projects/mailman/en/latest/src/mailman/rest/docs/templates.html#templated-texts
Afin de permettre au club de ne plus avoir de membre avec une connexion internet
valide
## INFO : passage des rejets respbats@ en /ignore à la place
(cf paramètres de la ML > Acceptation de message)
## Templates mailman, le retour
Demande d'ajout du lien de modération dans `list:admin:notice:pending`
(les rappels quotidiens de modération)
Cf <https://docs.mailman3.org/projects/mailman/en/latest/src/mailman/rest/docs/templates.html#templated-texts>
Hachino : je demande parce que j'ai pas les droits pour le faire moi-même ;_;
=== Federez souhaite une VM légère, à usage interne (un DNS) ===
## Federez souhaite une VM légère, à usage interne (un DNS)
Voudraient les utiliser pour nottament déployer une suite numérique.
Faut-il faire adhérer Fédérez ? Et leur faire payer la VM ?
À revoir en CA, avis informel : tout le monde est pour
=== Review des issues sur le Nounous/Documentation ? Certaines ont l'air en pratique résolues (`ansible`) ===
Hachino : Certaines issues ne sont-elles pas déjà finies, et à fermer ?
Exemple 1 : https://gitlab.crans.org/nounous/documentation/-/issues/8
Exemple 2 : https://gitlab.crans.org/nounous/documentation/-/issues/6 (débat sur séparation ou non)
## Review des issues sur le Nounous/Documentation ?
=== Limiter la taille que peut prendre journalctl ? Jitsi râle sur son espace disque et /var/log/journal occupe 1,6 Go, à coups de 72 Mo/fichier. Il suffirait d'ajouter SystemMaxUse=7d (ou autre durée < 14d) pour calmer le problème. Gitzly idem ===
Cas de Gitzly : probablement des restes des runners sur le repo NixOS (d'après Lzebulon) (pour /journal)
Lzebulon : Y-a-t-il des durées minimales à garder certains de ces fichiers ? On est pas FAI sur cette partie, donc pas d'obligations
Certaines ont l'air en pratique résolues (`ansible`)
Hachino : Certaines issues ne sont-elles pas déjà finies, et à fermer ?
Exemple 1 : <https://gitlab.crans.org/nounous/documentation/-/issues/8>
Exemple 2 : <https://gitlab.crans.org/nounous/documentation/-/issues/6>
débat sur séparation ou non
## Limiter la taille que peut prendre journalctl ?
Jitsi râle sur son espace disque et /var/log/journal occupe 1,6 Go,
à coups de 72 Mo/fichier.
Il suffirait d'ajouter SystemMaxUse=7d (ou autre durée < 14d) pour calmer le problème.
Gitzly idem
Cas de Gitzly : probablement des restes des runners sur le repo NixOS
(d'après Lzebulon) (pour /journal)
Lzebulon : Y-a-t-il des durées minimales à garder certains de ces fichiers ?
On est pas FAI sur cette partie, donc pas d'obligations
Limiter à une semaine semble raisonnable.
=== Mise à jour galène (RPZ Hachino en AGO pile à ce moment) (b;___;)b -> on active les nouvelles options un peu sympa ? ===
## Mise à jour galène (RPZ Hachino en AGO pile à ce moment) (b;___;)b
-> on active les nouvelles options un peu sympa ?
Deux potentiellement peuvent être intéressantes : LDAP et background blur
Galène est packaged et maintenu sur Nix par Erdnaxe.
La transcription est powered par Whisper, qui marche plutôt bien même sur CPU, truc construit par OpenAI Open source mais sans les données d'entraînement
La transcription est powered par Whisper, qui marche plutôt bien même sur CPU,
truc construit par OpenAI Open source mais sans les données d'entraînement
Les deux points sont acceptés.
Jitsi est beaucoup utilisé ! (Ça fait plaisir !) 44 confs depuis le 29 juin, soit 1,5/jour
Jitsi est beaucoup utilisé ! (Ça fait plaisir !) 44 confs depuis le 29 juin,
soit 1,5/jour
## Le callback sur lists.crans.org et Anubis
=== Le callback sur lists.crans.org et Anubis ==
"réglé" mais c'est moche
Fix horrible mis en place par Lzebulon, par reverse engineering de mailman : pour passer en https, il fallait désactiver un switch demandant de passer en https
Fix horrible mis en place par Lzebulon, par reverse engineering de mailman :
pour passer en https, il fallait désactiver un switch demandant de passer en https
(à l'aide, pas pigé le reste) (lzebulon non plus)
Le fix ne pose heureusement pas beaucoup de problème, puisque toutes les requête concernées sont internes au Crans.
Le fix ne pose heureusement pas beaucoup de problème, puisque toutes les requêtes
concernées sont internes au Crans.
## OIDC
=== OIDC ===
keycloack ?
zitadel, authelia, authentik ?
j'ai oublie le nom mais Lyes a trouve un truc <- dex
dev interne d'une app ? modif du cas ?
OIDC est un CAS, mais avec des protocoles plus récents.
Lyes a trouvé Dex (https://github.com/dexidp/dex), qui semble plutôt propre, et qu'il testera. Il semble plus léger que Keycloak, le serveur de Pigeon utili-e authentik qui prend plusieurs Go de RAM (écrit entièrement en python). Son fonctionnement : on lui donne un Oauth2, il sort un LDAP.
Le Crans veut remplacer le CAS par l'OIDC, car le CAS actuel n'est plus supporté par personne. Oauth2 suit un standard, l'OIDC (un superset), qui est supporté par Matrix, Django (la note), et tout un tas de logiciels récents.
Lyes a trouvé Dex (<https://github.com/dexidp/dex>), qui semble plutôt propre
et qu'il testera.
Il semble plus léger que Keycloak, le serveur de Pigeon utilise authentik
qui prend plusieurs Go de RAM (écrit entièrement en python).
Son fonctionnement : on lui donne un Oauth2, il sort un LDAP.
Le Crans veut remplacer le CAS par l'OIDC, car le CAS actuel n'est plus supporté
par personne.
Oauth2 suit un standard, l'OIDC (un superset), qui est supporté par Matrix, Django
(la note), et tout un tas de logiciels récents.
Il ne supplante pas pour autant LDAP.
=== Coupure ete pour mise à niveau + test fonction de redondance des routeurs : proposition : fin juillet ou fin aout mais avant septembre ===
## Coupure ete pour mise à niveau + test fonction de redondance des routeurs
Proposition : fin juillet ou fin aout mais avant septembre
Lyes : fin juillet chui pas là et fin août y a tjr pas le RER B
Quand est-ce qu'on peut la faire ? Et qui s'en occupe ? Avoir le RER B qui fonctionne serait pas mal, mais il ne recommence à fonctionner qu'au 27 août, date à laquelle la plupart des nounous sont disponibles.
Quand est-ce qu'on peut la faire ? Et qui s'en occupe ?
Avoir le RER B qui fonctionne serait pas mal, mais il ne recommence à fonctionner
qu'au 27 août, date à laquelle la plupart des nounous sont disponibles.
Ça attendra décembre ou toussaint
=== Bon, euh, ceph ? ===
## Bon, euh, ceph ?
Déjà fait
=== Ca serait bien de faire avant la rentrée (rentrée = 1er septembre) ===
## Ca serait bien de faire avant la rentrée (rentrée = 1er septembre)
Classé ici par importance.
==== Crucial ====
## Crucial
Collabora/Onlyoffice (le choix est laisssé à la personne qui va implanter)
Mettre à jour les clubs qui ont leur sites
Enlever : Krobot
@ -292,68 +537,83 @@ Matrix (une fois les moultes discussions avec le BDE) et PeerTube (de même)
Vaultwarden (une fois assez de remarques défensives présentes ?)
Dire que l'imprimante fonctionne
==== Moins prioritaire ====
Nextcloud ajout intégration roundcube (intégration officielle, permet de mettre roundcube dans une Eframe sur le site NextCloud)
=## Moins prioritaire=
Nextcloud ajout intégration roundcube (intégration officielle,
permet de mettre roundcube dans une iframe sur le site NextCloud)
Plus quelques niceties comme le partage de document
Objectifs proposés par Rigo : synchronisation des contacts et des agendas
[Rigobert] Sinon, dans un souci de modularité, serveur DAV ?
==== Frozen ====
## Frozen
Il reste l'une de nos imprimantes sur le campus de Cachan
boulot partage du CA/IN :
debut plan Seminaire (je dis ca alors que je pourrai pas etre present en presentiel x))
debut plan Seminaire
(je dis ca alors que je pourrai pas etre present en presentiel x)
enregistrer/diffuser en direct sur galene/jitsi/peer.tube ?
matrix
connection de synapse à jitsi pour permettre des appels videos/audio <- ouiiiiiiiiiiiiii
serveur notice : https://element-hq.github.io/synapse/latest/server_notices.html
serveur notice : <https://element-hq.github.io/synapse/latest/server_notices.html>
mjolnir
notification report
Documentation utilisateurice
[Pigeon] -> À partir du moment où on se décide de quoi déployer, je peux en faire des paquets sur tous les services du Crans
[Pigeon] -> À partir du moment où on se décide de quoi déployer,
je peux en faire des paquets sur tous les services du Crans
Il faudrait faire la liste des services prioritaires sur lesquels faire de la doc
matrix
nextcloud
mail
À faire sur le wiki ? Mediawiki ? Mediawiki sera-t-il là à temps ?
=== sputnik git2.crans.org : gitea (MIT) -> forgejo (GPLv3+) ? ou au moins mise à jour ===
## sputnik git2.crans.org
gitea (MIT) -> forgejo (GPLv3+) ? ou au moins mise à jour
on est d'accord
=== moyen de tracker la version nixpkgs de la flake utilise pour chaque vm nixos (dashboard grafana) ? ===
## Tracker la version nixpkgs de la flake utilise pour chaque vm nixos
Par un dashboard grafana.
interet : savoir quel serveur mettre a jour
`nix flake metadata --json /etc/nixos/ | jq '.locks.nodes.nixpkgs.locked.lastModified'`
## imap recherche textuel longue : dovecot fts plugin
=== imap recherche textuel longue : dovecot fts plugin ===
https://doc.dovecot.org/2.4.1/core/plugins/fts.html#fts-full-text-search-plugin-fts
<https://doc.dovecot.org/2.4.1/core/plugins/fts.html#fts-full-text-search-plugin-fts>
=== Début reflexion projet de l'année prochaine ===
[Rigobert] https://gitlab.aliens-lyon.fr/AliENS/old-permit <- c'est pas ça : https://gitlab.aliens-lyon.fr/AliENS/permit
[Hachino] J'ai contacté un AliENS-ien sur #federez à l'instant, ils l'ont packagé dans NixOS en bonus. C'est du Keycloak/oidc, ils sont "sous l'eau mais chauds pour aider à faire des modifs" et l'idée que le logiciel soit adopté chez nous suscite l'enthousiasme.
Lien d'un vieux planning, pour voir l'UI : https://permit.aliens-lyon.fr/planning/shared?token=A7cWlGgprIP9GLWQjqRfvgr72UUWxltAr_0IWrm46ZY
[Rigobert] Crab.fit <- +1 de Lyes (https://crab.fit/) y a https://meet.dgnum.eu/
[Rigobert] Mattermost <- Matrix ? / Taiga (https://taiga.io/) pour Kanban pour les assos / Deck pour nextcloud / Planka (dont intégration nextcloud ?)
## Début reflexion projet de l'année prochaine
[Rigobert] <https://gitlab.aliens-lyon.fr/AliENS/old-permit> <- c'est pas ça : <https://gitlab.aliens-lyon.fr/AliENS/permit>
[Hachino] J'ai contacté un AliENS-ien sur #federez à l'instant,
ils l'ont packagé dans NixOS en bonus.
C'est du Keycloak/oidc, ils sont
"sous l'eau mais chauds pour aider à faire des modifs"
et l'idée que le logiciel soit adopté chez nous suscite l'enthousiasme.
Lien d'un vieux planning, pour voir l'UI : <https://permit.aliens-lyon.fr/planning/shared?token=A7cWlGgprIP9GLWQjqRfvgr72UUWxltAr_0IWrm46ZY>
[Rigobert] Crab.fit <- +1 de Lyes (<https://crab.fit/>) y a <https://meet.dgnum.eu/>
[Rigobert] Mattermost <- Matrix ? / Taiga (<https://taiga.io/>) pour Kanban pour
les assos / Deck pour nextcloud / Planka (dont intégration nextcloud ?)
ceph ? <- oui
oidc <- oui
peertube
full CI/CD/Builder nixos
mise à jour debian/proxmox
isc-dhcp deprecie
dovecot change config (https://www.debian.org/releases/trixie/release-notes/issues.en.html#dovecot-configuration-changes)
openldap (je sais pas si ca change quelque chose j'ai pas plus check) (https://www.debian.org/releases/trixie/release-notes/issues.en.html#openldap-tls-now-provided-by-openssl)
dovecot change config (<https://www.debian.org/releases/trixie/release-notes/issues.en.html#dovecot-configuration-changes>)
openldap (je sais pas si ca change quelque chose j'ai pas plus check) (<https://www.debian.org/releases/trixie/release-notes/issues.en.html#openldap-tls-now-provided-by-openssl>)
potentiel probleme de changement de nom d'interface reseau avec la mise à jour proxmox
[censured] aka le projet mort vivant mais qui mets du temps à mourir
[Pigeon] Le fait qu'on en parle encore relève du miracle/nécromancie
## dhcpd en fin de vie : <https://www.isc.org/dhcp/>
=== dhcpd en fin de vie : https://www.isc.org/dhcp/ -> maintenant c'est kea ? & stork (interface monitoring kea & bind) ? ===
-> maintenant c'est kea ? & stork (interface monitoring kea & bind) ?
demande de refaire/modifier le script pour donnée accès à internet
## Configuration peertube
=== Configuration peertube ===
Proposition d'infrastructure :
1 VM (peertube) qui contient que le serveur avec le client web
n VM (peertube-runnner-X) qui vont faire le transcodage pour ne pas surcharger peertube
@ -362,19 +622,16 @@ n = 2 me paraît être un début largement suffisant
Stockage ? Pool sur ceph (lol) ou sur cameron me paraît adapté
cameron, mais limite d'upload par user -> Oui évidemment
Backups
Backuper de la vidéo c'est environ équivalent à juste copier le fichier, faire des backups différentielles ne fait gagner quasiment aucune place
Backuper de la vidéo c'est environ équivalent à juste copier le fichier,
faire des backups différentielles ne fait gagner quasiment aucune place
(On en ferait quand même mais c'est pour prévoir l'espace disque nécessaire)
Stockage : 10G (au debut, avisera apres)
backup : que les fichiers originaux si possible
## Improve security <https://developer.mozilla.org/en-US/observatory>
=== Improve security https://developer.mozilla.org/en-US/observatory ===
=== reverse proxy et nixos ===
## reverse proxy et nixos
18h19, fin de l'IN

116
compte_rendus/2025_08_29.md
View File

@ -1,10 +1,12 @@
= Réunion IN =
* Date : Vendredi 29 aout 2025
* Lieu : Galène
* Début : 18h00
* Fin : 18h30
# Réunion IN
- Date : Vendredi 29 aout 2025
- Lieu : Galène
- Début : 18h00
- Fin : 18h30
## présent⋅es
=== présent⋅es ===
Lzebulon
Hachino
Lyes
@ -12,80 +14,106 @@ Pigeon Moelleux
RDB
pyjacpp
== Ordre du jour ==
## Ordre du jour
[Lzebulon] c'est la rentrée
[Lzebulon] INFO : Collabora is live ! Faire la pub ? Pendant l'été, à la rentrée pour les 1A, why not both ? (Et askip on a un créneau " présentation du Crans" à la rentrée ?)
[Pigeon] Le disque /dev/disk/by-id/ata-ST3000NM0033-9ZM178_S1Y03XTT-part1 sur cameron est mort, la pool est en DEGRADED.
[Lzebulon] Ajouter un MOTD informatif aux VM sous NixOS (au moins dire quels sont les services installés dessus, pour s'épargner des allers-retours avec la doc)
[Lzebulon] INFO : du monitoring obsolète (odlyd, excalibur, eclaircie, chene) a été enlevé (c'est ça de moins sur #roots/logs). (Pour le fun, j'ai compté ~65 messages le 22 août.)
[Pigeon] INFO : traduction json/yaml --> nix pour Anubis et le reverseproxy, rationalisation et uniformisation de la conf
[Lzebulon] INFO : Collabora is live ! Faire la pub ? Pendant l'été, à la rentrée
pour les 1A, why not both ?
(Et askip on a un créneau "présentation du Crans" à la rentrée ?)
[Pigeon] Le disque /dev/disk/by-id/ata-ST3000NM0033-9ZM178_S1Y03XTT-part1 sur
cameron est mort, la pool est en DEGRADED.
[Lzebulon] Ajouter un MOTD informatif aux VM sous NixOS
(au moins dire quels sont les services installés dessus,
pour s'épargner des allers-retours avec la doc)
[Lzebulon] INFO : du monitoring obsolète (odlyd, excalibur, eclaircie, chene) a
été enlevé (c'est ça de moins sur #roots/logs).
(Pour le fun, j'ai compté ~65 messages le 22 août.)
[Pigeon] INFO : traduction json/yaml --> nix pour Anubis et le reverseproxy,
rationalisation et uniformisation de la conf
[Lzebulon] INFO : mise à jour de la page services.crans.org (les zolis emojis là)
[Pigeon] INFO : L'install de Peertube est à peu près finie, plus qu'à décider de la politique sur 2-3 points mais c'est ~prêt pour la prod
[Pigeon] INFO : L'install de Peertube est à peu près finie, plus qu'à décider
de la politique sur 2-3 points mais c'est ~prêt pour la prod
[Lzebulon] INFO : Matrix-annonces est up
[Hachino] Le stockage sur le / de nextcloud sature régulièrement. Augmenter l'espace dispo ? Purge auto de certains fichiers ?
[CT&CA] La réunion "Matrix et sa modération" a eu lieu avec Ikea, décisions techniques à prendre ? Pub ?
[Hachino] Le stockage sur le / de nextcloud sature régulièrement.
Augmenter l'espace dispo ? Purge auto de certains fichiers ?
[CT&CA] La réunion "Matrix et sa modération" a eu lieu avec Ikea, décisions
techniques à prendre ? Pub ?
[Lzebulon] todo : check RGPD compliance du crans :
15 j pour IP/date/url/user-agent
site avec les infos des collectes pour plus de transparence, un peu à la : https://wiki.asso-purr.eu.org/books/conformite/page/registre-de-traitement
site avec les infos des collectes pour plus de transparence, un peu à la : <https://wiki.asso-purr.eu.org/books/conformite/page/registre-de-traitement>
[Lzebulon qui reve un peu trop] ca serait vraiment bien d'avoir du 2FA
[Lzebulon qui reve toujours] ca serait top que les fichiers et mails des adh soient chiffre
ca réduit nos obligations legal/on peut vraiment dire qu'on sait pas ce qu'il y a
ca permet de garantir un lieu "sécurisé" (et vu les discussions politiques du moment...) (et de l'année prochaine, en vue des présidentielles)
Une solution : un champ dans re2o pour des clé public ajoute par l'adhérent : on chiffre avec cette clé public (pgp/age/ssh à voir)
[Hachino] Peertube a été abordé en CA Aurore, avec la conso réseau en général. Une première ligne se dégage.
[Pigeon] L'instance PeerTube du Crans est actuellement déployée avec une limite fixe de bande passante telle qu'elle ne devrait pas poser de pb.
L'instance fonctionne bien entièrement : la connexion par LDAP est activée, et une limite par défaut de 10G est active par utilisateurice (peut se changer à la main).
Actuellement les lives ne fonctionnent pas bien, mais je n'ai pas encore creusé la raison.
[Lzebulon qui reve toujours] ca serait top que les fichiers et mails des adh
soient chiffre
ca réduit nos obligations legal/on peut vraiment dire qu'on sait pas ce qu'il y
a ca permet de garantir un lieu "sécurisé"
(et vu les discussions politiques du moment...)
(et de l'année prochaine, en vue des présidentielles)
Une solution : un champ dans re2o pour des clé public ajoute par l'adhérent :
on chiffre avec cette clé public (pgp/age/ssh à voir)
[Hachino] Peertube a été abordé en CA Aurore, avec la conso réseau en général.
Une première ligne se dégage.
[Pigeon] L'instance PeerTube du Crans est actuellement déployée avec une limite
fixe de bande passante telle qu'elle ne devrait pas poser de pb.
L'instance fonctionne bien entièrement : la connexion par LDAP est activée
et une limite par défaut de 10G est active par utilisateurice
(peut se changer à la main).
Actuellement les lives ne fonctionnent pas bien, mais je n'ai pas encore creusé
la raison.
[lafeychine] Faire une réunion Crans-Aurore pour fixer les limites de bande passante
Pour info: Le CA d'Aurore a conclu qu'il fallait de l'équité avec l'asso Rezel qui finance la connexion (basé sur la consommation de Rezel de 200Mb/s)
[Lzebulon] changement debian trixie qui est sortie : https://pad.crans.org/p/debian_trixie
Pour info: Le CA d'Aurore a conclu qu'il fallait de l'équité avec l'asso Rezel qui
finance la connexion (basé sur la consommation de Rezel de 200Mb/s)
[Lzebulon] changement debian trixie qui est sortie : <https://pad.crans.org/p/debian_trixie>
[Lzebulon] politique mail (DKIM)
[Hachino] INFO : Ajout de CoriandreBis sur services.crans.org (merci bleizi <3)
[Hachino] On peut plus inscrire de 1A au Wiki, ouin. Méchante erreur 502. Anubis tout cassé.
[Pigeon] Nextcloud : je commence à en avoir marre de devoir supprimer à la main des trucs toutes les semaines ><
Il faut faire qqchose mais j'ai pas l'impression que nextcloud soit d'accord pour suivre les paramètres que je lui donne.
[Hachino] On peut plus inscrire de 1A au Wiki, ouin. Méchante erreur 502.
Anubis tout cassé.
[Pigeon] Nextcloud : je commence à en avoir marre de devoir supprimer à la main
des trucs toutes les semaines ><
Il faut faire qqchose mais j'ai pas l'impression que nextcloud soit d'accord pour
suivre les paramètres que je lui donne.
Et il faut augmenter la taille de la VM -> retarde juste le pb
[Pyjacpp] La limite du nombre de personne sur WhatsApp a été évoqué (elle arrive très très vite), proposer le matrix comme alternative pour règler le problème ? (Redondance avec le Discord ?)
[Pyjacpp] La limite du nombre de personne sur WhatsApp a été évoquée
(elle arrive très très vite), proposer le matrix comme alternative pour règler
le problème ? (Redondance avec le Discord ?)
[lafeychine] Accès GitLab pour le département Info de l'ENS
## Les vrais points
=== Les vrais point ===
Nextcloud
le wiki qui fait *****
autres pb ?
=== Wiki ===
## Wiki
Le wiki ne marche pas et on ne comprends pas pourquoi.
Ce matin Lzebulon s'est penché sur la question. Il a trouvé quelques erreurs dans la configuration de reverseproxy.
Ce matin Lzebulon s'est penché sur la question. Il a trouvé quelques erreurs
dans la configuration de reverseproxy.
On reregarde demain, si ça ne marche toujours pas, on désactive anubis.
=== Nextcloud ===
## Nextcloud
On a des problèmes de caches récurrent sur Nextcloud, pigeon propose donc d'augmenter la taille de la VM.
On a des problèmes de caches récurrent sur Nextcloud, pigeon propose donc
d'augmenter la taille de la VM.
On devrait regarder ça demain, et potentiellement mettre un service pour clear le cache.
On devrait regarder ça demain, et potentiellement mettre un service pour clear
le cache.
=== Services pubbable ===
## Services pubbable
- Mail
- Nextcloud
- Matrix (ou IRC)
- Vaultwarden
- Imprimante
- Wiki
- Pad, zerobin
## Mail
=== Mail ===
A minima, une entrée du type "v=DMARC1;p=quarantine;pct=100;rua=dmarc@crans.org;sp=quarantine;aspf=s;" ne me semblerait pas déconnante.
A minima, une entrée du type `"v=DMARC1;p=quarantine;pct=100;rua=<dmarc@crans.org>;sp=quarantine;aspf=s;"`
ne me semblerait pas déconnante.
verifier que ce sont bien les condition recommandé

224
compte_rendus/2025_09-21.md 100644
View File

@ -0,0 +1,224 @@
# Réunion IN
- Date : Dimanche 21 septembre 2025
- Lieu : Galène
- Début : 15h10
- Fin : 16h52
## présent⋅es
Lyes
Rigobert
Antonin
RDB
Gabo
Louis
Lzebulon
Pigeon Moelleux
EnzoHenri
Hachino (merci le vigile sympa)
Motrix
EnzoHenry
loulous27
## Ordre du jour
GATO
[Lzebulon] backup bde sur thot (relance du bde)
[loulous27] discution pour définir une nouvelle architecture pour L[ENS]
(nouveaux besoins).
[Lzebulon] possible reunion avec le BDE pour leur parler de nos services
[Lzebulon] todo : check RGPD compliance du crans :
15 j pour IP/date/url/user-agent
site avec les infos des collectes pour plus de transparence, un peu à la : <https://wiki.asso-purr.eu.org/books/conformite/page/registre-de-traitement>
[Lzebulon qui reve un peu trop] ca serait vraiment bien d'avoir du 2FA
[Lzebulon qui reve toujours] ca serait top que les fichiers
et mails des adh soient chiffre
ca réduit nos obligations legal,
on peut vraiment dire qu'on sait pas ce qu'il y a
ca permet de garantir un lieu "sécurisé"
(et vu les discussions politiques du moment...)
(et de l'année prochaine, en vue des présidentielles)
Une solution : un champ dans re2o pour des clé publiques ajoute par l'adhérent :
on chiffre avec cette clé publiques (pgp/age/ssh à voir)
[Lzebulon] changement debian trixie qui est sortie : <https://pad.crans.org/p/debian_trixie>
[Lzebulon] politique mail (DKIM)
[Hachino qui attend en rêvant] Chaussette ! Donnez-moi mes droits nounou !
(Ref à <https://fr.wikiquote.org/wiki/Le_Donjon_de_Naheulbeuk> si jamais).
[Lzebulon+Hachino] INFO : Le Wiki est réparé ! \o/ Par contre,
qu'est-ce qu'il crache comme infos. oO
[Lzebulon] INFO : Le Crans se fait SEO auprès de Google.
Ça *devrait* mieux marcher maintenant. Utilise Anubis::OpenGraph.
[Lzebulon] VM/compte RIPE, 2FA obligatoire pour compte root
[Pigeon] Vous connaissez XMPP ? Non, explique-moi pigeon.
[Lzebulon] viarezo
Lzebulon explique le principe d'une IN aux nouveaux.
### GATO
### Chaussette
Le gâteau et les cookies sont très bons. Pigeon is déçu de pas être présent
(encagé au Zoo, le pauvre).
Le point gâteau est donc validé.
pyjacpp et Hachino sont maintenant nounous.
### backup bde sur thot
La note doit backup.
Actuellement les backups sont fait sur zamok en copiant la base de données
Proposition setup une VM de backup :
Proposition Gabo :
- VM à part avec un nouvel VLAN de backup accessibles par les machines adhérentes.
- VM à part avec accès par les adhérents en ayant besoin.
Proposition Pigeon:
- Sur restic avec deux mots de passe, l'un partagé pour accéder au service web
et un autre pour déchiffrer le contenu qui ne serait qu'aux proprio du back ups
Problème restic ne backup pas les base de données
### discussion pour définir une nouvelle architecture pour L[ENS] (nouveau besoin)
Explication d'un 1A de L[ENS]
Besoin d'une meilleure façon pour upload les fichiers et une nouvelle galerie.
Besoin d'éditions collaborative de fichiers vidéos.
Besoin de refaire un serveur photos.
Pour l'édition collaborative, besoin d'un dossier partagé pour permettre d'avoir
les mêmes rushs au même endroit.
NFS, Samba ?=> besoin d'une source commune pour les vidéos.
Protégé par un VPN... ? Gestion des accès à définir.
Pigalerie2.
Zone mixte vidéos / photos.
Pas au CRANS de gérer l'installation, ni la façon dont le serveur est géré.
Peut cependant aider à mettre en place.
Pas besoin de flux vidéos : seulement besoin de récupérer les photos et vidéos
une unique fois pour les synchroniser. Besoin de limiter la bande passante.
Pigeon : pas de NFS car Windows...
- Proposition : WebDav.
- NectCloud : ça va ramer, solution plus légère préférable.
- Tout faire par réseau : problèmes de surcharges.
Pas modifications en simultanées mais besoin d'une arborescente synchronisée.
Soft à conseiller pour le reverseproxy Caddy
OpenLdap : mauvaise idée, beaucoup trop lourd à mettre en place et gérer
Galerie afficher de manière bête et méchante les photos, pas d'upload
(upload sur le système de fichiers en commun).
Plugin NGINX pour faire de l'authentification, Pigeon :
la configuration à l'air compliquée.
Recherche d'un accès simple et sécurisé à la BDD :
- SSH problèmes avec les SHS.
- VPN plus simple.
Suggestion de fail2ban pour ban les spammers
### possible reunion avec le BDE pour leur parler de nos services
Contexte : une personne du BDE est venue pour nous demander des informations
sur nos services et pour voir leurs besoins.
Relancer par mail.
### check RGPD compliance du crans
Il faut trouver le temps pour le faire. Compliqué dû à une mauvaise documentation.
### 2FA
Rêve.
### chiffrement des fichiers et mails
Casse pied. Il faudrait savoir comment fonctionne les mails.
schumpy (qui a changé de pseudos) problèmes de mails qu'il ne voit plus.
### changement debian trixie qui est sortie : <https://pad.crans.org/p/debian_trixie>
Il faudrait penser à mettre à jour les VMs.
Rappel : le wiki bloque un peu... Mais médiawiki est déjà là.
MÉDIAWIKI EST LÀ AVANT LA FIN DE L'ANNÉE (certifié par Lyes).
### anubis
Anubis doit démarer dans le bon ordre.
Problème, dés fois anubis ne démarre pas dans le bon ordre et crée des 502 :
il faut redémarrer Anubis.
Casse pied à corriger car il faut modifier le package Nix.
Rgle, en cas de redémarage du reverseproxy, il faut redémarer Anubis après coup.
### politique mail (DKIM)
Lzebulon avait dit des trucs.
On doit changer dans le DNS notre politique DKIM pour "v=DMARC1;p=quarantine;pct=100;rua=<dmarc@crans.org>;sp=quarantine;aspf=s;"
v :version
quarantine : stocke et flag comme problématique
pct=100 : ??? <https://mxtoolbox.com/dmarc/details/dmarc-tags/dmarc-percentage>
Pct=100 veut dire que 100% des messages qui failent DMARC passent en quarantaine
rua=<dmarc@crans.org> : si dmarc déconne, écrire à cette adresse
aspf = <https://powerdmarc.com/fr/dmarc-aspf-tag/>
"Vous pouvez maintenant modifier votre politique DMARC.
Pour ce faire, changez la balise aspf de aspf=s (strict) à aspf=r (relaxed)."
### INFO : Le Wiki est réparé ! \o/
yay
### INFO : Le Crans se fait SEO auprès de Google
Google n'est pas content qu'on utilise Anubis :(
Dans Anubis il y a une balise no-index qui dit a Google de ne pas indexer.
Pas de solution trouvée à ce moment.
### VM/compte RIPE, 2FA obligatoire pour compte root
Mettre la 2FA dans le pass.
### viarezo
Besoin d'envoyer un mail pour avoir des infos sur leur fibre.
### Vous connaissez XMPP ?
Pigeon: C'est très très cool.
Bridge XMPP ?
(parenthèse bridge whatsapp)
Place du marché libre a dépassé son nombre d'utilisateurs.
Lyes: pour la conquête de l'ENS, avoir des briges WhatsApp et Discord.
Matrix obtiendrait l'unanimité des groupes associatfs.
Pigeon + Lzebulon: si on fait ça, ils vont rester sur Discord et WhatsApp.
Lyes: on s'inspire de Microsoft, on active le bridge et dans deux ans on le coupe.
### Autres
On a de nouveau accès aux Ilos !!!
Lzebulon : pensez à compléter le pad <https://pad.crans.org/p/projets-apprentis>

144
compte_rendus/2025_09_21_CA.md 100644
View File

@ -0,0 +1,144 @@
# Réunion CA
- Date : Dimanche 21 septembre 2025
- Lieu : Galène
- Début : 14h10
- Fin : 15h07
## votant⋅es
Lyes
Rigobert
Antonin
RDB
Gabo
Louis/igolta
## non-votant⋅es
Lzebulon
Pigeon Moelleux
EnzoHenri
Hachino (je tiens à remercier le vigile sympa de ne pas avoir posé de questions)
Motrix
EnzoHenry
loulous27
Ordre du jour :
[Lyes] S&L voudrait racheter notre onduleur
[Lzebulon] Proposition de don d'un moniteur pliant pour la baie
[Lzebulon] Rappel du choix personne pour discuter avec Aurore
[Hachino/Scott] (Pas tout à fait Crans mais tant pis.) Serveur photos : OSS117,
Nax ne répond plus.
Que fait-on ? Contact direct avec Nax ? Ou Martin Thiriet, plus pertinent ?
[Rigobert] Boîte aux lettres du Crans
[Lzebulon] Séminaires
Préliminaire : le CA est confus sur ses votants.
Un membre du CA découvre être au CA, ca fait quand meme 4 mois...
### S&L voudrait racheter notre onduleur
Re-préliminaire : S&L est un club "par flemme d'avoir une asso".
Confirmé en direct par loulous27, membre S&L.
Son & Lum[ENS] veulent l'acheter, comme ils en ont besoin
et le Crans ne l'utilise plus (on en utilise un fourni par l'ENS)
VOTE : Vendre l'onduleur à S&L :
- POUR : 6
- CONTRE : 0
- ABSTENTIONS : 0
À quel prix doit-on le vendre ? Proposition de 357 euros (nos impôts).
Étude de marché sur Le Bon Coin. Une proposition à 150 € émerge
(prix un peu baissé parce qu'on vend à une asso et pas un particulier
ou une entreprise). Transmission aux personnes compétentes
(Julien de S&L, Alexis, loulous27). Prix encore à décider pour ceci.
### Proposition de don d'un moniteur pliant pour la baie
Un mail a été reçu à la rentrée, qui propose de donner un moniteur pliant,
ce qui ferait plus pro et plus sympa pour la baie de serveurs.
NB : du matos serait à récupérer du côté du (maintenant ancien) siège informatique
de Cora à Metz (racheté par Carrefour).
On peut tenter une OPA globale, quitte à redistribuer dans l'ENS ensuite
(ou autour, aux copains).
Il faut faire une lettre bien propre en PDF, la remettre à loulous27,
qui la transmet à son père, qui la passe à la bonne personne.
Lettre à adresser à
Vincent WOIRHAYE
Responsable Administratif Financier
Cora Informatique
12, rue Joseph Cugnot
BP 35049 - 57 072 Metz cedex 3
Mettre une adresse mail pour le retour, genre bureau@ c'est très bien.
VOTE :
- POUR : 6
- CONTRE : 0
- ABSTENTIONS : 0
Répondre vite à l'envoyeur, qui attend depuis 21 (!) jours.
### Rappel du choix des personnes pour discuter avec Aurore
Dans l'idée, il faudrait envoyer 3 personnes du Crans là-bas.
On avait dit la dernière fois Antonin, LZebulon
et on pensait à Gabo en troisième. Ce serait Pigeon plutôt (expertise).
L'objet de la discussion est de chiffrer une limite à la bande passante consommée
par le Crans sur la fibre d'Aurore.
### Serveur photos : OSS117, Nax ne répond plus
Que fait-on ? Contact direct avec Nax ? Ou Martin Thiriet, plus pertinent ?
Le premier est en 8A, le second en 5A
et il a sûrement eu les derniers accès au serveur.
On peut donner accès à club-photos en mettant leur clé SSH sur la machine,
ce qui leur permet de se connecter.
### Boîte aux lettres du Crans
Besoin d'une personne qui relève régulièrement le courrier à l'ENS,
au moins toutes les semaines, un petit Cron serait de mise.
Il faut décider qui garde les clés pour l'instant
(Rigobert est OK pour le faire, GaBo est actuellement en possession des clés).
### Séminaires
Il faudrait choisir le thème, l'heure, et les présentateurs du premier séminaire.
<https://pad.crans.org/p/seminaires>
VOTE pour le mercredi 18h30 :
- POUR : 5
- CONTRE : 1
- ABSTENTIONS : 0
Date choisie. Il faut déclarer l'évènement 1 mois en avance pour que les
extérieurs non étudiants aient le droit d'assister aux séminaires,
mais on peut quand même commencer par un séminaire de présentation dans deux semaines.
Qui s'en occupe ? LZebulon pas trop (je suis en Italie).
La présentation du Crans doit être faite par le président du Crans;
GaBo peut éventuellement le faire. RDB est prêt à se dévouer pour un autre.
Il faudra faire de la comm'. GaBo propose de fusionner présentation du Crans +
Linux 101 et de le faire lui-même, mais avec une semaine de plus pour préparer.
GaBo va également tenter de prendre une salle de TP info EEA pour un séminaire
réseau avec TP pour tout le monde.
Rigobert se propose pour faire un peu de communication,
voir avec la NL BDA, des affiches, et les réseaux sociaux.
Programme :
- GaBo : Présentation et Linux
- Lyes : Typst
- X : LaTeX
- GaBo : Réseau
- Y : Git

474
compte_rendus/2025_10_19.md
View File

@ -1,95 +1,11 @@
= Réunion CA =
# Réunion IN
* Date : Dimanche 19 octobre 2025
* Lieu : MB87 et Galène
* Début : 14h18
* Fin : 14h44
* Date : Dimanche 19 octobre 2025
* Lieu : MB87 et Galène
* Début : 14h45
* Fin : 16h45
=== Votant⋅es ===
GaBo
Lyes
Ohime
Pyjacpp
RDB
Rigobert (à distance, par écrit)
=== Non-votant⋅es ===
Hachino
Luto
Lzebulon
Ordre du jour
[LENS] LENS veut une VM pour une BDD Postgresql
[Hachino] [cross-post IN] Je peux sortir la CB pour les disques et me faire rembourser par note ? Pitié pour un pauvre sam qui pleure son /sdb. EDIT : en fait on a des disques de rab dans le bureau, certains neufs et emballés.
[Hachino] Bilan des points du CA précédent : rachat de l'onduleur (et prix), récupération du don par Lyes et RDB, Aurore, serveur photos, séminaires.
== Rachats des des disques ==
On a trouvé des disques neufs, on pourrait se trouver devant les serveurs et essayer de changer les disques. Ça se fera à noël.
== Nouvelles de la banque ==
La SoGé répond toujours pas aux relances. Ça va finir en appel direct et/ou plantage physique dans l'agence pour avoir un rendez-vous. Suivi d'un changement de banque pour incompétence notoire.
== LENS veut une VM pour une BDD Postgresql ==
LENS a déjà un serveur physique, le serveur photos, qui est "une patate littérale au niveau des perfs" (dixit Lyes). La BDD servirait à contenir les métadonnées (tel bout de clip dure tant et va à tel endroit dans la vidéo) avant le montage. Demande peu de puissance, peu d'échange de données, donc Aurore tranquille sur l'usage de la bande passante.
Lzebulon se demande pourquoi ça ne passerait pas sur leur serveur. Lyes répond par une patate. Et ça leur ferait un deuxième point de données hors de leur serveur principal. Le serveur photos est jugé important pour l'ENS (sa vie associative) et la VM consommerait peu d'espace et de ressources. L'argument de la puissance (patate) paraît bancal à plusieurs membres, peut-être que L[ENS] surestime la puissance des serveurs du Crans.
Proposition : accord de principe du CA, mais le CT n'ouvre la VM qu'après des vérifications techniques sur cette histoire de puissance (légitimité des raisons de L[ENS]).
Pour : Unanimité
Contre : 0
Abstention : 0
== Retour sur les points du CA précédent ==
=== Onduleur ===
Le prix proposé était beaucoup trop élevé, Son&Lum[ENS] nous a rembarrés. Une partie de l'onduleur ne fonctionne pas (il est très vieux, même si neuf). Leur proposer un objet neuf, au prix du neuf, avec une feature essentielle qui marche pas est un peu abusé de notre part. Ils proposent 80 € à la place. En gros, le lissage de courant marcherait et pas la batterie. Ou l'inverse. Lyes n'est pas sûr du tout. Ou la batterie aurait une réserve très faible (trop peu). Cette option est crédible compte tenu de l'âge de l'onduleur, même inutilisé. GaBo aimerait avoir les détails sur la ML bureau. Lyes les a eus à l'oral, mais va redemander les détails.
Proposition : vote d'un accord de principe sur une vente au nouveau prix de 80 €, après avoir rediscuté des détails des défauts de l'onduleur avec S&L.
Pour : Unanimité
Contre : 0
Abstention : 0
=== Voyage voyage ===
Lyes et RDB se sont frappés le trajet jusqu'à Gare du Ch'Nord pour récupérer le don. On les remercie, mais le type ne s'est pas pointé. Lyes et RDB ont attendu pour rien. Le rendez-vous n'a pas été confirmé de manière totalement certaine, sans doute une erreur. Malgré le spam de mails en direct, le monsieur n'a jamais été retrouvé. Tristesse en ce jour. Pas de bol du jour : le RER E, par lequel le monsieur devait arriver, avait un problème majeur.
=== Aurore et réunion bipartite ===
La réunion n'a pas eu lieu, pas encore. Promis, soon.™ Lzebulon relance Vincent la semaine prochaine, son install partie est arrivée.
=== Serveur photos ===
Déjà traité.
=== Séminaires ===
N'existent pas. Pas vraiment de volontaires. GaBo a dû quitter la réunion CA, mais il va peut-être réussir à obtenir des salles de TP des EEA pour des séminaires avec pratique. Lyes va peut-être faire la demande pour la salle de séminaire habituelle.
== Questions diverses ==
RDB a une remarque diverse. Les impôts ont été payés entièrement. Ploplodir. Et pas d'amende (j'ai envie d'un gâteau aux amandes).
(si on me met nounou je ramène un gâteau aux amendes) (chiche)
Clôture du CA.
============
= Réunion IN =
* Date : Dimanche 19 octobre 2025
* Lieu : MB87 et Galène
* Début : 14h45
* Fin : 16h45
=== présent⋅es ===
## présent⋅es
Hachino
Lyes
@ -99,64 +15,117 @@ Pyjacpp
RDB
Ordre du jour (oui):
[pyjacpp] impossible de se connecter au matrix via element (le nom de domaine n'apparaît pas)
[pyjacpp] impossible de se connecter au matrix via element
(le nom de domaine n'apparaît pas)
Support des QRCodes pour se connecter ?
[Pigeon] PR associée : https://github.com/matrix-org/matrix-spec-proposals/pull/4108 (c'est pas encore dans la spec officielle)
Element X c'est vraiment la galère niveau protocoles : ça suit pas la spec matrix donc faut configurer synapse avec des trucs pas encore finis
[Pigeon] PR associée : <https://github.com/matrix-org/matrix-spec-proposals/pull/4108>
(c'est pas encore dans la spec officielle)
Element X c'est vraiment la galère niveau protocoles : ça suit pas la spec
matrix donc faut configurer synapse avec des trucs pas encore finis
C'est faisable apparemment mais relou à maintenir
(Sinon je vous ai parlé d'XMPP ?) oui...
[Lzebulon] anubis c'est bien mais ca bloque trop
[Hachino] On coupe Anubis sur perso.crans.org ? Seulement sur les adhérents qui le demandent ?
[Hachino] On coupe Anubis sur perso.crans.org ?
Seulement sur les adhérents qui le demandent ?
[Hachino] Demande de Martin Cesbron : extension de moyens EDIT : Réglé, a priori.
[Hachino] Talbot remonte un souci sur pdf.crans.org (cf #crans)
[Hachino] Vincent Lafeychine a trouvé un fix sur la timezone de l'imprimante, yapluka merge.
[Hachino] (On a clairement ignoré la demande dovecotesque de eljj, mais franchement on a pas le temps.)
[pyjacpp] Les factures de re2o d'inscriptions sont mal formées et ont un décalage d'une colonne
[pyjacpp] Proposition: remplacer, dans la template default_invoice.tex, {{a.name}} en {{a.name|safe}} pour désactiver l'escaping html
[Hachino] Why not Typst cependant ? /s (Ah oui, Typst bouge un peu trop pour être utilisable en prod, pas faux.)
[Pigeon] C'est actuellement assez stable, surtout pour des constructions de base donc je pense pas que ça pose pb (ou alors on fait un shell nix et plus de pb)
[Hachino] Vincent Lafeychine a trouvé un fix sur la timezone de l'imprimante,
yapluka merge.
[Hachino] (On a clairement ignoré la demande dovecotesque de eljj,
mais franchement on a pas le temps.)
[pyjacpp] Les factures de re2o d'inscriptions sont mal formées et ont un
décalage d'une colonne
[pyjacpp] Proposition: remplacer, dans la template default_invoice.tex, {{a.name}}
en {{a.name|safe}} pour désactiver l'escaping html
[Hachino] Why not Typst cependant ? /s
(Ah oui, Typst bouge un peu trop pour être utilisable en prod, pas faux.)
[Pigeon] C'est actuellement assez stable, surtout pour des constructions de base
donc je pense pas que ça pose pb (ou alors on fait un shell nix et plus de pb)
[Lz] parce que personne veut modifier le module de re2o
[Lzebulon] surveiller stirling pdf v2 (changement de formule, devient payant ? https://www.stirling.com/blog/introducing-v2)
[Lyes] Virer toutes les nounous non-actives du Pass pour rechiffrer facilement le pass aux nouvelles nounous
[Lzebulon] surveiller stirling pdf v2 (changement de formule, devient payant ? <https://www.stirling.com/blog/introducing-v2>)
[Lyes] Virer toutes les nounous non-actives du Pass pour rechiffrer facilement
le pass aux nouvelles nounous
Les infos de Hachino :
[Hachino] INFO : réparation de smartmontools, qui devrait arrêter de pleurer dans #roots/logs
Il fallait éditer /etc/smartd.conf pour lui dire exactement comment accéder au disque (à cause du Smart Array d'HP)
[Hachino] INFO : réparation de l'unit systemd pour logrotate et nginx sur owncloud. Lui aussi pleurera moins.
Résumé : un reliquat de conf qui appelait un script mort dans /etc/logrotate.d/{nginx, owncloud}.
[Lzebulon] Mailman couine(ait ?) tout fort. Suppression d'un mail pourri vers un domaine mort. Espoir de résolution. EDIT : le silence.
[Hachino] INFO : Modif de la conf journal de Jitsi, avec hardlimit à 500M de logs (au lieu de 1,5G sinon). Constat : Prosody est *très* verbeux. Trop.
[Hachino] INFO : réparation de smartmontools,
qui devrait arrêter de pleurer dans #roots/logs
Il fallait éditer /etc/smartd.conf pour lui dire exactement
comment accéder au disque (à cause du Smart Array d'HP)
[Hachino] INFO : réparation de l'unit systemd pour logrotate et nginx sur owncloud.
Lui aussi pleurera moins.
Résumé : un reliquat de conf qui appelait un script mort dans
/etc/logrotate.d/{nginx, owncloud}.
[Lzebulon] Mailman couine(ait ?) tout fort.
Suppression d'un mail pourri vers un domaine mort. Espoir de résolution.
EDIT : le silence.
[Hachino] INFO : Modif de la conf journal de Jitsi, avec hardlimit à 500M de logs
(au lieu de 1,5G sinon). Constat : Prosody est *très* verbeux. Trop.
[Hachino] INFO : isc-dhcp-server demandait juste à être restart sur sam.
[Hachino] INFO : networking.service sur en7 est réparé.
Un vieux fichier écrit à la main par une ancienne nounou était en conflit avec celui géré par Ansible (même IP, même gateway) et le fichier Ansible n'avait pas de ifstate. Une archive se trouve dans /root/*.bak
Un vieux fichier écrit à la main par une ancienne nounou était en conflit avec
celui géré par Ansible (même IP, même gateway) et le fichier Ansible n'avait pas
de ifstate. Une archive se trouve dans /root/*.bak
Touche ens19 et ens20, voir ce que ça fait côté Ansible pour le long terme ?
Je purge #roots/logs (quand c'est possible) et c'est ma joie.
[Hachino] C'est normal que ecilis ne soit pas dans le hosts de Ansible ?
[Lzebulon] c'est une machine de test (qui date de ds-ac ?) -> oui
[Hachino] Un peu pareil, thot.adm est dans un sous-groupe non ciblé par prometheus-node-exporter de plays/monitoring.yml.
[Hachino] Un peu pareil, thot.adm est dans un sous-groupe non ciblé par
prometheus-node-exporter de plays/monitoring.yml.
On l'ajoute ou il y a une bonne raison ?
[Hachino] Cas de la ML club-cave-gestion : suppression définitive OK ? (Zéro archive, inactive depuis > 5 ans, accord du seul proprio.) EDIT : nuke.
[Hachino] Mailman, DKIM et abuse@LaPoste.net qui répond vachement vite.
[Hachino] Cas de la ML club-cave-gestion : suppression définitive OK ?
(Zéro archive, inactive depuis > 5 ans, accord du seul proprio.) EDIT : nuke.
[Hachino] Mailman, DKIM et <abuse@LaPoste.net> qui répond vachement vite.
[Lzebulon] Proposer au BDE d'utiliser listmonk.app à la place.
[Hachino] Demande de relecture : https://gitlab.crans.org/nounous/ansible/-/merge_requests/354 (vieille MàJ un peu oubliée des VM surveillées)
[Hachino] Demande de relecture : https://gitlab.crans.org/nounous/ansible/-/merge_requests/355 (update /root/.nanorc)
[Hachino] Horst et Karst c'est qui déjà ? Ils couinent dans #roots/logs mais sont nulle part dans la doc.
[Hachino] Demande de relecture : <https://gitlab.crans.org/nounous/ansible/-/merge_requests/354>
(vieille MàJ un peu oubliée des VM surveillées)
[Hachino] Demande de relecture :
<https://gitlab.crans.org/nounous/ansible/-/merge_requests/355> (update /root/.nanorc)
[Hachino] Horst et Karst c'est qui déjà ? Ils couinent dans #roots/logs mais
sont nulle part dans la doc.
[Lzebulon] ce sont des switch
[Hachino] INFO : port 9100 ouvert sur ecilis.adm. Bon on gagne une alerte sur getty@ttyS0, on peut pas tout avoir. Mais on progresse. EDIT : getty@ttyS0 a été violemment tué, masqué, reset-failed, tout ce qu'on veut. Il va faire un gros dodo.
[Hachino] Les alertes openipmi sont fictives sur les VM ? On peut les tuer à la main, voire dans Ansible ? Apparemment prometheus-node-exporter installe par défaut le paquet openipmi (en tant que paquet recommandé et non dépendance stricte) alors qu'il n'a rien à faire dans nos machines la plupart du temps, on change cette conf ?
[Hachino] Borg et Restic en même temps sur certaines machines : on peut tuer borg VM par VM ? (Ethercalc ou Kenobi par exemple. Sur ft il y est plus vraiment ?)
[Hachino] Alertes AptObsolete : normal de garder du Python 2 pour le Wiki, mais sur des VM comme Gitzly ou routeur-*, c'est vraiment utile ? Idem pour du vieux gcc. On peut supprimer sans crainte ces vieux paquets ?
[Hachino] [cross-post CA] Je peux sortir la CB pour les disques et me faire rembourser par note ? Pitié pour un pauvre sam qui pleure son /sdb. EDIT : en fait on a des disques de rab dans le bureau, certains neufs et emballés.
[Hachino] INFO : port 9100 ouvert sur ecilis.adm. Bon on gagne une alerte sur
getty@ttyS0, on peut pas tout avoir. Mais on progresse.
EDIT : getty@ttyS0 a été violemment tué, masqué, reset-failed, tout ce qu'on veut.
Il va faire un gros dodo.
[Hachino] Les alertes openipmi sont fictives sur les VM ? On peut les tuer
à la main,
voire dans Ansible ? Apparemment prometheus-node-exporter installe par défaut le
paquet openipmi (en tant que paquet recommandé et non dépendance stricte)
alors qu'il n'a rien à faire dans nos machines la plupart du temps,
on change cette conf ?
[Hachino] Borg et Restic en même temps sur certaines machines :
on peut tuer borg VM par VM ? (Ethercalc ou Kenobi par exemple.
Sur ft il y est plus vraiment ?)
[Hachino] Alertes AptObsolete : normal de garder du Python 2 pour le Wiki,
mais sur des VM comme Gitzly ou routeur-*, c'est vraiment utile ?
Idem pour du vieux gcc. On peut supprimer sans crainte ces vieux paquets ?
[Hachino] [cross-post CA] Je peux sortir la CB pour les disques et me faire
rembourser par note ? Pitié pour un pauvre sam qui pleure son /sdb.
EDIT : en fait on a des disques de rab dans le bureau, certains neufs et emballés.
[Hachino] Mamaaaan, tu peux rechiffrer le pass stpééééé ?
[Hachino] Éclat il va bien ? Comment on en prend soin ?
[Hachino] Suggestion : dans Gitlab://Nounous/documentation/services/monitoring, ouvrir qui_est_monitore.md, probablement sous forme de tableau. Ou alors ça fait doublon avec Grafana ? EDIT : apparemment il y a une API pour ça, cool. -->
curl -G http://fyre.adm.crans.org:9090/federate -d 'match[]={__name__!=""}' (puis du grep pour filtrer)
tu peux check sur prometheus, et normalement la reponse theorique c'est tout le monde
[Hachino] Suggestion bis : dans Gitlab://Nounous/documentation/outils/logiciels/backups, ouvrir qui_est_backupé.md. Ne fait pas doublon avec Grafana a priori.
[Lz] normalement sur Grafana, il y a un onglet (au moins pour restic) pour connaitre la dernière backup (a fix, car ca prends juste en compte le dernier lancement du systemd)
[Hachino] INFO : manuel des LED des disques HP ici. https://www.storagepartsdirect.com/spd-blog/what-do-the-indicator-lights-mean-on-hpe-hard-drives/?srsltid=AfmBOorJZuUMdn8oU-09XxHbknL8MnuH9BNEUBZf8eeXNlP1kw72sH9Y. Tl;dr :
Sam : les disques de sam ne sont dans aucun RAID (Off). (sauf qu'en fait si, très probablement, cf les tailles des unités logiques) --> ZFS et pas RAID
Pour sam : ls -l /dev/disk/by-path/ indique très fort que c'est l'emplacement physique n°2 (en bas) qui va pas bien. (57k secteurs ~ 30 Go)
[Hachino] Suggestion : dans Gitlab://Nounous/documentation/services/monitoring,
ouvrir qui_est_monitore.md, probablement sous forme de tableau.
Ou alors ça fait doublon avec Grafana ?
EDIT : apparemment il y a une API pour ça, cool. -->
curl -G <http://fyre.adm.crans.org:9090/federate> -d 'match[]={__name__!=""}'
(puis du grep pour filtrer)
tu peux check sur prometheus, et normalement la reponse theorique c'est tout le
monde
[Hachino] Suggestion bis : dans
Gitlab://Nounous/documentation/outils/logiciels/backups, ouvrir qui_est_backupé.md.
Ne fait pas doublon avec Grafana a priori.
[Lz] normalement sur Grafana, il y a un onglet (au moins pour restic) pour
connaitre la dernière backup (a fix, car ca prends juste en compte le dernier
lancement du systemd)
[Hachino] INFO : manuel des LED des disques HP ici. <https://www.storagepartsdirect.com/spd-blog/what-do-the-indicator-lights-mean-on-hpe-hard-drives/?srsltid=AfmBOorJZuUMdn8oU-09XxHbknL8MnuH9BNEUBZf8eeXNlP1kw72sH9Y>.
Tl;dr :
Sam : les disques de sam ne sont dans aucun RAID (Off).
(sauf qu'en fait si, très probablement, cf les tailles des unités logiques)
--> ZFS et pas RAID
Pour sam : ls -l /dev/disk/by-path/ indique très fort que c'est l'emplacement
physique n°2 (en bas) qui va pas bien. (57k secteurs ~ 30 Go)
Daniel : OK.
Jack : son disque bas est en rebuild permanent (Flashing green).
(odlyd est éteint)
@ -166,128 +135,217 @@ Zamok : OK.
ft : /!\ tous ses disques sont en Do not remove (Solid white)
Thot : /!\ la moitié de ses disques sont en Do not remove
[Hachino] Re-ping d'apf sur nos enregistrements DMARC. Réponse d'attente faite.
Cf https://mxtoolbox.com/emailhealth/crans.org/ aussi
Cf https://community.ovhcloud.com/community/fr/bloc-d-ip-bloques-uceprotectl2-et-uceprotectl3?id=community_question&sys_id=ae025ace91b99e901e11d3d71f8624f4 pour la liste de spammeurs UCEprotectl3 (qui a elle-même mauvaise presse)
Cf https://www.reddit.com/r/networking/comments/1h20b21/blacklisted_by_uceprotectl3_email_deliverability/?show=original aussi
Cf <https://mxtoolbox.com/emailhealth/crans.org/> aussi
Cf <https://community.ovhcloud.com/community/fr/bloc-d-ip-bloques-uceprotectl2-et-uceprotectl3?id=community_question&sys_id=ae025ace91b99e901e11d3d71f8624f4>
pour la liste de spammeurs UCEprotectl3 (qui a elle-même mauvaise presse)
Cf <https://www.reddit.com/r/networking/comments/1h20b21/blacklisted_by_uceprotectl3_email_deliverability/?show=original>
aussi
[Lz] on a dit au précédentes IN que l'on devait le faire
[Hachino] Rezel va soon™ avoir un accès Internet de secours par moji. Est-ce qu'on envisagerait pas de déplacer nos serveurs de secours chez eux plutôt que chez OVH, à terme (pas demain, un jour) ?
[Hachino] Rezel va soon™ avoir un accès Internet de secours par moji.
Est-ce qu'on envisagerait pas de déplacer nos serveurs de secours chez eux plutôt
que chez OVH, à terme (pas demain, un jour) ?
[Hachino] INFO : Reboot manuel de neree (Galène), qui le réclamait.
## Le pass nous les cass'
== Le pass nous les cass' ==
Il manque plein de clés de vieilles nounous pour rechiffrer le pass,
dont certaines qui ne sont plus là depuis... longtemps... très longtemps.
Lyes va envoyer un mail demandant une réponse explicite pour garder les droits
d'accès au pass (sinon, bye bye), avec un délai raisonnable
(fin du mois d'octobre ?).
Il manque plein de clés de vieilles nounous pour rechiffrer le pass, dont certaines qui ne sont plus là depuis... longtemps... très longtemps.
Lyes va envoyer un mail demandant une réponse explicite pour garder les droits d'accès au pass (sinon, bye bye), avec un délai raisonnable (fin du mois d'octobre ?).
## Matrix, Element, QRcode
== Matrix, Element, QRcode ==
Lyes dit qu'il nous manque des .well-known et Element nous crache à la figure quand il ne trouve pas les fichiers. Peut-être qu'ils existent mais pas aux bons endroits du Crans ?
Lyes dit qu'il nous manque des .well-known et Element nous crache à la figure
quand il ne trouve pas les fichiers.
Peut-être qu'ils existent mais pas aux bons endroits du Crans ?
HS : Le lave-linge de Pigeon gagne un à zéro contre Lzebulon, c'est honteux.
Pigeon intervient pour dire que Element X utilise un protocole spécifique et instable, avec plein de mises à jour tout le temps. Quelques tests en direct.
Pigeon intervient pour dire que Element X utilise un protocole spécifique et
instable, avec plein de mises à jour tout le temps. Quelques tests en direct.
Il faudrait regarder dans .well-known/matrix/servier/client (modulo les `s`).
https://crans.org plutôt que crans.org pour Element X ? Là Element X trouve le Crans. Connexion possible ? La redirection Matrix pourrait faire merder ? Le reverse-proxy ? Le .well-known devait être sur crans.org, mais il passe toujours par hodaur. Le premier test lancé essayait well_known au lieu de well-known, dommage, ça marche mieux avec un -.
<https://crans.org> plutôt que crans.org pour Element X ?
Là Element X trouve le Crans. Connexion possible ?
La redirection Matrix pourrait faire merder ? Le reverse-proxy ?
Le .well-known devait être sur crans.org, mais il passe toujours par hodaur.
Le premier test lancé essayait well_known au lieu de well-known, dommage,
ça marche mieux avec un -.
Instant pub XMPP par Pigeon, abrégé par Lzebulon d'autorité.
== Anu[triste] ==
## Anu[triste]
Un ancien adhérent se plaint que sa page perso ne soit plus référencée et plus accessible par des voies non navigables (genre une RasPi). L'idée de faire sauter Anubis pour les pages persos s'élève. Ou alors Anubis uniquement sur les sous-pages strictes de perso.crans.org/{pseudo}, en opt-out pour les adhérents;
Un ancien adhérent se plaint que sa page perso ne soit plus référencée et plus
accessible par des voies non navigables (genre une RasPi).
L'idée de faire sauter Anubis pour les pages persos s'élève.
Ou alors Anubis uniquement sur les sous-pages strictes de perso.crans.org/{pseudo},
en opt-out pour les adhérents.
Décision : enlever Anubis sur perso.crans.org et surveiller régulièrement Grafana (ou reparamétrer Prometheus pour des alertes de trafic élevé).
En parlant de trafic, on est à 32 Mbps de trafic sortant là tout de suite, c'est un peu élevé.
Décision : enlever Anubis sur perso.crans.org et surveiller régulièrement Grafana
(ou reparamétrer Prometheus pour des alertes de trafic élevé).
En parlant de trafic, on est à 32 Mbps de trafic sortant là tout de suite,
c'est un peu élevé.
== Martin Cesbron et sa VM o2c ==
## Martin Cesbron et sa VM o2c
Lyes a fait l'augmentation de quotas, ils ont étendu leur partition avec LVM/fdisk et se sont plantés de partition, nukant leur table LVM au passage. Oups/20. Quelques péripéties avec Lyes en support dans le RER et heureusement une backup des données faite en avance (sur demande expresse de Lyes, qui a eu du flair). Aujourd'hui tout va bien.
Lyes a fait l'augmentation de quotas, ils ont étendu leur partition avec LVM/fdisk
et se sont plantés de partition, nukant leur table LVM au passage. Oups/20.
Quelques péripéties avec Lyes en support dans le RER et heureusement une backup
des données faite en avance (sur demande expresse de Lyes, qui a eu du flair).
Aujourd'hui tout va bien.
== Talbot remonte un souci sur pdf.crans.org (cf #crans) ==
## Talbot remonte un souci sur pdf.crans.org (cf #crans)
Probablement juste une mise à jour de la VM Stirling à faire. Apparemment l'OCR est en erreur.
Probablement juste une mise à jour de la VM Stirling à faire.
Apparemment l'OCR est en erreur.
== Stirling V2 ==
## Stirling V2
https://www.stirling.com/blog/introducing-v2)
<https://www.stirling.com/blog/introducing-v2>
Stirling semble changer son modèle économique, et il n'est plus certain de pouvoir continuer à l'héberger.
Stirling semble changer son modèle économique, et il n'est plus certain de
pouvoir continuer à l'héberger.
C'est peut-être un modèle à la gitlab ? Ou un modèle de service.
Lzebulon pense que c'est plus une histoire de clé (de licence).
Il faudrait voir la v2, qui semble introduire des fonctionnalités qu'on ne voudrait pas de toute façon.
Il faudrait voir la v2, qui semble introduire des fonctionnalités
qu'on ne voudrait pas de toute façon.
== Mises à jour ==
## Mises à jour
Tellement de VM Nix à mettre à jour. Il faudrait le faire.
== Vincent Lafeychine a trouvé un fix sur la timezone de l'imprimante, yapluka merge. ==
## Vincent Lafeychine a trouvé un fix sur la timezone de l'imprimante, yapluka merge
Aurore règle maintenant les problèmes du Crans, incroyable. Hachino a traquenardé Vincent pour le faire, ils sont humblement remerciés pour leurs services.
Aurore règle maintenant les problèmes du Crans, incroyable.
Hachino a traquenardé Vincent pour le faire, il est humblement remercié pour ses
services.
Il faudra tester le fix, en gros des modules de timezone ont changé de nom.
Lzebulon push de vieux merges, on attend qu'il finisse.
== On a clairement ignoré la demande dovecotesque de eljj ==
## On a clairement ignoré la demande dovecotesque de eljj
Oui.
== Les factures de re2o d'inscriptions sont mal formées et ont un décalage d'une colonne ==
## Les factures de re2o d'inscriptions sont mal formées
Django envoie une apostrophe, l'échappe, le transforme en &amp;, sauf que le fichier de destination est un latex, et donc ça fait un décalage bizarre. On pourrait faire ça en modifiant le template. Le CT acquiesce.
Elles ont un décalage d'une colonne.
== INFOs en vrac ==
[Hachino] INFO : réparation de smartmontools, qui devrait arrêter de pleurer dans #roots/logs
Il fallait éditer /etc/smartd.conf pour lui dire exactement comment accéder au disque (à cause du Smart Array d'HP)
[Hachino] INFO : réparation de l'unit systemd pour logrotate et nginx sur owncloud. Lui aussi pleurera moins.
Résumé : un reliquat de conf qui appelait un script mort dans /etc/logrotate.d/{nginx, owncloud}.
[Lzebulon] Mailman couine(ait ?) tout fort. Suppression d'un mail pourri vers un domaine mort. Espoir de résolution. EDIT : le silence.
[Hachino] INFO : Modif de la conf journal de Jitsi, avec hardlimit à 500M de logs (au lieu de 1,5G sinon). Constat : Prosody est *très* verbeux. Trop.
Django envoie une apostrophe, l'échappe, le transforme en &amp;, sauf que le
fichier de destination est un latex, et donc ça fait un décalage bizarre.
On pourrait faire ça en modifiant le template. Le CT acquiesce.
## INFOs en vrac
[Hachino] INFO : réparation de smartmontools, qui devrait arrêter de pleurer
dans #roots/logs
Il fallait éditer /etc/smartd.conf pour lui dire exactement comment accéder au
disque (à cause du Smart Array d'HP)
[Hachino] INFO : réparation de l'unit systemd pour logrotate et nginx sur owncloud.
Lui aussi pleurera moins.
Résumé : un reliquat de conf qui appelait un script mort dans
/etc/logrotate.d/{nginx, owncloud}.
[Lzebulon] Mailman couine(ait ?) tout fort. Suppression d'un mail pourri vers un
domaine mort. Espoir de résolution. EDIT : le silence.
[Hachino] INFO : Modif de la conf journal de Jitsi, avec hardlimit à 500M de logs
(au lieu de 1,5G sinon). Constat : Prosody est *très* verbeux. Trop.
[Hachino] INFO : isc-dhcp-server demandait juste à être restart sur sam.
À changer un jour par son remplaçant (déprécié)
[Hachino] INFO : networking.service sur en7 est réparé.
Un vieux fichier écrit à la main par une ancienne nounou était en conflit avec celui géré par Ansible (même IP, même gateway) et le fichier Ansible n'avait pas de ifstate. Une archive se trouve dans /root/*.bak
Un vieux fichier écrit à la main par une ancienne nounou était en conflit avec
celui géré par Ansible (même IP, même gateway) et le fichier Ansible n'avait pas
de ifstate. Une archive se trouve dans /root/*.bak
Touche ens19 et ens20, voir ce que ça fait côté Ansible pour le long terme ?
Je purge #roots/logs (quand c'est possible) et c'est ma joie.
[Hachino] C'est normal que ecilis ne soit pas dans le hosts de Ansible ?
[Lzebulon] c'est une machine de test (qui date de ds-ac ?) -> oui
[Hachino] Un peu pareil, thot.adm est dans un sous-groupe non ciblé par prometheus-node-exporter de plays/monitoring.yml.
[Hachino] Un peu pareil, thot.adm est dans un sous-groupe non ciblé par
prometheus-node-exporter de plays/monitoring.yml.
On l'ajoute ou il y a une bonne raison ?
[Hachino] Cas de la ML club-cave-gestion : suppression définitive OK ? (Zéro archive, inactive depuis > 5 ans, accord du seul proprio.) EDIT : nuke.
[Hachino] Mailman, DKIM et abuse@LaPoste.net qui répond vachement vite.
[Hachino] Cas de la ML club-cave-gestion : suppression définitive OK ?
(Zéro archive, inactive depuis > 5 ans, accord du seul proprio.) EDIT : nuke.
[Hachino] Mailman, DKIM et <abuse@LaPoste.net> qui répond vachement vite.
[Lzebulon] Proposer au BDE d'utiliser listmonk.app à la place.
[Lyes] Proposer au BDE d'arrêter d'utiliser gmail en général.
[Hachino] Explication probable : Mailman modifie l'objet/le header/le footer et la signature DKIM devient invalide. Le problème est certianement connu, il faut aller lire la doc de Mailman. Cf https://wiki.list.org/DEV/DKIM
[Hachino] Demande de relecture : https://gitlab.crans.org/nounous/ansible/-/merge_requests/354 (vieille MàJ un peu oubliée des VM surveillées)
[Hachino] Demande de relecture : https://gitlab.crans.org/nounous/ansible/-/merge_requests/355 (update /root/.nanorc)
[Hachino] Horst et Karst c'est qui déjà ? Ils couinent dans #roots/logs mais sont nulle part dans la doc.
[Lzebulon] ce sont des switchs. Horst est branché, Karst probablement remplacé par Rodney (à vérifier).
[Hachino] INFO : port 9100 ouvert sur ecilis.adm (prometheus-node-exporter). Bon on gagne une alerte sur getty@ttyS0, on peut pas tout avoir. Mais on progresse. EDIT : getty@ttyS0 a été violemment tué, masqué, reset-failed, tout ce qu'on veut. Il va faire un gros dodo.
[Hachino] Les alertes openipmi sont fictives sur les VM ? On peut les tuer à la main, voire dans Ansible ? Apparemment prometheus-node-exporter installe par défaut le paquet openipmi (en tant que paquet recommandé et non dépendance stricte) alors qu'il n'a rien à faire dans nos machines la plupart du temps, on change cette conf ?
[Hachino] Explication probable : Mailman modifie l'objet/le header/le footer
et la signature DKIM devient invalide.
Le problème est certianement connu, il faut aller lire la doc de Mailman.
Cf <https://wiki.list.org/DEV/DKIM>
[Hachino] Demande de relecture : <https://gitlab.crans.org/nounous/ansible/-/merge_requests/354>
(vieille MàJ un peu oubliée des VM surveillées)
[Hachino] Demande de relecture : <https://gitlab.crans.org/nounous/ansible/-/merge_requests/355>
(update /root/.nanorc)
[Hachino] Horst et Karst c'est qui déjà ? Ils couinent dans #roots/logs
mais sont nulle part dans la doc.
[Lzebulon] ce sont des switchs. Horst est branché, Karst probablement
remplacé par Rodney (à vérifier).
[Hachino] INFO : port 9100 ouvert sur ecilis.adm (prometheus-node-exporter).
Bon on gagne une alerte sur getty@ttyS0, on peut pas tout avoir.
Mais on progresse. EDIT : getty@ttyS0 a été violemment tué, masqué, reset-failed,
tout ce qu'on veut. Il va faire un gros dodo.
[Hachino] Les alertes openipmi sont fictives sur les VM ?
On peut les tuer à la main, voire dans Ansible ?
Apparemment prometheus-node-exporter installe par défaut le paquet openipmi
(en tant que paquet recommandé et non dépendance stricte) alors qu'il n'a rien à
faire dans nos machines la plupart du temps, on change cette conf ?
"C'est possible."
[Hachino] Borg et Restic en même temps sur certaines machines : on peut tuer borg VM par VM ? (Ethercalc ou Kenobi par exemple. Sur ft il y est plus vraiment ?)
[Pigeon] L'idée était de faire tester Restic aux gens et de laisser les géns suivantes décider du meilleur outil. Un problème avec Restic pour le Crans : Restic ne backup pas lui-même les BDD pgsql, Borg si. Idée : déployer sur tealc un cron/timer systemd qui va backup les BDD "à la main" et Restic se charge du reste. Pourquoi ? Parce qu'un SGBD ne fonctionne pas avec juste des fichiers et des dossiers et Restic ne comprend que les fichiers/dossiers basiques.
[Lzebulon] Et Plakar ? Pas mal hein, c'est français. :fr: C'est le même mec qui a fait opensmtpd.
[Pigeon] Le logo mignon vaut +1 d'office. Mais ne semble pas supporter pgsql (mais caldav et stdio si, parce que pourquoi pas).
[Hachino] Alertes AptObsolete : normal de garder du Python 2 pour le Wiki, mais sur des VM comme Gitzly ou routeur-*, c'est vraiment utile ? Idem pour du vieux gcc. On peut supprimer sans crainte ces vieux paquets ? sudo apt remove '~o'
[Hachino] Borg et Restic en même temps sur certaines machines : on peut tuer borg
VM par VM ? (Ethercalc ou Kenobi par exemple. Sur ft il y est plus vraiment ?)
[Pigeon] L'idée était de faire tester Restic aux gens et de laisser les géns
suivantes décider du meilleur outil.
Un problème avec Restic pour le Crans : Restic ne backup pas lui-même les BDD pgsql,
Borg si. Idée : déployer sur tealc un cron/timer systemd qui va backup les BDD
"à la main" et Restic se charge du reste.
Pourquoi ? Parce qu'un SGBD ne fonctionne pas avec juste des fichiers et des dossiers
et Restic ne comprend que les fichiers/dossiers basiques.
[Lzebulon] Et Plakar ? Pas mal hein, c'est français. :fr:
C'est le même mec qui a fait opensmtpd.
[Pigeon] Le logo mignon vaut +1 d'office. Mais ne semble pas supporter pgsql
(mais caldav et stdio si, parce que pourquoi pas).
[Hachino] Alertes AptObsolete : normal de garder du Python 2 pour le Wiki,
mais sur des VM comme Gitzly ou routeur-*, c'est vraiment utile ?
Idem pour du vieux gcc. On peut supprimer sans crainte ces vieux paquets ?
sudo apt remove '~o'
Après l'avoir fait Gulp pour voir, on dirait que oui. Youpi.
On enchaîne avec Kenobi, Stitch, Daniel, Jack, Sam.
On épargne Gitzly le temps de faire les migrations pgsql (un jour).
Sur Zamok, apt a marqué comme obsolète la version du kernel actuellement en prod. WTF. Abort mission (au milieu, certains paquets ont été enlevés).
[Hachino] [cross-post CA] Je peux sortir la CB pour les disques et me faire rembourser par note ? Pitié pour un pauvre sam qui pleure son /sdb. EDIT : en fait on a des disques de rab dans le bureau, certains neufs et emballés. --> Point à ignorer.
Sur Zamok, apt a marqué comme obsolète la version du kernel actuellement en prod.
WTF. Abort mission (au milieu, certains paquets ont été enlevés).
[Hachino] [cross-post CA] Je peux sortir la CB pour les disques et me faire
rembourser par note ? Pitié pour un pauvre sam qui pleure son /sdb.
EDIT : en fait on a des disques de rab dans le bureau, certains neufs et emballés.
--> Point à ignorer.
[Hachino] Mamaaaan, tu peux rechiffrer le pass stpééééé ? --> Cf plus haut.
[Hachino] Éclat il va bien ? Comment on en prend soin ? Oui pour l'instant. EDIT : en post-IN, Lzebulon a tenté de lancer un ftpsync à la main, bah c'est long son daron.
[Hachino] Suggestion : dans Gitlab://Nounous/documentation/services/monitoring, ouvrir qui_est_monitore.md, probablement sous forme de tableau. Ou alors ça fait doublon avec Grafana ? EDIT : apparemment il y a une API pour ça, cool. -->
curl -G http://fyre.adm.crans.org:9090/federate -d 'match[]={__name__!=""}' (puis du grep pour filtrer)
tu peux check sur prometheus/Grafana, et normalement la reponse theorique c'est tout le monde
[Hachino] Suggestion bis : dans Gitlab://Nounous/documentation/outils/logiciels/backups, ouvrir qui_est_backupé.md. Ne fait pas doublon avec Grafana a priori.
[Lz] normalement sur Grafana, il y a un onglet (au moins pour restic) pour connaitre la dernière backup (a fix, car ca prends juste en compte le dernier lancement du systemd)
Les fichiers adhérents sont backup une fois par semaine et pas une fois par jour comme le reste de l'infra. Après vérif, il y a un dash Grafana pour Restic, mais pas pour Borg. Ça peut être une idée de le faire.
[Hachino] INFO : manuel des LED des disques HP ici. https://www.storagepartsdirect.com/spd-blog/what-do-the-indicator-lights-mean-on-hpe-hard-drives/?srsltid=AfmBOorJZuUMdn8oU-09XxHbknL8MnuH9BNEUBZf8eeXNlP1kw72sH9Y. Tl;dr :
Sam : les disques de sam ne sont dans aucun RAID (Off). (sauf qu'en fait si, très probablement, cf les tailles des unités logiques) --> ZFS et pas RAID
Pour sam : ls -l /dev/disk/by-path/ indique très fort que c'est l'emplacement physique n°2 (en bas) qui va pas bien. (57k secteurs ~ 30 Go)
[Hachino] Éclat il va bien ? Comment on en prend soin ? Oui pour l'instant.
EDIT : en post-IN, Lzebulon a tenté de lancer un ftpsync à la main,
bah c'est long son daron.
[Hachino] Suggestion : dans Gitlab://Nounous/documentation/services/monitoring,
ouvrir qui_est_monitore.md, probablement sous forme de tableau.
Ou alors ça fait doublon avec Grafana ?
EDIT : apparemment il y a une API pour ça, cool. -->
curl -G <http://fyre.adm.crans.org:9090/federate> -d 'match[]={__name__!=""}'
(puis du grep pour filtrer)
tu peux check sur prometheus/Grafana, et normalement
la reponse theorique c'est tout le monde
[Hachino] Suggestion bis : dans Gitlab://Nounous/documentation/outils/logiciels/backups,
ouvrir qui_est_backupé.md. Ne fait pas doublon avec Grafana a priori.
[Lz] normalement sur Grafana, il y a un onglet (au moins pour restic)
pour connaitre la dernière backup (a fix, car ca prends
juste en compte le dernier lancement du systemd)
Les fichiers adhérents sont backup une fois par semaine et pas une fois par jour
comme le reste de l'infra.
Après vérif, il y a un dash Grafana pour Restic,
mais pas pour Borg. Ça peut être une idée de le faire.
[Hachino] INFO : manuel des LED des disques HP ici. <https://www.storagepartsdirect.com/spd-blog/what-do-the-indicator-lights-mean-on-hpe-hard-drives/?srsltid=AfmBOorJZuUMdn8oU-09XxHbknL8MnuH9BNEUBZf8eeXNlP1kw72sH9Y>.
Tl;dr :
Sam : les disques de sam ne sont dans aucun RAID (Off). (sauf qu'en fait si,
très probablement, cf les tailles des unités logiques) --> ZFS et pas RAID
Pour sam : ls -l /dev/disk/by-path/ indique très fort que c'est l'emplacement
physique n°2 (en bas) qui va pas bien. (57k secteurs ~ 30 Go)
Daniel : OK.
Jack : son disque bas est en rebuild permanent (Flashing green).
(odlyd est éteint)
@ -297,13 +355,29 @@ Zamok : OK.
ft : /!\ tous ses disques sont en Do not remove (Solid white)
Thot : /!\ la moitié de ses disques sont en Do not remove
[Hachino] Re-ping d'apf sur nos enregistrements DMARC. Réponse d'attente faite.
Cf https://mxtoolbox.com/emailhealth/crans.org/ aussi
Cf https://community.ovhcloud.com/community/fr/bloc-d-ip-bloques-uceprotectl2-et-uceprotectl3?id=community_question&sys_id=ae025ace91b99e901e11d3d71f8624f4 pour la liste de spammeurs UCEprotectl3 (qui a elle-même mauvaise presse)
Cf https://www.reddit.com/r/networking/comments/1h20b21/blacklisted_by_uceprotectl3_email_deliverability/?show=original aussi
Cf <https://mxtoolbox.com/emailhealth/crans.org/> aussi
Cf <https://community.ovhcloud.com/community/fr/bloc-d-ip-bloques-uceprotectl2-et-uceprotectl3?id=community_question&sys_id=ae025ace91b99e901e11d3d71f8624f4>
pour la liste de spammeurs UCEprotectl3
(qui a elle-même mauvaise presse)
Cf <https://www.reddit.com/r/networking/comments/1h20b21/blacklisted_by_uceprotectl3_email_deliverability/?show=original>
aussi
[Lz] on a dit au précédentes IN que l'on devait le faire
Lyes : J'ai installé un serveur mail récemment, je suis chaud pour m'y sacrifier. --> On va le faire juste après l'IN. Lzebulon l'a fait, avec postmaster@crans.org en mail de contact (rua=). Moins de cinq minutes plus tard, MXToolbox voit déjà les modifs, dnschecker idem.
[Hachino] Rezel va soon™ avoir un accès Internet de secours par moji. Est-ce qu'on envisagerait pas de déplacer nos serveurs de secours chez eux plutôt que chez OVH, à terme (pas demain, un jour) ?
[Lyes] Sinon en interENS avec la DGNum, Aliens et Sinfonie, comme discuté plus haut ? Surtout la DGNum, ça reste relativement proche pour une intervention sur place et indépendant en cas de pépin localisé. Rezel est un peu trop proche et corrélée au Crans. D'ailleurs, Sinfonie est intéressée par ce projet (ils viennent de faire leur "passation mail" et de répondre à un mail du 6 juin de Lyes le 17 septembre). Concours de qui laisse traîner le mail le plus longtemps ?
Lyes : J'ai installé un serveur mail récemment, je suis chaud pour m'y sacrifier.
--> On va le faire juste après l'IN. Lzebulon l'a fait, avec <postmaster@crans.org>
en mail de contact (rua=). Moins de cinq minutes plus tard,
MXToolbox voit déjà les modifs, dnschecker idem.
[Hachino] Rezel va soon™ avoir un accès Internet de secours par moji.
Est-ce qu'on envisagerait pas de déplacer nos serveurs de secours chez eux plutôt
que chez OVH, à terme (pas demain, un jour) ?
[Lyes] Sinon en interENS avec la DGNum, Aliens et Sinfonie, comme discuté plus
haut ?
Surtout la DGNum, ça reste relativement proche pour une intervention sur place et
indépendant en cas de pépin localisé. Rezel est un peu trop proche et corrélée
au Crans.
D'ailleurs, Sinfonie est intéressée par ce projet (ils viennent de faire leur "passation
mail" et de répondre à un mail du 6 juin de Lyes le 17 septembre). Concours de
qui laisse
traîner le mail le plus longtemps ?
[Hachino] INFO : Reboot manuel de neree (Galène), qui le réclamait. Ok.
Clôture de l'IN.

128
compte_rendus/2025_10_19_CA.md 100644
View File

@ -0,0 +1,128 @@
# Réunion CA
* Date : Dimanche 19 octobre 2025
* Lieu : MB87 et Galène
* Début : 14h18
* Fin : 14h44
## Votant⋅es
GaBo
Lyes
Ohime
Pyjacpp
RDB
Rigobert (à distance, par écrit)
## Non-votant⋅es
Hachino
Luto
Lzebulon
Ordre du jour
[LENS] LENS veut une VM pour une BDD Postgresql
[Hachino] [cross-post IN] Je peux sortir la CB pour les disques
et me faire rembourser par note ?
Pitié pour un pauvre sam qui pleure son /sdb.
EDIT : en fait on a des disques de rab dans le bureau, certains neufs et emballés.
[Hachino] Bilan des points du CA précédent :
rachat de l'onduleur (et prix),
récupération du don par Lyes et RDB, Aurore, serveur photos, séminaires.
## Rachats des des disques
On a trouvé des disques neufs, on pourrait se trouver devant les serveurs
et essayer de changer les disques. Ça se fera à Noël.
## Nouvelles de la banque
La SoGé répond toujours pas aux relances.
Ça va finir en appel direct et/ou plantage physique dans l'agence
pour avoir un rendez-vous. Suivi d'un changement de banque pour incompétence notoire.
## LENS veut une VM pour une BDD Postgresql
L[ENS] a déjà un serveur physique, le serveur photos,
qui est "une patate littérale au niveau des perfs" (dixit Lyes).
La BDD servirait à contenir les métadonnées (tel bout de clip dure tant
et va à tel endroit dans la vidéo) avant le montage.
Demande peu de puissance, peu d'échange de données,
donc Aurore tranquille sur l'usage de la bande passante.
Lzebulon se demande pourquoi ça ne passerait pas sur leur serveur.
Lyes répond par une patate.
Et ça leur ferait un deuxième point de données hors de leur serveur principal.
Le serveur photos est jugé important pour l'ENS (sa vie associative) et la VM
consommerait peu d'espace et de ressources.
L'argument de la puissance (patate) paraît bancal à plusieurs membres,
peut-être que L[ENS] surestime la puissance des serveurs du Crans.
Proposition : accord de principe du CA, mais le CT n'ouvre la VM qu'après des
vérifications techniques sur cette histoire de puissance (légitimité des raisons
de L[ENS]).
Pour : Unanimité
Contre : 0
Abstention : 0
## Retour sur les points du CA précédent
## Onduleur
Le prix proposé était beaucoup trop élevé, Son&Lum[ENS] nous a rembarrés.
Une partie de l'onduleur ne fonctionne pas (il est très vieux, même si neuf).
Leur proposer un objet neuf, au prix du neuf, avec une feature essentielle qui
marche pas est un peu abusé de notre part.
Ils proposent 80 € à la place.
En gros, le lissage de courant marcherait et pas la batterie. Ou l'inverse.
Lyes n'est pas sûr du tout.
Ou la batterie aurait une réserve très faible (trop peu).
Cette option est crédible compte tenu de l'âge de l'onduleur, même inutilisé.
GaBo aimerait avoir les détails sur la ML bureau.
Lyes les a eus à l'oral, mais va redemander les détails.
Proposition : vote d'un accord de principe sur une vente au nouveau prix de 80 €,
après avoir rediscuté des détails des défauts de l'onduleur avec S&L.
Pour : Unanimité
Contre : 0
Abstention : 0
## Voyage voyage
Lyes et RDB se sont frappés le trajet jusqu'à Gare du Ch'Nord pour
récupérer le don.
On les remercie, mais le type ne s'est pas pointé.
Lyes et RDB ont attendu pour rien.
Le rendez-vous n'a pas été confirmé de manière totalement certaine,
sans doute une erreur.
Malgré le spam de mails en direct, le monsieur n'a jamais été retrouvé.
Tristesse en ce jour.
Pas de bol du jour : le RER E, par lequel le monsieur devait arriver,
avait un problème majeur.
## Aurore et réunion bipartite
La réunion n'a pas eu lieu, pas encore. Promis, soon.™ Lzebulon relance
Vincent la semaine prochaine, son install partie est arrivée.
## Serveur photos=
Déjà traité.
## Séminaires
N'existent pas. Pas vraiment de volontaires. GaBo a dû quitter la réunion CA,
mais il va peut-être réussir à obtenir des salles de TP des EEA pour des
séminaires avec pratique.
Lyes va peut-être faire la demande pour la salle de séminaire habituelle.
## Questions diverses
RDB a une remarque diverse. Les impôts ont été payés entièrement.
Ploplodir. Et pas d'amende (j'ai envie d'un gâteau aux amandes).
(si on me met nounou je ramène un gâteau aux amendes) (chiche)
Clôture du CA.

578
compte_rendus/2025_11_29.md
View File

@ -1,257 +1,96 @@
= Réunion CA =
# Réunion IN
* Date : Samedi 29 novembre 2025
* Lieu : MB87 et Galène
* Début : 14h10
* Fin : 15h56
=== Votant⋅es ===
GaBo
Lyes
Ohime
Pyjacpp
RDB
=== Non-votant⋅es ===
Hachino
Lzebulon
Pigeon
Themlaw (Tuxae, président)
Ordre du Jour :
[Hachino] [cross-post IN] Tuxae aurait besoin d'un rebond pour router du trafic depuis/vers un Keycloak interne. On leur file une petite VM (et un compte) ?
[Lzebulon] Un séminaire avant Noel ? Sur les mails ? :eyes:
[Gabo] Les EEA en TP d'info Cranseux
[Lzebulon] il etait une fois la banque
[Lyes] Interfer[ENS] et nos locaux
Mise au vote : le Crans accepte-il de partager tout ou partie de ses locaux (notamment son bureau ou la SQ39) avec un club BDE ?
[Lzebulon] reponse DPAT/DSI, 2 coupures ?
perso, pas eu de reponse a mon mail :(
on a eu une reponse
[Lzebulon] vote AG federez, mandat
[Lyes] Vote sur l'octroi de chocolats à Valérie Iognot-Prat (respo accès de l'ENS, à qui on doit un service). Budget proposé : 30 €.
[Lzebulon] calendrier de l'Avent
[Pyjac] Une petite fête "publique" pour célébrer l'arrivée des 2U le 8 décembre ? (Si on trouve une voiture et des bras pour les ramener.)
Proposition : un budget chocolats/douceurs de 30€ pour remercier le prêteur de Titine si il existe (oui !)
En fait, quitte à farmer les chocolats, pourquoi ne pas instaurer un budget renouvelable dédié "aux amis du Crans" ? Une caisse noire, au lait ou blanche, c'est selon. :D Dans l'idée, on en discute vite fait sur Matrix/IRC hors CA, on achète rapidement et on valide a posteriori au prochain CA. Un truc du genre. Ça permet d'être plus rapide/réactif.
[Lzebulon] identite visuel des apps du crans
[Lyes] Récupération de serveurs
== Tuxae aurait besoin d'un rebond pour router du trafic depuis/vers un Keycloak interne. On leur file une petite VM (et un compte) ? ==
Themlaw:
Connecter un des services de Tuxae avec un des services de l'IDP. Pas d'accès à la machine en privé.
Problème, on est derrière avec le même firewall: besoin d'un bridge avec les deux réseaux. Pas de réponse de la DSI [NdH : ils sont perpétuellement sous l'eau, pour changer.].
Besoin d'une VM pour avoir un rebond pour que la requête passe par l'extérieur.
Lz: seulement besoin d'un compte zamok. Se servir de zamok comme proxy.
Pigeon: besoin de maintenir le pont ssh.
Themlaw: Seulement une solution temporaire
Proposition : Le CA du CRANS accepte l'ouverture d'un compte / d'une VM gratuitement pour Tuxae
Pour : 5
Contre : 0
Abstention : 0
== Un séminaire avant Noel ? Feat. les EEA ==
Pas de 1A à embrigader.
Gabo veut faire un séminaire (probablement pas avant les vacances).
Va voir auprès des Saphire et des infoteux.
Lancer un cycle de séminaire (janvier à mars) à la rentrée.
Demander à Laure pour la comm (what'sapp et instagram).
Gabo est dans le coin sur cette période. GaBo a obtenu la salle de TP d'info des EEA, tous les accords sont là, faut "juste" orga les séminaires.
Séminaires:
SSH/bash (base linux) : GaBo
réseau : GaBo (possiblement long à préparer)
R/python (R est ciblé SHS) :
typst/latex : Lyes, Antonin, RDB (Typst uniquement),
mails : Antonin?
opensource/libre: Lyes???
Lzebulon propose de faire un séminaire la semaine du 5-10 janvier (il sera à Paris).
== calendrier de l'Avent ==
Faire un calendrier pour faire de la comm et présenter les services.
25ème case : annonce des séminaires
Cases sur le pad, hésitez pas à remplir/contribuer aux descriptions https://pad.crans.org/p/calendrier-avant-2025.
Faire une affiche
== il etait une fois la banque ==
Ça n'avance pas. RDB a filé les docs. Ça prend du temps. (le dossier est en Roumanie). On attend une réponse de la SoGé.
Peut faire le virement en agence.
Changement de banque? Banque postale ? Caisse d'épargne ?
Normalement, on n'a pas besoin d'aller sur place.
Aurore a changé, edit: n'a pas changé de banque (car ça coûte pas cher).
On peut commencer à faire les virements, on doit faire une liste.
Faudra ptet rembourser ds-ac du coup (ça fait qu'un an), il avait payé le RIPE. Implying le ping pour avoir RIB et montant. Voir Korenst1 aussi.
== Interfer[ENS] et nos locaux ==
Nouveau club BDE pour faire de la radio amateur (font joujou avec une antenne).
Besoin de locaux, ils demandent de squatter "chez nous". Vibe similaire.
Problème, le BDE n'a pas accès à nos locaux (et on ne veut pas).
LZ: l'ENS se débrouille ?
Double liste d'accès.
Gabo: Situation qui risque de se dégrader.
Abidos est radioamateur et pousse à fond le projet. Point à prendre en compte.
Gabo: ok pour venir squatter, mais c'est les nounous qui ouvrent.
Lyes: 1 badge pour interferens, tous les nounous via le badge à la sécu.
RDB: Demander plus d'accès.
Lyes: Pas accès via le BDE, mais via le CRANS qui donne les accès.
Gabo: dans la convention d'occupation, accès seulement aux membres CA ou CT.
Lyes : quand j'envoie les demandes d'accès à la DPAT, je donne juste une liste de noms, sans préciser les rôles des gens.
LZ: La MB87 est un bureau partagé. L'ENS gère. Problème si le club demande, le BDE peut ouvrir :(.
Gabo: pour des raisons juridique, si un club BDE a accès, les présidents aussi (au moins).
Proposition : le Crans accepte-il de partager son bureau (uniquement la MB87) avec un club BDE ?
Solutions possibles:
Interfer[ENS] Club BDE + le CRANS qui donne les accès
Le CRANS perd des accès + problèmes juridique ?
Interfer[ENS] Club BDE + le BDE demande
Le BDE a accès à la Mb87
Interfer[ENS] Club Crans
Il faut des clubs Crans, et le statut radioamateur, n'est pas simple.
Interfer[ENS] = Crans
Mélange compliqué, ça mets en commun les problèmes des deux camps.
Hachino: pas sans convention (moyen facile de jouer la montre), refus net des accès au bureau BDE, en profiter pour jouer sur l'augmentation du nombre d'accès
Lyes et RDB: aller voir la DPAT
Le matériel, l'accès réseau par la prise murale sont des arguments pour refuser.
Le plus simple serait de dire "non" à Interfer[ENS], en espérant tuer le problème dans l'oeuf.
Pyjac : intégrer complètement les gens d'Interfer[ENS] au Crans ?
⇒ Aller demander à la DPAT pour voir ce que l'on peut mettre en place. Si pas de solution, ou pas de solution viable pour nous, ça sera non.
Deux seules solutions ? :
Si c'est un club BDE : très compliqué à mettre en place
Exception pour le local BDE/CRANS
Merge avec le CRANS ?
Asso à part ?
== Problèmes des accès ==
La procédure change tout le temps.
Pendant « l'incident ». Les personnes de l'ancienne liste ont été remplacées par la nouvelle liste.
On a 4 (quatre) noms sur la liste. GaBo/Pyjac/Lyes/Lzebulon. C'est pas beaucoup.
Problème des personnes parties de l'ENS. Choix de la part de Lyes par volonté de la DPAT.
La DPAT semble vérifier de près que les gens sur les listes ne sont plus à l'ENS. Chiant/20 un peu. Ils vérifient jusqu'aux anciens élèves, Lyes a eu le cas à la passation (Vanille, ds-ac).
Échange de mails Lyes/DAJ sur la convention, qui a fini en ghosting par la DAJ, constamment sous l'eau. L'histoire se répète.
⇒ Avoir une convention plus solide
== reponse DPAT/DSI, 2 coupures ==
La DPAT s'excuse, elle a noté notre contact.
== vote AG federez, mandat ==
AG de federez maintenant.
Proposition : Le CA mandate Lzebulon pour voter
Pour : 5
Contre : 0
Abstention : 0
== Vote sur l'octroi de chocolats à Valérie Iognot-Prat (respo accès de l'ENS, à qui on doit un service). Budget proposé : 30 €. ==
Proposition : Le CA accepte d'acheter des chocolats à Valérie Iognot-Prat (respo accès de l'ENS, à qui on doit un service). Budget proposé : 15 €
Pour : 5
Contre : 0
Abstention : 0
== [Lyes] Récupération de serveurs ==
== Une petite fête "publique" (célébration, comm', montrer que le Crans vit et existe, visite de la salle serveurs à qui veut) pour célébrer l'arrivée des 2U le 8 décembre ? (Si on trouve une voiture et des bras pour les ramener.) ==
Proposition : un budget chocolats/douceurs de 15€ pour remercier le prêteur de Titine si il existe (oui !) --> Baptiste "Vallée", Pyjac a le permis (camarades de promo)
En fait, quitte à farmer les chocolats, pourquoi ne pas instaurer un budget renouvelable dédié "aux amis du Crans" ? Une caisse noire, au lait ou blanche, c'est selon. :D Dans l'idée, on en discute vite fait sur Matrix/IRC hors CA, on achète rapidement et on valide a posteriori au prochain CA. Un truc du genre. Ça permet d'être plus rapide/réactif.
Proposition : Le CA accepte d'acheter des chocolats à Baptiste Vallée (pour la voiture). Budget proposé : 15 €
Pour : 5
Contre : 0
Abstention : 0
== identite visuel des apps du crans ==
Identité visuelle très disparate.
La DINUM a un thème commun.
Essayer d'avoir un thème commun (couleurs)
Enlever les logos de juin ? oui
= Réunion IN =
* Date : Samedi 29 novembre 2025
* Lieu : MB87 et Galène
* Début : 15h58
* Fin : 17h45
* Date : Samedi 29 novembre 2025
* Lieu : MB87 et Galène
* Début : 15h58
* Fin : 17h45
Ordre du jour :
[Hachino] [cross-post CA] Tuxae aurait besoin d'un rebond pour router du trafic depuis/vers un Keycloak interne. On leur file une petite VM (et un compte) ?
[Hachino] [cross-post CA] Tuxae aurait besoin d'un rebond pour router du trafic
depuis/vers un Keycloak interne. On leur file une petite VM (et un compte) ?
GÂTEAU !
[Hachino] Planification de la migration de Tealc (Ses BDD ont pas l'air en super forme ces derniers temps.)
Trouver une date où les nounous sont présentes physiquement (au moins en partie) et où la coupure de services va pas trop gêner les gens.
Prévenir les adhérents assez lontemps à l'avance (> 2 semaines), avec des relances sur différents canaux.
[Hachino] Planification de la migration de Tealc
(Ses BDD ont pas l'air en super forme ces derniers temps.)
Trouver une date où les nounous sont présentes physiquement (au moins en partie)
et où la coupure de services va pas trop gêner les gens.
Prévenir les adhérents assez lontemps à l'avance (> 2 semaines), avec des
relances sur différents canaux.
Couper les services, dist-upgrade Tealc, upgrade PGSQL et migrer les bases.
Prier pour que tout redémarre normalement. (C'est faux. Prévoir quelques heures de rab.)
Prier pour que tout redémarre normalement. (C'est faux. Prévoir quelques heures
de rab.)
On en profite pour mass reboot les VM qui le réclament ? EDIT : mdr la coupure.
[Hachino] INFO : Fix pipeline django-printer. Au revoir Python 3.9.
D'ailleurs, faudrait faire quelque chose pour appliquer les changements ? Redéployer helloworld ?
D'ailleurs, faudrait faire quelque chose pour appliquer les changements ?
Redéployer helloworld ?
Done (dans la douleur), avec l'aide de Lzebulon
[Hachino] Le retour des mails
[LaPoste/PEB] Et si on demandait à Mailman3 d'écraser les signatures avant la sienne ?
Dans notre record SPF (dig TXT crans.org) on fait référence à l'IP *.79.38, or Redisdead est sur *.79.39. Le DMARC report de Microsoft/Outlook du 21/10 à 05h32 mentionne des fails DKIM sur certains mails envoyés par .79.39, mais pas tous. J'ai raté quoi ?
Dans le même genre, cf le rapport de fastmail.com le 23/10 à 05h20, source ip en *.79.40 (= Mailman)
Visiblement des gens randoms aiment bien tenter de nous spoof (jcom.zaq.ne.jp 06/11 17h41).
En parlant de mails et de spams, askip le non-delivery report systématique c'est pas bien : https://www.backscatterer.org/?target=bounces
[Hachino] INFO : ajout d'une unit systemd pour Restart onfailure isc-dhcp-server sur routeur-sam. Une alerte de moins à gérer.
[Hachino] INFO : Gitlab qui se remplit de logs, incluant production_json.log (1,4G avant, 2,4G maintenant, mais va te faire).
On y peut pas grand-chose : https://docs.gitlab.com/omnibus/settings/logs/ : "You cannot edit the log_level for [..] production_json.log"
Journald a été calmé à 500M comme sur Jitsi. Ça ne règle pas totalement le problème.
Dans /etc/gitlab/gitlab.rb, ligne logging['logrotate_size'] = '100M' ajoutée (décommentée) le 30/10.
Suppression a la mano de production_json.log (2,5G le bébé) le 31/10, gitlab-ctl restart {puma,sidekiq}, gitlab-ctl reconfigure et ça a l'air de tourner ?
On a toujours des fails sur les backups les lundis et jeudis (mail matinal sur roots@), à examiner.
En parallèle, /var/opt/gitlab/gitlab-rails/shared/artifacts avait 1G d'orphelins (maintenant nettoyés), toujours ça de pris.
[LaPoste/PEB] Et si on demandait à Mailman3 d'écraser les signatures
avant la sienne ?
Dans notre record SPF (dig TXT crans.org) on fait référence à l'IP `*.79.38`,
or Redisdead est sur `*.79.39`.
Le DMARC report de Microsoft/Outlook du 21/10 à 05h32 mentionne des fails DKIM
sur certains mails envoyés par .79.39, mais pas tous. J'ai raté quoi ?
Dans le même genre, cf le rapport de fastmail.com le 23/10 à 05h20,
source ip en `*.79.40` (= Mailman)
Visiblement des gens randoms aiment bien tenter de nous spoof
(jcom.zaq.ne.jp 06/11 17h41).
En parlant de mails et de spams, askip le non-delivery report systématique
c'est pas bien : <https://www.backscatterer.org/?target=bounces>
[Hachino] INFO : ajout d'une unit systemd pour Restart onfailure isc-dhcp-server
sur routeur-sam. Une alerte de moins à gérer.
[Hachino] INFO : Gitlab qui se remplit de logs, incluant production_json.log
(1,4G avant, 2,4G maintenant, mais va te faire).
On y peut pas grand-chose : <https://docs.gitlab.com/omnibus/settings/logs/> :
"You cannot edit the log_level for [..] production_json.log"
Journald a été calmé à 500M comme sur Jitsi. Ça ne règle pas totalement
le problème.
Dans /etc/gitlab/gitlab.rb, ligne logging['logrotate_size'] = '100M'
ajoutée (décommentée) le 30/10.
Suppression a la mano de production_json.log (2,5G le bébé) le 31/10,
gitlab-ctl restart {puma,sidekiq}, gitlab-ctl reconfigure
et ça a l'air de tourner ?
On a toujours des fails sur les backups les lundis et jeudis
(mail matinal sur roots@), à examiner.
En parallèle, /var/opt/gitlab/gitlab-rails/shared/artifacts avait 1G d'orphelins
(maintenant nettoyés), toujours ça de pris.
[Lzebulon/Pyjac] Modif du DNS pour bde-note.
[Lzebulon/Pyjac] DMARC c'est cool mais ça spamme un peu. Une adresse réelllement dédiée (+ changer le rua du SPF) ?
[Pyjacpp/Lzebulon] Parseur de DMARC relié avec grafana https://domainaware.github.io/parsedmarc/ ?
[Lzebulon/Hachino] INFO : sudo systemctl stop/disable/mask de openimi, qui n'a aucun sens sur une VM (kenobi, ethercalc, fyre, gitzly, hodaur, routeur-daniel)
[Hachino] Est-ce que Bind a un sens sur en7 ? Si oui, pourquoi il est pas installé ? Sinon, pourquoi l'avoir ajouté à fyre dans /etc/prometheus/targets/bind.json ?
[Hachino] Backup les logs, est-ce indispensable ? Cf les crashs sur certaines VM (Etherpad/calc, Gitlab, Fyre).
Proposition : élargir les patterns d'exclusion dans /etc/borgmatic/config.yaml (ajouter /var/log/* ou au moins /var/log/gitlab/*).
En fait, j'ai trouvé : certains dossiers dans /etc n'avait pas les bonnes perms (d'écriture). Fix possible :
sudo mkdir -p {/var/borgmatic/cache, /var/lib/borg/security}, chmod 700 les deux dossiers
Dans /etc/borgmatic/config.yaml, changer borg_cache_directory en /var/borgmatic/cache et borg_security_directory en /var/lib/borg/security.
[Lzebulon/Pyjac] DMARC c'est cool mais ça spamme un peu.
Une adresse réelllement dédiée (+ changer le rua du SPF) ?
[Pyjacpp/Lzebulon] Parseur de DMARC relié avec grafana
<https://domainaware.github.io/parsedmarc/> ?
[Lzebulon/Hachino] INFO : sudo systemctl stop/disable/mask de openimi,
qui n'a aucun sens sur une VM (kenobi, ethercalc, fyre, gitzly, hodaur, routeur-daniel)
[Hachino] Est-ce que Bind a un sens sur en7 ?
Si oui, pourquoi il est pas installé ?
Sinon, pourquoi l'avoir ajouté à fyre dans /etc/prometheus/targets/bind.json ?
[Hachino] Backup les logs, est-ce indispensable ?
Cf les crashs sur certaines VM (Etherpad/calc, Gitlab, Fyre).
Proposition : élargir les patterns d'exclusion dans /etc/borgmatic/config.yaml
(ajouter /var/log/* ou au moins /var/log/gitlab/*).
En fait, j'ai trouvé : certains dossiers dans /etc n'avait pas les bonnes perms
(d'écriture). Fix possible :
sudo mkdir -p {/var/borgmatic/cache, /var/lib/borg/security},
chmod 700 les deux dossiers
Dans /etc/borgmatic/config.yaml, changer borg_cache_directory en
/var/borgmatic/cache et borg_security_directory en /var/lib/borg/security.
sudo cp -a /etc/borgmatic/config/security/* /var/lib/borg/security/
sudo systemctl restart borgmatic.service
Testé sur ethercalc et kenobi a la mano, fonctionne. Sur gitzly : typo, réglée. Sur fyre : réglé aussi. Moralité : systemd n'est pas root.
[Hachino] INFO : Redisdead flag comme spammeur par Abusix : https://app.abusix.com/lookup/results?q=185.230.79.39
Pas réussi à faire un compte avec des adresses génériques, j'ai fait un compte perso et delist redisdead, puis postqueue -f. Semble avoir marché.
Testé sur ethercalc et kenobi a la mano, fonctionne. Sur gitzly : typo, réglée.
Sur fyre : réglé aussi. Moralité : systemd n'est pas root.
[Hachino] INFO : Redisdead flag comme spammeur par Abusix : <https://app.abusix.com/lookup/results?q=185.230.79.39>
Pas réussi à faire un compte avec des adresses génériques,
j'ai fait un compte perso et delist redisdead, puis postqueue -f.
Semble avoir marché.
[Lzebulon] petit probleme technique
[Hachino/Gabo] Il fallait voir que les interfaces physiques enp* n'avaient pas le tag SLAVE, les empêchant d'être correctement liées dans l'interface virtuelle bond0. Pour corriger ça, down toutes les interfaces concernées, lier la physique à la virtuelle par ip set link <enp*> master bond0, re-down, relier si deux interfaces physiques à lier et vérifier sur chaque serveur si 'est bon (au moins Cameron, probablement Tealc ?). Ah et /run/screen perd son chmod 777, pénible un peu.
[All/Lyes] Discuter avec la DPAT pour être prévenus les prochaines fois. Voire, rêvons un peu, avoir enfin ce deuxième circuit électrique.
[Hachino/Gabo] Il fallait voir que les interfaces physiques enp* n'avaient pas
le tag SLAVE, les empêchant d'être correctement liées dans l'interface virtuelle
bond0. Pour corriger ça, down toutes les interfaces concernées,
lier la physique à la virtuelle par ip set link <enp*> master bond0, re-down,
relier si deux interfaces physiques à lier et vérifier sur chaque serveur si
c'est bon (au moins Cameron, probablement Tealc ?).
Ah et /run/screen perd son chmod 777, pénible un peu.
[All/Lyes] Discuter avec la DPAT pour être prévenus les prochaines fois.
Voire, rêvons un peu, avoir enfin ce deuxième circuit électrique.
[Pyjacpp] Le pass...
[Lzebulon] PAS TOUCHE AUX SWITCHS Surtout pas au MLAG. MLAG = GMAL.
Les fibres débranchées, les switchs et le load average...
@ -260,19 +99,27 @@ na pas toucher aux switch
avoir du MLAG fonctionnel (et c'est pas une blague)
ceph pour eviter d'avoir un serveur de stockage inaccessible
avoir une doc a jour (pour etre sur qu'elle est fiable)
[Lzebulon] mail, faire les calculs de zamok dans une vm (monte les homes, puis c'est comme zamok):
[Lzebulon] mail, faire les calculs de zamok dans une vm
(monte les homes, puis c'est comme zamok):
negatif: on perd la puissance de zamok sous exploite
[Hachino] Si la VM est dopée aux hormones, ça compense ?
[Lzebulon] je voulais dire, zamok est sous exploite
[Hachino] Ça j'avais compris, mais est-ce qu'on peut "rattraper ça" en donnant masse ressources à zamok-vm ?
positif: on est plus dependant de zamok et quand il y aura ceph (soon) plus grande resilliance
[Hachino] En parlant de résilience : jack montre un premier signe de fatigue sur un disque (roots@, 10 novembre, 11h05)
[Hachino] Thot est sous NixOS et n'a pas Prometheus, pertinent de l'ajouter peut-être ?
[Hachino] Ça j'avais compris, mais est-ce qu'on peut "rattraper ça"
en donnant masse ressources à zamok-vm ?
positif: on est plus dependant de zamok et quand il y aura ceph
(soon) plus grande resilliance
[Hachino] En parlant de résilience : jack montre un premier signe de fatigue
sur un disque (roots@, 10 novembre, 11h05)
[Hachino] Thot est sous NixOS et n'a pas Prometheus, pertinent de l'ajouter
peut-être ?
oui, normalement il faut juste update son /etc/nixos
[Hachino] Dpeuis le 15/11 matin, les routeur-* n'arrivent visiblement plus à taper dans le LDAP, alors que les LDAP écoutent toujours sur le 636. Semblerait qu'il y ait un souci avec les certs ?
[Hachino] Dpeuis le 15/11 matin, les routeur-* n'arrivent visiblement plus à
taper dans le LDAP, alors que les LDAP écoutent toujours sur le 636.
Semblerait qu'il y ait un souci avec les certs ?
[Lzebulon] framasoft est passe sur pollaris pour framadate, on fait pareil ?
[Hachino] En passant, SFR semble pas aimer nos automails de Framadate. :(
[Hachino] Anu-bis, ou Anu-ter, on sait plus trop. VG demande avec insistance qu'on lève le bot pour ses pages persos, promis on le fait avant Noël.
[Hachino] Anu-bis, ou Anu-ter, on sait plus trop. VG demande avec insistance
qu'on lève le bot pour ses pages persos, promis on le fait avant Noël.
ne jamais promettre une date au Crans
[pyjacpp] Framaforms au Crans ?
[Pyjacpp] Point sur les nounous présentes dans un futur proche.
@ -281,130 +128,199 @@ ne jamais promettre une date au Crans
[Pyjacpp] Routes avec viarezo
[Pyjacpp] Liste de diffusion pour les problèmes
== Point sur les nounous présentes ==
## Point sur les nounous présentes
C'est pas jojo. On a plus d'apprentis. Gabin (1A Saphire) semble intéressé. Sébastien Véry (3A info) l'est après ses exams. Il faut qu'on attrape Quark par la manche.
C'est pas jojo. On a plus d'apprentis. Gabin (1A Saphire) semble intéressé.
Sébastien Véry (3A info) l'est après ses exams.
Il faut qu'on attrape Quark par la manche.
RDB est nounou !!!
Gabo dispo jusqu'en juin. Lyes jusqu'en Mars.
L'année prochaine, RDB est dans le coin, Gabo aussi
== [Hachino] Planification de la migration de Tealc (Ses BDD ont pas l'air en super forme ces derniers temps.) ==
## [Hachino] Planification de la migration de Tealc
La semaine du 5-10 janviersemble optimale, Lzebulon sera sur place. Vendredi soir, comme ça on a samedi pour réparer si besoin ? Faire bien gaffe avec les exams, rendus de projet (Hachino a ping Vincent Lafeychine pour ses 1A par exemple). En profiter pour remplacer les disques qui couinent, genre sam ou cameron.
(Ses BDD ont pas l'air en super forme ces derniers temps.)
La semaine du 5-10 janvier semble optimale, Lzebulon sera sur place.
Vendredi soir, comme ça on a samedi pour réparer si besoin ?
Faire bien gaffe avec les exams, rendus de projet
(Hachino a ping Vincent Lafeychine pour ses 1A par exemple).
En profiter pour remplacer les disques qui couinent, genre sam ou cameron.
Les switchs, Zamok et Cameron pour la redondance ? Et les nouveaux serveurs.
Mettre à jour les BDDs:
éteindre les services
dist-upgrade tealc (Debian)
possible alternance de MàJ pgsql/Debian, à voir
Lire la doc de Pigeon : https://gitlab.crans.org/nounous/documentation/-/blob/master/howto/redemarrer_crans.md?ref_type=heads
Lire la doc de Pigeon : <https://gitlab.crans.org/nounous/documentation/-/blob/master/howto/redemarrer_crans.md?ref_type=heads>
chercher comment resilver des disques en zfs (pour cameron/sam)
Proposition d'achat : un adaptateur pour disque (câble SATA-USB ?). Peut permettre de tester un disque éteint, notamment ceux du stock dont on ne sait rien. Possible achat sur la caisse noire de la mamain.
Proposition d'achat : un adaptateur pour disque (câble SATA-USB ?).
Peut permettre de tester un disque éteint, notamment ceux du stock
dont on ne sait rien. Possible achat sur la caisse noire de la maman.
Point annexe : Lzebulon va tenter un dist-upgrade de Framdate pour tester trixie.
== Framasoft est passe sur pollaris pour framadate, on fait pareil ? ==
## Framasoft est passe sur pollaris pour framadate, on fait pareil ?
Pollaris: nouveau moteur de Framadate. Pas compatible avec l'ancien :(
Annoncer une date de coupure (pour faire la mise à niveau) durant les vacances de Noël. Un joli bandeau en tête de page pour informer.
Annoncer une date de coupure (pour faire la mise à niveau) durant les vacances
de Noël. Un joli bandeau en tête de page pour informer.
Framadate est stable.
== INFO : Fix pipeline django-printer. Au revoir Python 3.9. ==
## INFO : Fix pipeline django-printer. Au revoir Python 3.9
Plus de print error.
Plan de mettre à jour un des quatre (avec des apprentis ?)
== Le retour des mails ==
[LaPoste/PEB] Et si on demandait à Mailman3 d'écraser les signatures avant la sienne ?
Dans notre record SPF (dig TXT crans.org) on fait référence à l'IP *.79.38, or Redisdead est sur *.79.39. Le DMARC report de Microsoft/Outlook du 21/10 à 05h32 mentionne des fails DKIM sur certains mails envoyés par .79.39, mais pas tous. J'ai raté quoi ?
Dans le même genre, cf le rapport de fastmail.com le 23/10 à 05h20, source ip en *.79.40 (= Mailman)
Visiblement des gens randoms aiment bien tenter de nous spoof (jcom.zaq.ne.jp 06/11 17h41).
En parlant de mails et de spams, askip le non-delivery report systématique c'est pas bien : https://www.backscatterer.org/?target=bounces
## Le retour des mails
[LaPoste/PEB] Et si on demandait à Mailman3 d'écraser les signatures
avant la sienne ?
Dans notre record SPF (dig TXT crans.org) on fait référence à l'IP `*.79.38`,
or Redisdead est sur `*.79.39`.
Le DMARC report de Microsoft/Outlook du 21/10 à 05h32 mentionne des fails DKIM
sur certains mails envoyés par .79.39, mais pas tous. J'ai raté quoi ?
Dans le même genre, cf le rapport de fastmail.com le 23/10 à 05h20,
source ip en `*.79.40` (= Mailman)
Visiblement des gens randoms aiment bien tenter de nous spoof
(jcom.zaq.ne.jp 06/11 17h41).
En parlant de mails et de spams, askip le non-delivery report
systématique c'est pas bien : <https://www.backscatterer.org/?target=bounces>
Plus trop de refus.
La blocklist qui pose prolbème avec orange.
SFR: spam (mais pour framadate).
À vérifier (DKIM ou truc du style)
== INFO : ajout d'une unit systemd pour Restart onfailure isc-dhcp-server sur routeur-sam. Une alerte de moins à gérer. ==
## INFO : ajout d'une unit systemd pour Restart onfailure isc-dhcp sur routeur-sam
Une alerte de moins à gérer.
Deux lignes de confs environ. Ça redémarre.
Pas d'idée de la cause.
isc est déprécié.
Il faut migrer vers KEA.
isc-dhcp: serveur dhcp sert à donner les adresses IP, spécifiquement pour les VM/serveurs adhérents.
isc-dhcp: serveur dhcp sert à donner les adresses IP,
spécifiquement pour les VM/serveurs adhérents.
== INFO : Gitlab qui se remplit de logs, incluant production_json.log (1,4G avant, 2,4G maintenant, mais va te faire). ==
On y peut pas grand-chose : https://docs.gitlab.com/omnibus/settings/logs/ : "You cannot edit the log_level for [..] production_json.log"
Journald a été calmé à 500M comme sur Jitsi. Ça ne règle pas totalement le problème.
Dans /etc/gitlab/gitlab.rb, ligne logging['logrotate_size'] = '100M' ajoutée (décommentée) le 30/10.
Suppression a la mano de production_json.log (2,5G le bébé) le 31/10, gitlab-ctl restart {puma,sidekiq}, gitlab-ctl reconfigure et ça a l'air de tourner ?
On a toujours des fails sur les backups les lundis et jeudis (mail matinal sur roots@), à examiner.
En parallèle, /var/opt/gitlab/gitlab-rails/shared/artifacts avait 1G d'orphelins (maintenant nettoyés), toujours ça de pris.
## INFO : Gitlab qui se remplit de logs, incluant production_json.log
On peut faire du cache sur les CI : https://docs.gitlab.com/ci/caching/
Proposition en l'air : migrer vers Forgejo. Apparemment Forgejo permet de garder les issues au clone, mais les CI changent. On pourrait tester avec git2 pour commencer (qui a Gitea).
(1,4G avant, 2,4G maintenant, mais va te faire).
On y peut pas grand-chose : <https://docs.gitlab.com/omnibus/settings/logs/> :
"You cannot edit the log_level for [..] production_json.log"
Journald a été calmé à 500M comme sur Jitsi.
Ça ne règle pas totalement le problème.
Dans /etc/gitlab/gitlab.rb, ligne logging['logrotate_size'] = '100M' ajoutée
(décommentée) le 30/10.
Suppression a la mano de production_json.log (2,5G le bébé) le 31/10,
gitlab-ctl restart {puma,sidekiq}, gitlab-ctl reconfigure
et ça a l'air de tourner ?
On a toujours des fails sur les backups les lundis et jeudis
(mail matinal sur roots@), à examiner.
En parallèle, /var/opt/gitlab/gitlab-rails/shared/artifacts
avait 1G d'orphelins (maintenant nettoyés), toujours ça de pris.
On peut faire du cache sur les CI : <https://docs.gitlab.com/ci/caching/>
Proposition en l'air : migrer vers Forgejo.
Apparemment Forgejo permet de garder les issues au clone, mais les CI changent.
On pourrait tester avec git2 pour commencer (qui a Gitea).
## Logs
== Logs ==
Le temps de sauvegarde des logs pour les fournisseur de services n'est pas clair.
== Modif du DNS pour bde-note. ==
## Modif du DNS pour bde-note
Il faut aller dans le ldap, et ça marche bien.
Attention aux CNAMEs
== [Lzebulon/Pyjac] DMARC c'est cool mais ça spamme un peu. Une adresse réelllement dédiée (+ changer le rua du SPF) ? ==
## [Lzebulon/Pyjac] DMARC c'est cool mais ça spamme un peu
Une adresse réelllement dédiée (+ changer le rua du SPF) ?
Oui.
== [Pyjacpp/Lzebulon] Parseur de DMARC relié avec grafana https://domainaware.github.io/parsedmarc/ ? ==
## [Pyjacpp/Lzebulon] Parseur de DMARC relié avec grafana
Pour avoir des résultats synthétiques. Prometheus sonde les serveurs, Grafana mange les résultats de Prometheus et affiche des tableaux.
<https://domainaware.github.io/parsedmarc/> ?
== [Lzebulon/Hachino] INFO : sudo systemctl stop/disable/mask de openimi, qui n'a aucun sens sur une VM (kenobi, ethercalc, fyre, gitzly, hodaur, routeur-daniel) ==
Pour avoir des résultats synthétiques.
Prometheus sonde les serveurs, Grafana mange les résultats de Prometheus
et affiche des tableaux.
openimi service utilitaire de systemd qui permet d'accéder à des sondes sur le hardware. Pleins de fausses alertes. ⇒ supprimer
## [Lzebulon/Hachino] INFO : sudo systemctl stop/disable/mask de openimi
== Est-ce que Bind a un sens sur en7 ? Si oui, pourquoi il est pas installé ? Sinon, pourquoi l'avoir ajouté à fyre dans /etc/prometheus/targets/bind.json ? ==
Ce service n'a aucun sens sur une VM
(kenobi, ethercalc, fyre, gitzly, hodaur, routeur-daniel)
Accès de secours de l'ENS. VM par lequel on accède depuis le bureau. Bind n'avait a priori pas de sens et son monitoring a été viré du LDAP.
openimi service utilitaire de systemd qui permet d'accéder
à des sondes sur le hardware. Pleins de fausses alertes. ⇒ supprimer
== Backup les logs, est-ce indispensable ? Cf les crashs sur certaines VM (Etherpad/calc, Gitlab, Fyre). ==
Proposition : élargir les patterns d'exclusion dans /etc/borgmatic/config.yaml (ajouter /var/log/* ou au moins /var/log/gitlab/*).
En fait, j'ai trouvé : certains dossiers dans /etc n'avait pas les bonnes perms (d'écriture). Fix possible :
sudo mkdir -p {/var/borgmatic/cache, /var/lib/borg/security}, chmod 700 les deux dossiers
Dans /etc/borgmatic/config.yaml, changer borg_cache_directory en /var/borgmatic/cache et borg_security_directory en /var/lib/borg/security.
## Est-ce que Bind a un sens sur en7 ? Si oui, pourquoi il est pas installé ?
Sinon, pourquoi l'avoir ajouté à fyre dans /etc/prometheus/targets/bind.json ?
Accès de secours de l'ENS. VM par lequel on accède depuis le bureau.
Bind n'avait a priori pas de sens et son monitoring a été viré du LDAP.
## Backup les logs, est-ce indispensable ?
Cf les crashs sur certaines VM (Etherpad/calc, Gitlab, Fyre).
Proposition : élargir les patterns d'exclusion dans /etc/borgmatic/config.yaml
(ajouter /var/log/* ou au moins /var/log/gitlab/*).
En fait, j'ai trouvé : certains dossiers dans /etc
n'avait pas les bonnes perms (d'écriture). Fix possible :
sudo mkdir -p {/var/borgmatic/cache, /var/lib/borg/security},
chmod 700 les deux dossiers
Dans /etc/borgmatic/config.yaml, changer borg_cache_directory en
/var/borgmatic/cache et borg_security_directory en /var/lib/borg/security.
sudo cp -a /etc/borgmatic/config/security/* /var/lib/borg/security/
sudo systemctl restart borgmatic.service
Testé sur ethercalc et kenobi a la mano, fonctionne. Sur gitzly : typo, réglée. Sur fyre : réglé aussi. Moralité : systemd n'est pas root.
Testé sur ethercalc et kenobi a la mano, fonctionne.
Sur gitzly : typo, réglée. Sur fyre : réglé aussi.
Moralité : systemd n'est pas root.
Permet de débugger en cas de problèmes.
Légal, si c'est obligatoire de les garder, les backup est bien.
== INFO : Redisdead flag comme spammeur par Abusix : https://app.abusix.com/lookup/results?q=185.230.79.39 ==
## INFO : Redisdead flag comme spammeur par Abusix : <https://app.abusix.com/lookup/results?q=185.230.79.39>
Pas réussi à faire un compte avec des adresses génériques, j'ai fait un compte perso et delist redisdead, puis postqueue -f. Semble avoir marché.
Pas réussi à faire un compte avec des adresses génériques, j'ai fait un compte
perso et delist redisdead, puis postqueue -f. Semble avoir marché.
Automatique si on demande de manière raisonnable.
== Petit probleme technique ==
[Hachino/Gabo] Il fallait voir que les interfaces physiques enp* n'avaient pas le tag SLAVE, les empêchant d'être correctement liées dans l'interface virtuelle bond0. Pour corriger ça, down toutes les interfaces concernées, lier la physique à la virtuelle par ip set link <enp*> master bond0, re-down, relier si deux interfaces physiques à lier et vérifier sur chaque serveur si c'est bon (au moins Cameron, probablement Tealc ?). Ah et /run/screen perd son chmod 777, pénible un peu.
[All/Lyes] Discuter avec la DPAT pour être prévenus les prochaines fois. Voire, rêvons un peu, avoir enfin ce deuxième circuit électrique.
## Petit probleme technique
[Hachino/Gabo] Il fallait voir que les interfaces physiques enp* n'avaient pas
le tag SLAVE, les empêchant d'être correctement liées dans l'interface virtuelle
bond0. Pour corriger ça, down toutes les interfaces concernées,
lier la physique à la virtuelle par ip set link <enp*> master bond0, re-down,
relier si deux interfaces physiques à lier et vérifier sur chaque serveur
si c'est bon (au moins Cameron, probablement Tealc ?).
Ah et /run/screen perd son chmod 777, pénible un peu.
[All/Lyes] Discuter avec la DPAT pour être prévenus les prochaines fois.
Voire, rêvons un peu, avoir enfin ce deuxième circuit électrique.
Problème(s) électrique(s) indépendant(s) de notre volonté.
Cameron n'est probablement pas bon une seule fibre. Si on branche une fibre pétée et qu'on agrège, le serveur tente d'utiliser le lien, n'y arrive pas (ou perd plein de paquets), renvoie ses paquets en boucle et c'est comme ça qu'on arrive à Zamok qui a une load average ~ 500
Cameron n'est probablement pas bon une seule fibre.
Si on branche une fibre pétée et qu'on agrège, le serveur tente d'utiliser le lien,
n'y arrive pas (ou perd plein de paquets), renvoie ses paquets en boucle
et c'est comme ça qu'on arrive à Zamok qui a une load average ~ 500
== [Pyjacpp] Le pass... ==
## [Pyjacpp] Le pass
Il faut faire un repo... Clés GPG ? Signatures avec ? On trust ou on trust pas les clés sur ce repo ? Signing-party du CT ?
Il faut faire un repo... Clés GPG ? Signatures avec ?
On trust ou on trust pas les clés sur ce repo ? Signing-party du CT ?
## [Lzebulon] PAS TOUCHE AUX SWITCHS Surtout pas au MLAG. MLAG = GMAL
== [Lzebulon] PAS TOUCHE AUX SWITCHS Surtout pas au MLAG. MLAG = GMAL. ==
Les fibres débranchées, les switchs et le load average...
solution pour eviter que ca se repoduise :
na pas toucher aux switch
@ -412,41 +328,63 @@ avoir du MLAG fonctionnel (et c'est pas une blague) des deux côtés
ceph pour eviter d'avoir un serveur de stockage inaccessible
avoir une doc a jour (pour etre sur qu'elle est fiable)
== [Lzebulon] mail, faire les calculs de zamok dans une vm (monte les homes, puis c'est comme zamok) ==
## [Lzebulon] mail, faire les calculs de zamok dans une vm
(monte les homes, puis c'est comme zamok)
negatif: on perd la puissance de zamok sous exploite
[Hachino] Si la VM est dopée aux hormones, ça compense ?
[Lzebulon] je voulais dire, zamok est sous exploite
[Hachino] Ça j'avais compris, mais est-ce qu'on peut "rattraper ça" en donnant masse ressources à zamok-vm ?
positif: on est plus dependant de zamok et quand il y aura ceph (soon) plus grande resilliance
[Hachino] Ça j'avais compris, mais est-ce qu'on peut "rattraper ça"
en donnant masse ressources à zamok-vm ?
positif: on est plus dependant de zamok et quand il y aura ceph (soon)
plus grande resillience
Pas urgent.
== En parlant de résilience : jack montre un premier signe de fatigue sur un disque (roots@, 10 novembre, 11h05) ==
## En parlant de résilience : jack montre un premier signe de fatigue sur un disque
(roots@, 10 novembre, 11h05)
Semble résolu. Ce qui n'est pas cameron. Voir la maintenance de janvier.
== Thot est sous NixOS et n'a pas Prometheus, pertinent de l'ajouter peut-être ? ==
## Thot est sous NixOS et n'a pas Prometheus, pertinent de l'ajouter peut-être ?
Oui, normalement il faut juste update son /etc/nixos. Bon ça aura été un peu plus compliqué que ça en vrai. (Très compliqué.)
Oui, normalement il faut juste update son /etc/nixos.
Bon ça aura été un peu plus compliqué que ça en vrai. (Très compliqué.)
== Depuis le 15/11 matin, les routeur-* n'arrivent visiblement plus à taper dans le LDAP, alors que les LDAP écoutent toujours sur le 636. Semblerait qu'il y ait un souci avec les certs ? ==
## routeur-* et LDAP
Depuis le 15/11 matin, les routeur-* n'arrivent
visiblement plus à taper dans le LDAP,
alors que les LDAP écoutent toujours sur le 636.
Semblerait qu'il y ait un souci avec les certs ?
On ne sais plus à quoi cela fait référence. Il se passe trop de choses au Crans.
== Anu-bis, ou Anu-ter, on sait plus trop. VG demande avec insistance qu'on lève le bot pour ses pages persos, promis on le fait avant Noël. ==
## Anu-bis, ou Anu-ter, on sait plus trop
VG demande avec insistance qu'on lève le bot pour ses pages persos,
promis on le fait avant Noël.
ne jamais promettre une date au Crans
Mettre un dossier api (ou bot-allow, ou allow-anubis, ou allow-all, all, ou /public (possiblement déjà pris mais sémantique claire), bref) où anubis n'opére pas. Ou un fichier à la racine de www/ qui toggle la présence d'Anubis. Demande un script Python maison, Anubis n'a pas prévu le cas.
Mettre un dossier api (ou bot-allow, ou allow-anubis, ou allow-all, all, ou /public
(possiblement déjà pris mais sémantique claire), bref) où anubis n'opére pas.
Ou un fichier à la racine de www/ qui toggle la présence d'Anubis.
Demande un script Python maison, Anubis n'a pas prévu le cas.
== Point redémarrage en janvier ==
## Point redémarrage en janvier
Vincent Lafeychine
Vendredi au soir, c'est tout bon. Les rendus sont les vendredis à 13h
== Framaforms au Crans ? ==
## Framaforms au Crans ?
Frama teste une nouvelle version. Même souci que pour Polaris, incompatible avec l'ancienne version, on peut attendre que leur nouvelle version soit en place.
Ils ont une auth, on peut tenter de faire de l'Oauth2/OIDC/whatever pour relier à la note et/ou au LDAP Crans.
Frama teste une nouvelle version. Même souci que pour Polaris, incompatible avec
l'ancienne version, on peut attendre que leur nouvelle version soit en place.
Ils ont une auth, on peut tenter de faire de l'Oauth2/OIDC/whatever pour relier
à la note et/ou au LDAP Crans.
Plutôt CransForm. Projet apprenti.e. Need more apprentis cependant.
@ -454,21 +392,25 @@ On ajouterais date.crans.org ?
On peut faire la transition de framadate vers date en plus.
À faire avant le 15 décembre.
== Vaultwarden avec une adresse ENS. ==
## Vaultwarden avec une adresse ENS
Bonne idée. Juste à modifier la conf ?
== Style pad et autres services du Crans ==
## Style pad et autres services du Crans
Cf CA.
== [Pyjacpp] Routes avec viarezo ==
## [Pyjacpp] Routes avec viarezo
Demander SFP, longueur d'onde et distance. Problème de couche 1. Pyjac ira leur parler en permanence. C'est possiblement pas le seul problème, mais c'en est un.
Demander SFP, longueur d'onde et distance. Problème de couche 1.
Pyjac ira leur parler en permanence. C'est possiblement pas le seul problème,
mais c'en est un.
== Liste de diffusion pour les problèmes ==
## Liste de diffusion pour les problèmes
On a status.crans.org. La source doit être extérieure à l'infra principale, sinon c'est un peu con. ML Renater ? Plutôt bandeaux/messages sur status.crans.org dans l'idéal. Lzebulon a déjà essayé de mettre des messages, ça n'a jamais marché.
Trouver une alternative ? https://github.com/louislam/uptime-kuma/
On a status.crans.org. La source doit être extérieure à l'infra principale,
sinon c'est un peu con. ML Renater ? Plutôt bandeaux/messages sur status.crans.org
dans l'idéal. Lzebulon a déjà essayé de mettre des messages, ça n'a jamais marché.
Trouver une alternative ? <https://github.com/louislam/uptime-kuma/>
Clôture à 17h45.

246
compte_rendus/2025_11_29_CA.md 100644
View File

@ -0,0 +1,246 @@
# Réunion CA
* Date : Samedi 29 novembre 2025
* Lieu : MB87 et Galène
* Début : 14h10
* Fin : 15h56
## Votant⋅es
GaBo
Lyes
Ohime
Pyjacpp
RDB
## Non-votant⋅es
Hachino
Lzebulon
Pigeon
Themlaw (Tuxae, président)
Ordre du Jour :
[Hachino] [cross-post IN] Tuxae aurait besoin d'un rebond pour router du trafic
depuis/vers un Keycloak interne. On leur file une petite VM (et un compte) ?
[Lzebulon] Un séminaire avant Noel ? Sur les mails ? :eyes:
[Gabo] Les EEA en TP d'info Cranseux
[Lzebulon] il etait une fois la banque
[Lyes] Interfer[ENS] et nos locaux
Mise au vote : le Crans accepte-il de partager tout ou partie de ses locaux
(notamment son bureau ou la SQ39) avec un club BDE ?
[Lzebulon] reponse DPAT/DSI, 2 coupures ?
perso, pas eu de reponse a mon mail :(
on a eu une reponse
[Lzebulon] vote AG federez, mandat
[Lyes] Vote sur l'octroi de chocolats à Valérie Iognot-Prat (respo accès de l'ENS,
à qui on doit un service). Budget proposé : 30 €.
[Lzebulon] calendrier de l'Avent
[Pyjac] Une petite fête publique pour célébrer l'arrivée des 2U le 8 décembre ?
(Si on trouve une voiture et des bras pour les ramener.)
Proposition : un budget chocolats/douceurs de 30€ pour remercier le prêteur de
Titine si il existe (oui !)
Proposition : un budget renouvelable dédié aux "amis du Crans"
[Lzebulon] identite visuel des apps du crans
[Lyes] Récupération de serveurs
## Tuxae
Themlaw:
Connecter un des services de Tuxae avec un des services de l'IDP.
Pas d'accès à la machine en privé.
Problème, on est derrière avec le même firewall:
besoin d'un bridge avec les deux réseaux.
Pas de réponse de la DSI [NdH : ils sont perpétuellement sous l'eau, pour changer.].
Besoin d'une VM pour avoir un rebond pour que la requête passe par l'extérieur.
Lz: seulement besoin d'un compte zamok. Se servir de zamok comme proxy.
Pigeon: besoin de maintenir le pont ssh.
Themlaw: Seulement une solution temporaire
Proposition : Le CA du CRANS accepte l'ouverture d'un compte /
d'une VM gratuitement pour Tuxae
Pour : 5
Contre : 0
Abstention : 0
Un séminaire avant Noel ? Feat. les EEA
Pas de 1A à embrigader.
Gabo veut faire un séminaire (probablement pas avant les vacances).
Va voir auprès des Saphire et des infoteux.
Lancer un cycle de séminaire (janvier à mars) à la rentrée.
Demander à Laure pour la comm (what'sapp et instagram).
Gabo est dans le coin sur cette période. GaBo a obtenu la salle de
TP d'info des EEA, tous les accords sont là, faut "juste" orga les séminaires.
Séminaires:
SSH/bash (base linux) : GaBo
réseau : GaBo (possiblement long à préparer)
R/python (R est ciblé SHS) :
typst/latex : Lyes, Antonin, RDB (Typst uniquement),
mails : Antonin?
opensource/libre: Lyes???
Lzebulon propose de faire un séminaire la semaine du 5-10 janvier (il sera à Paris).
## calendrier de l'Avent
Faire un calendrier pour faire de la comm et présenter les services.
25ème case : annonce des séminaires
Cases sur le pad, hésitez pas à remplir/contribuer aux descriptions <https://pad.crans.org/p/calendrier-avant-2025>.
Faire une affiche
## il etait une fois la banque
Ça n'avance pas. RDB a filé les docs. Ça prend du temps.
(le dossier est en Roumanie). On attend une réponse de la SoGé.
Peut faire le virement en agence.
Changement de banque? Banque postale ? Caisse d'épargne ?
Normalement, on n'a pas besoin d'aller sur place.
Aurore a changé, edit: n'a pas changé de banque (car ça coûte pas cher).
On peut commencer à faire les virements, on doit faire une liste.
Faudra ptet rembourser ds-ac du coup (ça fait qu'un an), il avait payé le RIPE.
Implying le ping pour avoir RIB et montant. Voir Korenst1 aussi.
## Interfer[ENS] et nos locaux
Nouveau club BDE pour faire de la radio amateur (font joujou avec une antenne).
Besoin de locaux, ils demandent de squatter "chez nous". Vibe similaire.
Problème, le BDE n'a pas accès à nos locaux (et on ne veut pas).
LZ: l'ENS se débrouille ?
Double liste d'accès.
Gabo: Situation qui risque de se dégrader.
Abidos est radioamateur et pousse à fond le projet. Point à prendre en compte.
Gabo: ok pour venir squatter, mais c'est les nounous qui ouvrent.
Lyes: 1 badge pour interferens, tous les nounous via le badge à la sécu.
RDB: Demander plus d'accès.
Lyes: Pas accès via le BDE, mais via le CRANS qui donne les accès.
Gabo: dans la convention d'occupation, accès seulement aux membres CA ou CT.
Lyes : quand j'envoie les demandes d'accès à la DPAT,
je donne juste une liste de noms, sans préciser les rôles des gens.
LZ: La MB87 est un bureau partagé. L'ENS gère. Problème si le club demande,
le BDE peut ouvrir :(.
Gabo: pour des raisons juridique, si un club BDE a accès,
les présidents aussi (au moins).
Proposition : le Crans accepte-il de partager son bureau (uniquement la MB87)
avec un club BDE ?
Solutions possibles:
* Interfer[ENS] Club BDE + le CRANS qui donne les accès
Le CRANS perd des accès + problèmes juridique ?
* Interfer[ENS] Club BDE + le BDE demande
Le BDE a accès à la MB87
* Interfer[ENS] Club Crans
Il faut des clubs Crans, et le statut radioamateur, n'est pas simple.
* Interfer[ENS] Crans
Mélange compliqué, ça met en commun les problèmes des deux camps.
Hachino: pas sans convention (moyen facile de jouer la montre),
refus net des accès au bureau BDE, en profiter pour jouer sur
l'augmentation du nombre d'accès
Lyes et RDB: aller voir la DPAT
Le matériel, l'accès réseau par la prise murale sont des arguments pour refuser.
Le plus simple serait de dire "non" à Interfer[ENS],
en espérant tuer le problème dans l'oeuf.
Pyjac : intégrer complètement les gens d'Interfer[ENS] au Crans ?
⇒ Aller demander à la DPAT pour voir ce que l'on peut mettre en place.
Si pas de solution, ou pas de solution viable pour nous, ça sera non.
Deux seules solutions ? :
Si c'est un club BDE : très compliqué à mettre en place
Exception pour le local BDE/CRANS
Merge avec le CRANS ?
Asso à part ?
## Problèmes des accès
La procédure change tout le temps.
Pendant « l'incident ». Les personnes de l'ancienne liste ont été remplacées
par la nouvelle liste.
On a 4 (quatre) noms sur la liste. GaBo/Pyjac/Lyes/Lzebulon. C'est pas beaucoup.
Problème des personnes parties de l'ENS.
Choix de la part de Lyes par volonté de la DPAT.
La DPAT semble vérifier de près que les gens sur les listes ne sont plus à l'ENS.
Chiant/20 un peu. Ils vérifient jusqu'aux anciens élèves,
Lyes a eu le cas à la passation (Vanille, ds-ac).
Échange de mails Lyes/DAJ sur la convention, qui a fini en ghosting par la DAJ,
constamment sous l'eau.
L'histoire se répète.
⇒ Avoir une convention plus solide
## reponse DPAT/DSI, 2 coupures
La DPAT s'excuse, elle a noté notre contact.
## vote AG federez, mandat
AG de federez maintenant.
Proposition : Le CA mandate Lzebulon pour voter
Pour : 5
Contre : 0
Abstention : 0
## Vote sur l'octroi de chocolats à Valérie Iognot-Prat
Proposition : Le CA accepte d'acheter des chocolats à Valérie Iognot-Prat
(respo accès de l'ENS, à qui on doit un service). Budget proposé : 15 €
Pour : 5
Contre : 0
Abstention : 0
## [Lyes] Récupération de serveurs
Une petite fête "publique" (célébration, comm', montrer que le Crans vit et
existe, visite de la salle serveurs à qui veut) pour célébrer l'arrivée des 2U
le 8 décembre ? (Si on trouve une voiture et des bras pour les ramener.)
Proposition : un budget chocolats/douceurs de 15€ pour remercier
le prêteur de Titine si il existe (oui !)
--> Baptiste "Vallée", Pyjac a le permis (camarades de promo)
En fait, quitte à farmer les chocolats, pourquoi ne pas instaurer un budget
renouvelable dédié "aux amis du Crans" ?
Une caisse noire, au lait ou blanche, c'est selon. :D
Dans l'idée, on en discute vite fait sur Matrix/IRC hors CA,
on achète rapidement et on valide a posteriori au prochain CA.
Un truc du genre. Ça permet d'être plus rapide/réactif.
Proposition : Le CA accepte d'acheter des chocolats à Baptiste Vallée
(pour la voiture). Budget proposé : 15 €
Pour : 5
Contre : 0
Abstention : 0
## identite visuel des apps du crans
Identité visuelle très disparate.
La DINUM a un thème commun.
Essayer d'avoir un thème commun (couleurs)
Enlever les logos de juin ? oui

447
compte_rendus/2026_01_24.md
View File

@ -1,193 +1,11 @@
= Réunion CA =
# Réunion IN
* Date : Samedi 24 janvier 2026
* Lieu : MB87 et Galène
* Début : 14h06
* Fin : 15h42
* Date : Samedi 24 janvier 2026
* Lieu : MB87 et Galène
* Début : 16h
* Fin : 18h40
=== Votant⋅es ===
GaBo
Lyes
Pyjacpp
RDB
Rigobert
=== Non-votant⋅es ===
Hachino
Lzebulon (arrivé vers la fin)
Ordre du jour :
[Pyjaccp] Info: les 30 ans du CRANS c'est 2027-2028
[Hachino] Journées FedeRez à l'ENS, comme aux 20 ans ? 👀
[Pyjacpp] VM interq pour le BDA demande une exemption des frais
[Lzebulon] reflechir date AG
[Lyes] Réfléchir changements statuts pour l'AG
[Lyes] Héberger Federez en secours ? ([Hachino] Dépend de ce que fait le BR, c'est oui-non-peut-être là.)
Penser à répondre à leur mail demandant les dispos des membres et assos.
[Pyjacpp] Conférence avec Mathilde Saliou ?
[Pyjacpp] Son et Lumens est intéressé par notre cable monophasé bleu
[Pyjacpp] Nouveau stock de disques de secours
[korenstin] Les prix des SSD vont augmenter ?
[Pyjacpp] Ramettes de papier à acheter
[Pyjacpp] On a un stock de récipient à waste toner ?
[RDB] Point banque et paiement RIPE
[Pyjacpp] Info écrans donnés
[Pyjacpp] L'imprimante 0B ? Yes plz ;_;
=== Info: les 30 ans du CRANS c'est 2027-2028 ===
L'info est prise.
=== VM interq pour le BDA demande une exemption des frais ===
Le BDA demande une exemption de frais de connexion.
Pour : unanimité.
=== AG ===
[Lyes] Réfléchir changements statuts pour l'AG
On réfléchit à une date pertinente. Compte tenu du calendrier associatif (BDE, Med notamment), le 28 mars n'est pas un mauvais choix.
Vote formel et définitif lors du CA de février.
Lyes souhaite refondre les statuts pour les simplifier et enlever du legacy qui n'a plus de sens aujourd'hui.
Exemple : les références au statut de FAI. Réseau -> Services.
Réfléchir au statut d'adhérent, plein de comptes inactifs. Le quorum n'a aucun sens.
Statut utilisateur vs statut adhérent ?
Mettre un quorum sur les membres actifs, mais donner une voix à tous les utilisateurs ?
GaBo trouve dangereux de donner le pouvoir uniquement aux membres actifs, dont les intérêts ne sont pas forcément ceux de l'ensemble des utilisateurs.
Lyes trouve fair de donner le pouvoir à ceux qui s'impliquent dans l'asso.
GaBo soulève qu'en cas de gouvernance problématique, de CA qu'il faudrait renverser, le pouvoir aux membres actifs est une barrière.
Pyjac propose nu quoturm disjonctif : soit x% des MA, soit y% des adhérents(/utilisateurs ?) tout court.
Dans le cas du % d'utilisateurs, avec le nombre inconnu de gens qui utilsient nos services, c'est impossible à compter de façon fiable.
Idée d'un décompte à la mano par envoi de mail et "ceux qui répondent sont de facto sur la liste des votants".
Rappel : on a environ 7k comptes au Crans, la plupart anciens, la plupart qui ont juste voulu Internet à une lointaine époque.
Invitation à s'inscrire sur les listes électorales chaque année ? Avec un bandeau pour la désinscription/suppression de compte.
Quid des undelivered ? Si on arrive plus à joindre les gens, que faire ? Sachant qu'on a déjà eu un cas de "je veux bien mon compte mais j'ai plus accès à mon mail" into envoi de CNI scannée et réactivation.
Durée de vie des données ?
=> voir la RGPD plus en détails
https://www.cnil.fr/fr/passer-laction/les-durees-de-conservation-des-donnees
Penser qu'une AGE sauvage ne dispense pas de déposer des listes et que la team "raisonnable" fasse une contre-liste.
Le CT est une forme de contre-pouvoir : une AGE sauvage ne donne pas le pass. Au compte bancaire si, enfin.... façon de parler.
Point à rediscuter une autre fois, quand tout ça aura décanté.
=== Héberger les Journées Federez en secours ? ===
Délai pour en parler à l'ENS ? 3 mois pour être tranquille, 2 mois en se pressant un peu, mais ça commence à être juste.
Alcool ? À la Kfet, avec notre tireuse si besoin.
Vigiles ?
Réponse de principe oui (informel), mais on aimerait pas que ça arrive, si possible.
=== Conférence avec Mathilde Saliou ? ===
Marc Jachym : Admin sys au LURPA, représentant BIATSS au CA ENS. Proximité contre Crosoft à l'ENS.
Sur Tchap : il a lu un livre de Mathilde Saliou sur souveraineté numérique et écologie et aimerait orga une conf. Content TàT échec (pas reçu de mail, trompé d'adresse ?). Le Crans pourrait participer à l'orga, en collab avec TàT. En plus Lila (TàT) a géré une conf sur le féminisme.
Bonus : les confs du diplôme sont sur la Défense en ce moment, la souveraineté num ça passe. Bon on est sans doute trop tard pour faire passer ça en conf du diplôme.
Lyes en a parlé avec Lila, qui lui a conseillé de parler avec Confer[ENS] qui a l'habitude d'orga ce type d'événement.
Le livre : https://www.fnac.com/a21740475/Mathilde-Saliou-L-envers-de-la-tech-Ce-que-le-numerique-fait-au-monde#Opinions
Délai pour l'orga ? Début d'année prochaine ? Fin d'année sinon, mais beaucoup moins de monde. Plutôt l'année prochaine du coup.
Un jour il faudra contacter l'autrice elle-même, c'est bien si elle est au courant. Pyjac veut bien gérer le projet et le contact, envoyant avec Marc Jachym.
=== Son et Lumens est intéressé par notre cable monophasé bleu ===
C'est pas un câble, mais une "multiprise" pour baie de serveurs. Pas trop adapté à S&L, pratique en rechange pour nous, donc on va plutôt dire non ?
Report du vote en attente de l'avis de S&L.
=== Nouveau stock de disques de secours ===
https://www.bargainhardware.co.uk/components/enterprise-hdds-sdds-storage/sata-ssds/960gb_2-instock
TVA et livraison incluses, on peut rester sous les 100 €/To, c'est ish-ok par les temps qui courent.
Grand minimum 1/5 de SSD pour Ceph, n'oublions pas.
Lyes suggère une vingtaine de disques.
Nature des disques de Cephiroth ? On sait pas, à vérifier. EDIT : HDD 2 To Seagate
On rappelle qu'on a un budget de 7200€ du dernier CA pour les SSD (merci Lyes), toujours pas utilisé.
Fun fact : à l'époque c'était pour 42 SSD, pas merci l'inflation.
On part sur 10 SSD à acheter. Il faut aussi refaire notre stock de HDD. Hachino a tout le budget pour faire ce qu'il veut avec (piscine à bulles incoming).
Vote pour 2000 € de budget HDD supplémentaire :
Pour : unanimité.
=== Ramettes de papier à acheter ===
=== On a un stock de récipient à waste toner ? ===
=== L'imprimante 0B ===
- Oui.
- Non ?
- En effet... InterQ des rennais ? Voir Discord BDA de Ker Lann sur le Discord InterENS.
- Dpat ? Bien vu.
Plan imprimante :
- Premier voyage de recon pour voir si elle est toujours en place.
- Contacter les Ker lannais par leur Discord BDA (Hachino)
- Mail DPAT
- Braquage à la Kerlannaise (option chouchen et crêpes)
Pyjac revient le 30 janvier et reste quelques jours (lundi ou mardi dimanche samedi serait ok). Week-end préférable pour la discrétion.
Stocker l'imprimante quelque part en attendant. (Bureau Crans, local événements ?)
Plan résurrection du 4J à la Cransoloc ???
Monte-charge à l'ENS.
Parler à la DPAT dès ce lundi (26 janvier).
=== Point banque et paiement RIPE ===
RDB brille. Il est allé à la banque pour payer le RIPE (envoyé, plus mail au RIPE au cas où). Notre compte est en "non conformité" d'après la SoGé.
Nouveau rebondissement, nouveau papier (encore). En gros décla du bureau, de l'objet associatif et autre infos de base/anti fraude (genre fonds de l'étranger).
RDB va essayer d'y retourner dans pas longtemps, d'une pour le pressing, de deux des fois qu'un autre papier apparaisse des hautes herbes.
La SoGé a donné des codes à RDB pour accéder à l'appli pro, sauf que non conformité, les codes marchent pas.
Échéance 11 février.
ARC: audit + rendez-vous téléphonique.
Lyes s'en occupe cette semaine.
Setup 2FA sur le RIPE, mettre la clé dans le pass, puis les membres CA/CT peuvent créer un compte perso et le relier au compte "orga" du Crans.
=== Info écrans donnés ===
1 au BDE
1 à S&L (+1 ?)
2 écrans au CJV + 1 clavier
2 ordis à SENS
Reste: l'écran Iyama + un écran Cora (+ 1 écran random au fond ?) + 1 ordi du dpt (et 2 écrans dans l'armoire à l'entrée)
=== Hors ordre du jour (shameless plug de Rigo) : est-ce que le CJV peut vous prendre encore un ou deux claviers ? ===
Ok.
=== Hors ordre du jour : convention ===
Pyjac a relancé l'admin (mail en copie sur nounous entre autres). Attente.
= Réunion IN =
* Date : Samedi 24 janvier 2026
* Lieu : MB87 et Galène
* Début : 16h
* Fin : 18h40
=== Présent⋅es ===
## Présent⋅es
GaBo
Pyjacpp
@ -196,74 +14,102 @@ Lzebulon
Rigobert
Ordre du jour :
[Maintenance/9 janvier] Voir si on a besoin de couper/reboot les serveurs adhérents. En principe non, mais y réfléchir. Relance de la comm' adhérents.
[Maintenance/9 janvier] Voir si on a besoin de couper/reboot les serveurs adhérents.
En principe non, mais y réfléchir. Relance de la comm' adhérents.
CR: Obsolète
[GaBo/Hachino/Lzebulon/Pyjac/RDB] INFO : salamèche a retrouvé la flamme (plutôt que la flemme) (et doc Gitlab mise à jour)
[GaBo/Hachino/Lzebulon/Pyjac/RDB] INFO : salamèche a retrouvé la flamme
(plutôt que la flemme) (et doc Gitlab mise à jour)
[Hachino] Emprunter la boombox de la Nekorale quand on descend en SQ39
[GaBo] : budget boule quies (pour les descentes en SQ39) ([Hachino] Loulous suggère en rigolant d'en chiper à la Kfet.)
[GaBo] : budget boule quies (pour les descentes en SQ39)
([Hachino] Loulous suggère en rigolant d'en chiper à la Kfet.)
[Lzebulon] On backup ft sur thot, c'est normal ? On retire ?
CR: Pas grave
[Hachino/Lzebulon] Accès au switch, ceux qui savent savent.
CR: Accès via ethernet ? Se brancher en ethernet avec un simple telnet (plutôt que ssh + auth) donne les droits root. Pratique pour le manager.
CR: Accès via ethernet ? Se brancher en ethernet avec un simple telnet
(plutôt que ssh + auth) donne les droits root. Pratique pour le manager.
CR: Problèmes d'IPs ? À voir début février. Problèmes IP des ilos ?
[Hachino] (02/12) Plusieurs serveurs avaient du swap utilisé, bizarre.
[Lz] si on leur a mis du swap c'est pas etonnant qu'il soit utilisé
CR: sécurité plutôt bien. Peut ralentir les VMs. Faire une étude ? Grafana/Règle Prometheus ?
CR: sécurité plutôt bien. Peut ralentir les VMs. Faire une étude ?
Grafana/Règle Prometheus ?
CR: RTC pas choqué
[Pyjac] INFO : Le BDE peut faire ses comptes Vaultwarden avec des adresses @ens. Térence a dit qu'il allait commencer à jouer avec.
[Pyjac] INFO : Le BDE peut faire ses comptes Vaultwarden avec des adresses @ens.
Térence a dit qu'il allait commencer à jouer avec.
[Lz] c'est fait
[Pyjac] INFO : Anubis a été désactivé dans /home/<login>/public/*. Pas suffisant pour V.G. visiblement ? (Check.)
CR: exeption pour lui en attente d'une meilleure solution. Config à partir des robots.txt ?
[Pyjac] INFO : Anubis a été désactivé dans `/home/<login>/public/*`.
Pas suffisant pour V.G. visiblement ? (Check.)
CR: exception pour lui en attente d'une meilleure solution.
Config à partir des robots.txt ?
CR/ Config Anubis "à la demande", seulement en cas de grosse affluence.
[Pyjac/Lzebulon/Hachino] Quelques passages sous Debian 13. Non, pas kiwi. (Et un point tocard bien mérité.)
[Hachino] La config de borgmatic change un peu, certaines options sont dépréciées (cf roots@), il faudra faire une passe sur Ansible.
[Pyjac/Lzebulon/Hachino] Quelques passages sous Debian 13. Non, pas kiwi.
(Et un point tocard bien mérité.)
[Hachino] La config de borgmatic change un peu, certaines options sont dépréciées
(cf roots@), il faudra faire une passe sur Ansible.
MR en cours sur Nounous/Ansible [elle est pas bonne en l'état, ne pas merge]
D'ailleurs, les anciennes modifs sur /cache et /security (cf IN du 29 novembre) n'ont pas survécu, remise à la main sur neree et owl.
[Hachino] Dans le même genre, vérifier les configs/noms de modules Python (cf boeing, helloworld)
D'ailleurs, les anciennes modifs sur /cache et /security (cf IN du 29 novembre)
n'ont pas survécu, remise à la main sur neree et owl.
[Hachino] Dans le même genre, vérifier les configs/noms de modules Python
(cf boeing, helloworld)
[Lz] TODO: migrer sur nixos
[Hachino] Pourquoi Debian tire par défaut python3-{sympy,scipy,tqdm,matplotlib...} ? Ça sert à rien pourtant.
[Hachino] Breaking change au passage : format du fichier snmp.yml sur helloworld, à voir.
[Hachino] Pourquoi Debian tire par défaut
python3-{sympy,scipy,tqdm,matplotlib...} ? Ça sert à rien pourtant.
[Hachino] Breaking change au passage : format du fichier snmp.yml sur helloworld,
à voir.
CR: Pyjacpp a copié la config de fyre. Pour les ilos aussi ?
[Hachino] Fichier d'origine backupé en local et nouveau tiré depuis Github (https://raw.githubusercontent.com/prometheus/snmp_exporter/v0.28.0/snmp.yml), "ça remarche"
[Hachino] Fichier d'origine backupé en local et nouveau tiré depuis Github
(<https://raw.githubusercontent.com/prometheus/snmp_exporter/v0.28.0/snmp.yml>),
"ça remarche"
[Hachino] Même chose sur fyre, allez savoir.
[Pyjacpp] Mailman3 est "réparé". Adresses mails supprimées manuellement dans la BDD. Changement de place d'humanize, à mettre dans ansible ? https://dustri.org/b/fixing-humanize-is-not-a-registered-tag-library-on-postorious.html
[Pyjacpp] Mailman3 est "réparé". Adresses mails supprimées
manuellement dans la BDD.
Changement de place d'humanize, à mettre dans ansible ? <https://dustri.org/b/fixing-humanize-is-not-a-registered-tag-library-on-postorious.html>
CR: Mise à jour loupée. Répartion à la main la DB.
CR: paquets obsolétes à virer et migrer. Et thème à refaire.
[Hachino/Tuxae] INFO : Le tunnel SSH fait son job, l'auth sur https://grenade.tuxae.fr/asso fonctionne. (Et ils sont prévenus de la coupure de janvier.)
[Hachino/Tuxae] INFO : Le tunnel SSH fait son job, l'auth sur <https://grenade.tuxae.fr/asso>
fonctionne. (Et ils sont prévenus de la coupure de janvier.)
[Hachino] Ils ont une loop SSH qui a refonctionné à peine l'infra re-up, magnifique.
[Hachino] Le DMARC report de Nanein (10 décembre, 06h01) indique un ARC fail lors du passage par lists.crans.org, on peut mettre ARC en place ?
[Hachino] Le DMARC report de Nanein (10 décembre, 06h01) indique un ARC fail lors
du passage par lists.crans.org, on peut mettre ARC en place ?
CR: se renseigner
[Hachino] Quelques soucis sur adh de baux DHCP non accordés, 3 VM non rentrées dans le hosts et un physique HP à identifier (https://standards-oui.ieee.org/oui/oui.txt). EDIT : évidemment j'ai pas noté les noms des VM et ça fait un mois et demi...
[Hachino] Quelques soucis sur adh de baux DHCP non accordés, 3 VM non rentrées
dans le hosts et un physique HP à identifier (<https://standards-oui.ieee.org/oui/oui.txt>).
EDIT : évidemment j'ai pas noté les noms des VM et ça fait un mois et demi...
CR: Flush ? Problème de fond DHCP à régler.
[Pyjacpp] Les mails borgmatic...
[Hachino] INFO : VM Med passée de 2 Go à 4 Go de RAM pour soulager uwsgi, VM Roundcube passée de 1 à 2 Go (et ça va mieux omg)
[Hachino] INFO : VM Med passée de 2 Go à 4 Go de RAM pour soulager uwsgi,
VM Roundcube passée de 1 à 2 Go (et ça va mieux omg)
[Hachino/Lyes/Pyjacpp] INFO : le Cas remarche sur Mailman après application du fix https://github.com/pennersr/django-allauth/issues/3408
[Hachino/Lyes/Pyjacpp] INFO : le Cas remarche sur Mailman après application du
fix <https://github.com/pennersr/django-allauth/issues/3408>
[Pyjacpp] Proposition de doc par service pour mieux suivre ce type de correctif
[Pyjacpp] django-allauth à virer un de ces quatre.
[Hachino] Proposition : mettre kiwi.svg (aux couleurs du Crans) comme favicon de mediawiki.crans.org :>
[Hachino] Proposition : mettre kiwi.svg (aux couleurs du Crans)
comme favicon de mediawiki.crans.org :>
CR: Ok
[Lyes] Idée : un dashboard dédié au monitoring du trafic purement externe (par interface avec IP publique) *par VM*. Une sorte de mélange de dashboard existants.
[Lyes] Idée : un dashboard dédié au monitoring du trafic purement externe
(par interface avec IP publique) *par VM*.
Une sorte de mélange de dashboard existants.
CR: Ok (c'est long)
[Pyjacpp] Cleanup nextcloud `nextcloud-occ preview:cleanup` existe
Les previews prenaient 4Go. Certains dataient de septembre
Option pour limiter leurs tailles / qualité ?
Supprimer les plus vieux / moins utilisés ?
[Pigeon] Je l'ai déjà fait plusieurs fois, mais ça ne règle pas le pb de manière durable
[Pigeon] Je l'ai déjà fait plusieurs fois, mais ça ne règle pas le pb
de manière durable
CR: Séparation du ldap au profit gitlab/nixos ?
CR: Sécurité de révéler les IPs ?
@ -276,13 +122,17 @@ CR: non problème snmp.yml. L'imprimante est mystique (c.à.d c'est une impriman
Ajout d'un club bda sur le ldap-adh (proprios: club-bda et pyjacpp)
Création de la VM bda id 109 sur stich (8 GB, 1 cœur, 2GB de RAM)
Installation de Debian Trixie (13)
Users root et bda: sans mot de passe, accès seulement par clés ssh à root (pyjacpp et dans le home de club-bda).
Users root et bda: sans mot de passe, accès seulement par clés ssh à root
(pyjacpp et dans le home de club-bda).
Ajout du nom de domaine interq.crans.org -> bda.adh.crans.org
Pour info :
Actuellement, la VM a pour seul objectif l'hébergement d'un site django (celui des interludes adaptée aux interq gitlab.crans.org/pyjacpp/interq-2026)
Actuellement, la VM a pour seul objectif l'hébergement d'un site django
(celui des interludes adaptée aux interq gitlab.crans.org/pyjacpp/interq-2026)
[Hachino] Nix aime bien s'étaler dans son store, HowTo autoclean tout ça proprement ?
[Pigeon] Les options https://search.nixos.org/options?channel=25.11&query=nix.gc sont très utiles
[Hachino] Nix aime bien s'étaler dans son store,
HowTo autoclean tout ça proprement ?
[Pigeon] Les options <https://search.nixos.org/options?channel25.11&querynix.gc>
sont très utiles
CR: Lz pense avoir fait une MR. Ça serait bien d'avoir de la doc et il y en a.
[Hachino] Mails chelous de Django sur roots@ (30 décembre, 15h54-56)
@ -292,29 +142,38 @@ CR: Projet : refaire le site de l'imprimante ;____;
[Hachino] Kenobi qui OoM, fuite de mémoire ou VM sous-dimensionnée ?
[Hachino] Gitlab OoM kill le 5/01 vers 3h.
CR: Le CT note une recrudescence d'OoM.
CR: de la marge de RAM mais pas trop non plus. (Si on coupe un hyperviseur adm, on est à 100% RAM sur les deux autres, donc ric-rac.)
CR: de la marge de RAM mais pas trop non plus. (Si on coupe un hyperviseur adm,
on est à 100% RAM sur les deux autres, donc ric-rac.)
[Lyes/Samuel Allain] Ajout d'une application Nextcloud : Cospend et Notes (et réexamen des problèmes de perfs)
[Hachino] Vieux thread Reddit relié : https://www.reddit.com/r/NextCloud/comments/lahooa/is_nextcloud_always_this_slow/
Et ça : https://help.nextcloud.com/t/nextcloud-27-all-page-load-times-about-5-seconds-can-it-be-made-faster-on-a-core2duo/171722 (sous Arch btw)
Et ça, plus récent : https://ounapuu.ee/posts/2025/11/03/nextcloud-slow/
[Lyes/Samuel Allain] Ajout d'une application Nextcloud : Cospend et Notes
(et réexamen des problèmes de perfs)
[Hachino] Vieux thread Reddit relié : <https://www.reddit.com/r/NextCloud/comments/lahooa/is_nextcloud_always_this_slow/>
Et ça : <https://help.nextcloud.com/t/nextcloud-27-all-page-load-times-about-5-seconds-can-it-be-made-faster-on-a-core2duo/171722>
(sous Arch btw)
Et ça, plus récent : <https://ounapuu.ee/posts/2025/11/03/nextcloud-slow/>
Proposition : inspecter le JS en direct pour voir les apps les plus gourmandes
[Pigeon] Ça a déjà été fait avec korenstin. Conclusion : tout est lent, il faudrait juste passer la VM sur des SSD (oui je suis convaincu que ça fait une différence, cf zora) [Hachino] Bon bah ok, commande de SSD un jour™ j'imagine.
CR: Fédération Nextcloud. Cospend : https://github.com/spliit-app/spliit
[Pigeon] Ça a déjà été fait avec korenstin. Conclusion : tout est lent,
il faudrait juste passer la VM sur des SSD
(oui je suis convaincu que ça fait une différence, cf zora)
[Hachino] Bon bah ok, commande de SSD un jour™ j'imagine.
CR: Fédération Nextcloud. Cospend : <https://github.com/spliit-app/spliit>
[Pyjacpp] comptes mails pas dans ré2o ? e.g zoecprl ?
CR: Ancien comptes avec .forward mais pas de mail renseigné.
[Hachino] INFO : Aplanos et ses scans, du DELETE bien gras. Et on avait 366 jobs d'impression latents, DELETE aussi.
[Hachino] INFO : Aplanos et ses scans, du DELETE bien gras.
Et on avait 366 jobs d'impression latents, DELETE aussi.
CR: suppression automatique des impressions ? Probablement des données dessus.
[Pyjacpp] Pourquoi autant de OOM ?
CR: déjà dit
[Hachino] Manque de ressources sur Nextcloud et/ou Collabora ?
Créer un .ods en local, l'upload sur Nextcloud, l'ouvrir (avec Collabora), se prendre un avertissement -> ressources matérielles insuffisantes
Créer un .ods en local, l'upload sur Nextcloud, l'ouvrir (avec Collabora),
se prendre un avertissement -> ressources matérielles insuffisantes
[Pyjacpp] C'est Collabora il me semble
CR: On peut le faire si besoin. [Hachino] Fait à l'instant. 2 Go -> 4 Go RAM, 1x2 coeurs -> 2x2 coeurs
CR: On peut le faire si besoin.
[Hachino] Fait à l'instant. 2 Go -> 4 Go RAM, 1x2 coeurs -> 2x2 coeurs
[Lzebulon/Pyjacpp] Ilo à Tealc sans Tealc ?
CR: Problèmes ilo à tealc. Connexion de secours Sam -> ilo-tealc ?
@ -323,48 +182,72 @@ CR: Problèmes ilo à tealc. Connexion de secours Sam -> ilo-tealc ?
Reporté
[All] La maintenance, ses succès et ce qu'il reste à faire
Cameron est en mauvais états, les fibres ont disparu (ethernet d'urgence).Problème de driver carte réseau à mettre à jour ?
Cameron est en mauvais états, les fibres ont disparu (ethernet d'urgence).
Problème de driver carte réseau à mettre à jour ?
Problèmes d'accès pour les switch
Problèmes d'accès ilos
[Hachino] Visiblement il faut mettre à jour la conf de Postfix (mail roots@, il spamme un peu).
[Hachino] INFO : Augmentation subtile des ressources de la Note pour voir (passage à 2x2 coeurs au lieu de 1x2)
[Hachino] Visiblement il faut mettre à jour la conf de Postfix (mail roots@,
il spamme un peu).
[Hachino] INFO : Augmentation subtile des ressources de la Note pour voir
(passage à 2x2 coeurs au lieu de 1x2)
[Hachino] INFO : Ajout de loulous27 comme admin de club-numens
[Hachino] INFO : Nettoyage de club-bde (on enlève tout le monde et on met quark admin, il gère la suite).
[Hachino] loulous27 demande à ce qu'on monitore la disponibilité du serveur photos (par Grafana).
CR: Page status ? Ping Raito pour la Nixification de status.bytestall.info, ce serait un bon plan
[Hachino] INFO : Nettoyage de club-bde (on enlève tout le monde
et on met quark admin, il gère la suite).
[Hachino] loulous27 demande à ce qu'on monitore la disponibilité du serveur photos
(par Grafana).
CR: Page status ? Ping Raito pour la Nixification de status.bytestall.info,
ce serait un bon plan
[Hachino] TODO : MàJ de la doc après la grosse maintenance. Et on a un peu de retard sur les CR de réunions. ;_; (Non merci, j'ai poney.)
CR: Version de Debian., plein d'infos obsolètes après la MàJ, bref refaire une passe un jour.
[Hachino] TODO : MàJ de la doc après la grosse maintenance.
Et on a un peu de retard sur les CR de réunions. ;_; (Non merci, j'ai poney.)
CR: Version de Debian., plein d'infos obsolètes après la MàJ,
bref refaire une passe un jour.
[GaBo] Détourner le pass pour y insérer de la doc "secrète", genre le plan du réseau, les IP importantes ?
[Hachino] Si on fait ça, proposition de faire un dossier par thème et dedans, un fichier par serveur/VM important.
[Lz] as-t-on besoin de cacher le plan du reseau ? les ip publics sont connues avec le DNS et en interne il faut avoir deja reussi a se connecter
[GaBo] Détourner le pass pour y insérer de la doc "secrète",
genre le plan du réseau, les IP importantes ?
[Hachino] Si on fait ça, proposition de faire un dossier par thème et dedans,
un fichier par serveur/VM important.
[Lz] as-t-on besoin de cacher le plan du reseau ?
les ip publics sont connues avec le DNS et en interne
il faut avoir deja reussi a se connecter
[Hachino] Dans ce cas, go for gitlab/documentation ?
CR: déjà dit, c'est pas forcèment dangereux de la mettre en public. C'est mieux de centraliser sur la documentation.
CR: déjà dit, c'est pas forcèment dangereux de la mettre en public.
C'est mieux de centraliser sur la documentation.
[Hachino] Finir la suppression des comptes (une vingtaine petite quarantaine de demandes latentes sur nounous@).(35 d'après mon décompte)
[Hachino] Finir la suppression des comptes (une vingtaine petite quarantaine de
demandes latentes sur nounous@).(35 d'après mon décompte)
[Hachino] Ansible c'est quand même plus sympa que taper des commandes sur chaque VM. Un jour.
[shirenn] Ajouter une unit systemd pour sudo chmod 777 /run/screen, ça serait bien. ExecOnStart, un truc comme ça.
[Hachino] Ansible c'est quand même plus sympa que taper des commandes
sur chaque VM. Un jour.
[shirenn] Ajouter une unit systemd pour sudo chmod 777 /run/screen,
ça serait bien. ExecOnStart, un truc comme ça.
[Hachino] Resilver sur sam et jack ? (Le disque de sam a été changé mais on a stop le resilver parce que trop lent, jack on a découvert l'absence de disque 2 mais ni vérifié à l'intérieur, ni changé.)
[Hachino] Resilver sur sam et jack ? (Le disque de sam a été changé mais on a
stop le resilver parce que trop lent, jack on a découvert l'absence de disque 2
mais ni vérifié à l'intérieur, ni changé.)
CR: Done par pyjacpp & korenstin
[korenst1 par Hachino] "hpasswd", mdp root Nix mais pas en clair, pas tout compris ou retenu.
[korenst1 par Hachino] "hpasswd", mdp root Nix mais pas en clair,
pas tout compris ou retenu.
CR: mkpasswd hash -> agenix.
CR: Ça casse les mdp root des vm NixOs e.g. nextcloud.
[korenst1] Penser à mettre en place les backups de BDD par restic (pour l'instant seul borg le fait)
[korenst1] Penser à mettre en place les backups de BDD par restic
(pour l'instant seul borg le fait)
CR: Ok.
[All] INFO : Ajout d'interfaces auto pour les serveurs qui nous faisaient suer (au reboot)
[Hachino] Pénible, je me fais régulièrement jeter par kexchange quand je veux me co à *.adm. :/ Quelqu'un comprend ? (Ah, ça a l'air calmé tiens.)
[All] INFO : Ajout d'interfaces auto pour les serveurs qui nous faisaient suer
(au reboot)
[Hachino] Pénible, je me fais régulièrement jeter par kexchange quand je veux me
co à *.adm. :/ Quelqu'un comprend ? (Ah, ça a l'air calmé tiens.)
[Hachino/Pyjacpp] kex_exchange_identification: read: Connection reset by peer
CR: Resilver de sam ? Mise sous surveillance jusqu'à la prochaine IN.
[Hachino] INFO : Prometheus-apache-exporter sur Zamok avait un format d'options obsolète, corrigé à la main (/etc/default/prometheus-apache-exporter).
J'ai pas compris comment, mais en précisant une config j'ai refait vivre le mysql-exporter. (Probablement mal vu les logs d'erreurs.).
[Hachino] INFO : Prometheus-apache-exporter sur Zamok avait un format
d'options obsolète, corrigé à la main (/etc/default/prometheus-apache-exporter).
J'ai pas compris comment, mais en précisant une config j'ai refait vivre le mysql-exporter.
(Probablement mal vu les logs d'erreurs.).
[Pyjacpp] Remise à jour projets-apprentis
CR: fait
@ -372,22 +255,24 @@ CR: fait
[Hachino] Mauvaise config du ssh tealc -> ilo-* ? Ajout de l'option HostKeyAlgorithms
CR: un peu mieux.
[Pyjacpp] Ajout d'une documentation sur comment gérer les disques, remplacement smartctl.
[Pyjacpp] Ajout d'une documentation sur comment gérer les disques,
remplacement smartctl.
Ajouter comment refaire un boot proxmox avec proxmox-boot-tool
scsi vs ATA ?
Cameron /dev/sdg emplacement 29
CR: Cameron a une config mix
[Hachino] INFO : Fun fact : on a deux anciennes nounous. Et on a oublié RDB sur CransNounous. :(
[Hachino] INFO : Fun fact : on a deux anciennes nounous.
Et on a oublié RDB sur CransNounous. :(
CR: à faire ?
[Pyjacpp] Daniel attention erreur checksum ZFS égale à 2 ET Deuxième disque sans partition de boot.
[Pyjacpp] Daniel attention erreur checksum ZFS égale à 2
ET Deuxième disque sans partition de boot.
Attention pour corriger le second, on a besoin que le premier soit en bonne forme.
CR: À faire si on a le temps.
[Pyjacpp] le disque nvme-CT500P2SSD8_2212E61D5B50 est mystique sur sam cameron ? Non utilisé ?
[Pyjacpp] le disque nvme-CT500P2SSD8_2212E61D5B50 est mystique sur sam cameron ?
Non utilisé ?
CR: SSD pour le boot
CR: Reste de la centralisation des logs ? Partir en recherche d'archives ?
CR: potentiellement un reliquat.
@ -395,15 +280,17 @@ CR: potentiellement un reliquat.
[Pyjacpp] tealc et cameron ont perdu lvm ? Probablement du raid géré par mdadm
CR: À checker un de ces quatre.
[Pyjacpp/korenstin] Attention avec ansible, mise_a_niveau n'est pas merge dans main
[Pyjacpp] Des disques de tealc sont en taille de secteurs 512/4096, c'est normal ?
[Pyjacpp] Des disques de tealc sont en taille de secteurs
512/4096, c'est normal ?
CR: À vérifier.
[Pyjacpp] Compte Nextcloud ne fonctionnant pas : adam-c.
CR: Réglé
CR : point script suppression comptes, lien Nextcloud/LDAP, comptes "supprimés" invisibles dans nextcloud-admin (mais script pour les récupérer d'un coup)
CR : point script suppression comptes, lien Nextcloud/LDAP,
comptes "supprimés" invisibles dans nextcloud-admin
(mais script pour les récupérer d'un coup)
[Pyjacpp] Imprimante
Beaucoup de bourrage papiers ces derniers temps
@ -414,14 +301,20 @@ Comment on fait pour générer snmp.yml ? Où est le generator.yml ?
CR: aller voir du côté de fyre ?
CR: À check avec les ilos.
[Hachino] yson-partou pas reboot ? + gitzly à upgrade + nettoyage des vieux paquets post-maintenance
[Hachino] yson-partou pas reboot ? + gitzly à upgrade +
nettoyage des vieux paquets post-maintenance
[Pigeon] Tous les serveurs ont reboot, c'est pas possible qu'il ait été laissé tranquille
[Hachino] Son noyau courant est en 6.1, alors qu'il a le 6.12 en magasin EDIT : sudo update-grub fait, "plus qu'à reboot" quand ça gêne personne
[Hachino] Son noyau courant est en 6.1, alors qu'il a le 6.12 en magasin
EDIT : sudo update-grub fait, "plus qu'à reboot" quand ça gêne personne
CR: Potentiellement safe de reboot ?
[Hachino] (23/01/2026) Helloworld en souffrance, ressources x2 et ça semble aller un peu mieux ? À surveiller. EDIT : 480 pages en une fois, ça fait mal cheffe.
[Hachino] (23/01/2026) Helloworld en souffrance, ressources x2
et ça semble aller un peu mieux ? À surveiller.
EDIT : 480 pages en une fois, ça fait mal cheffe.
[Hachino] INFO : nettoyage des miettes laissées par la migration pgsql (monitoring notamment). Les alertes autovacuum/autoanalyse semblent inoffensives, osef/20.
[Hachino] INFO : nettoyage des miettes laissées par la migration pgsql
(monitoring notamment).
Les alertes autovacuum/autoanalyse semblent inoffensives, osef/20.
CR: recherche d'high availability des BDD
[RDB] 2FA sur le pass ?
@ -429,23 +322,29 @@ CR: recherche d'high availability des BDD
[Pyjacpp] Mettre à jour backup-ft et ft ?
[Pyjacpp] script de récupération / suppression:
Avis sur un script se connectant en SSH avec des comptes nounous et lançant des commandes ?
Avis sur un script se connectant en SSH avec des comptes nounous
et lançant des commandes ?
Avis sur le lancement de commandes sudo ?
Avis sur une connexion directement avec le mot de passe root ?
Avis pour une suppression semi-automatique (actuellement, la suppression doit se faire à la main) ? En particulier, le script devra faire des sudo rm -rf /home/pseudo (ce qui est terrifiant, mais à la main aussi ?). --> ajoute des --yes-i-want comme pour le mailall ? demander de taper le login pour vérifier ?
Avis pour une suppression semi-automatique (actuellement, la suppression
doit se faire à la main) ?
En particulier, le script devra faire des sudo rm -rf /home/pseudo
(ce qui est terrifiant, mais à la main aussi ?).
--> ajoute des --yes-i-want comme pour le mailall ?
demander de taper le login pour vérifier ?
[Lzebulon] bot renovate pour mise a jour auto du repo NixOS ?
CR: bot qui met à jour les dépendances
CR: avec signature de confiance ?
[Lzebulon] les travaux pour 2026 :
mises à jour
inventaire du matos (comment ? excel ? outil specifique ?) (gitlab/documentation ? branche inventaire_materiel en MR)
inventaire du matos (comment ? excel ? outil specifique ?)
(gitlab/documentation ? branche inventaire_materiel en MR)
Calc sur Nextcloud avec partage aux groupes nounou et bureau (synchro NC/LDAP)
nouveau wiki
date.crans.org [Hachino] Quoi t'est-ce ? Framadate v2 ? Framaforms v2 ? pollaris (le nouveau framaform)
date.crans.org [Hachino] Quoi t'est-ce ? Framadate v2 ? Framaforms v2 ? pollaris
(le nouveau framaform)
[Hachino] Comprendre et corriger (ou faire taire si pertinent) les alertes sur Grafana
un jour peut etre :
ceph et donc :
@ -457,13 +356,13 @@ Nouveaux serveurs
[Pyjac] Plan Ceph
Pyjac est nommé respo Ceph, mention bsahtek, félicitations.
https://pad.crans.org/p/Samedi26Juillet2025
<https://pad.crans.org/p/Samedi26Juillet2025>
Résumé des TODOs personnels à court terme :
Hachino : acheter SSD/HDD/câble port série; contacter Rennes pour camtar InterQ (pour l'imprimante), rédaction mail DPAT
Hachino : acheter SSD/HDD/câble port série;
contacter Rennes pour camtar InterQ (pour l'imprimante), rédaction mail DPAT
Lz: check snmp
Pyjacpp: Séminaires, Suppression des comptes, Switchs/ilos, Imprimante, Wiki, Convention: affaire à suivre, Conférence, Ceph
Quelqu'un : vérifier que l'imprimante est toujours au 0B (en principe oui, parce que le Crous)
Pyjacpp: Séminaires, Suppression des comptes, Switchs/ilos,
Imprimante, Wiki, Convention: affaire à suivre, Conférence, Ceph
Quelqu'un : vérifier que l'imprimante est toujours au 0B (en principe oui,
parce que le Crous)

218
compte_rendus/2026_01_24_CA.md 100644
View File

@ -0,0 +1,218 @@
# Réunion CA
- Date : Samedi 24 janvier 2026
- Lieu : MB87 et Galène
- Début : 14h06
- Fin : 15h42
## Votant⋅es
GaBo
Lyes
Pyjacpp
RDB
Rigobert
## Non-votant⋅es
Hachino
Lzebulon (arrivé vers la fin)
Ordre du jour :
[Pyjaccp] Info: les 30 ans du CRANS c'est 2027-2028
[Hachino] Journées FedeRez à l'ENS, comme aux 20 ans ? 👀
[Pyjacpp] VM interq pour le BDA demande une exemption des frais
[Lzebulon] reflechir date AG
[Lyes] Réfléchir changements statuts pour l'AG
[Lyes] Héberger Federez en secours ?
([Hachino] Dépend de ce que fait le BR, c'est oui-non-peut-être là.)
Penser à répondre à leur mail demandant les dispos des membres et assos.
[Pyjacpp] Conférence avec Mathilde Saliou ?
[Pyjacpp] Son et Lumens est intéressé par notre cable monophasé bleu
[Pyjacpp] Nouveau stock de disques de secours
[korenstin] Les prix des SSD vont augmenter ?
[Pyjacpp] Ramettes de papier à acheter
[Pyjacpp] On a un stock de récipient à waste toner ?
[RDB] Point banque et paiement RIPE
[Pyjacpp] Info écrans donnés
[Pyjacpp] L'imprimante 0B ? Yes plz ;_;
## Info: les 30 ans du CRANS c'est 2027-2028
L'info est prise.
## VM interq pour le BDA demande une exemption des frais
Le BDA demande une exemption de frais de connexion.
Pour : unanimité.
## AG
[Lyes] Réfléchir changements statuts pour l'AG
On réfléchit à une date pertinente.
Compte tenu du calendrier associatif (BDE, Med notamment),
le 28 mars n'est pas un mauvais choix.
Vote formel et définitif lors du CA de février.
Lyes souhaite refondre les statuts pour les simplifier et enlever du legacy
qui n'a plus de sens aujourd'hui.
Exemple : les références au statut de FAI. Réseau -> Services.
Réfléchir au statut d'adhérent, plein de comptes inactifs. Le quorum n'a aucun sens.
Statut utilisateur vs statut adhérent ?
Mettre un quorum sur les membres actifs,
mais donner une voix à tous les utilisateurs ?
GaBo trouve dangereux de donner le pouvoir uniquement aux membres actifs,
dont les intérêts ne sont pas forcément ceux de l'ensemble des utilisateurs.
Lyes trouve fair de donner le pouvoir à ceux qui s'impliquent dans l'asso.
GaBo soulève qu'en cas de gouvernance problématique,
de CA qu'il faudrait renverser, le pouvoir aux membres actifs est une barrière.
Pyjac propose un quoturm disjonctif :
soit x% des MA, soit y% des adhérents(/utilisateurs ?) tout court.
Dans le cas du % d'utilisateurs, avec le nombre inconnu de gens qui utilisent
nos services, c'est impossible à compter de façon fiable.
Idée d'un décompte à la mano par envoi de mail et
"ceux qui répondent sont de facto sur la liste des votants".
Rappel : on a environ 7k comptes au Crans, la plupart anciens,
la plupart qui ont juste voulu Internet à une lointaine époque.
Invitation à s'inscrire sur les listes électorales chaque année ?
Avec un bandeau pour la désinscription/suppression de compte.
Quid des undelivered ? Si on arrive plus à joindre les gens, que faire ?
Sachant qu'on a déjà eu un cas de "je veux bien mon compte mais
j'ai plus accès à mon mail" into envoi de CNI scannée et réactivation.
Durée de vie des données ?
=> voir la RGPD plus en détails
<https://www.cnil.fr/fr/passer-laction/les-durees-de-conservation-des-donnees>
Penser qu'une AGE sauvage ne dispense pas de déposer des
listes et que la team "raisonnable" fasse une contre-liste.
Le CT est une forme de contre-pouvoir : une AGE sauvage ne donne pas le pass.
Au compte bancaire si, enfin.... façon de parler.
Point à rediscuter une autre fois, quand tout ça aura décanté.
## Héberger les Journées Federez en secours ?
Délai pour en parler à l'ENS ? 3 mois pour être tranquille,
2 mois en se pressant un peu, mais ça commence à être juste.
Alcool ? À la Kfet, avec notre tireuse si besoin.
Vigiles ?
Réponse de principe oui (informel), mais on aimerait pas que ça arrive, si possible.
## Conférence avec Mathilde Saliou ?
Marc Jachym : Admin sys au LURPA, représentant BIATSS au CA ENS.
Proximité contre Crosoft à l'ENS.
Sur Tchap : il a lu un livre de Mathilde Saliou sur souveraineté numérique
et écologie et aimerait orga une conf.
Content TàT échec (pas reçu de mail, trompé d'adresse ?).
Le Crans pourrait participer à l'orga, en collab avec TàT.
En plus Lila (TàT) a géré une conf sur le féminisme.
Bonus : les confs du diplôme sont sur la Défense en ce moment,
la souveraineté num ça passe.
Bon on est sans doute trop tard pour faire passer ça en conf du diplôme.
Lyes en a parlé avec Lila, qui lui a conseillé de parler avec
Confer[ENS] qui a l'habitude d'orga ce type d'événement.
Le livre : <https://www.fnac.com/a21740475/Mathilde-Saliou-L-envers-de-la-tech-Ce-que-le-numerique-fait-au-monde#Opinions>
Délai pour l'orga ? Début d'année prochaine ? Fin d'année sinon,
mais beaucoup moins de monde. Plutôt l'année prochaine du coup.
Un jour il faudra contacter l'autrice elle-même, c'est bien si elle est au courant.
Pyjac veut bien gérer le projet et le contact, envoyant avec Marc Jachym.
## Son et Lumens est intéressé par notre cable monophasé bleu
C'est pas un câble, mais une "multiprise" pour baie de serveurs.
Pas trop adapté à S&L, pratique en rechange pour nous,
donc on va plutôt dire non ?
Report du vote en attente de l'avis de S&L.
## Nouveau stock de disques de secours ===
<https://www.bargainhardware.co.uk/components/enterprise-hdds-sdds-storage/sata-ssds/960gb_2-instock>
TVA et livraison incluses, on peut rester sous les 100 €/To,
c'est ish-ok par les temps qui courent.
Grand minimum 1/5 de SSD pour Ceph, n'oublions pas.
Lyes suggère une vingtaine de disques.
Nature des disques de Cephiroth ? On sait pas, à vérifier. EDIT : HDD 2 To Seagate
On rappelle qu'on a un budget de 7200€ du dernier CA pour les SSD (merci Lyes),
toujours pas utilisé.
Fun fact : à l'époque c'était pour 42 SSD, pas merci l'inflation.
On part sur 10 SSD à acheter. Il faut aussi refaire notre stock de HDD.
Hachino a tout le budget pour faire ce qu'il veut avec (piscine à bulles incoming).
Vote pour 2000 € de budget HDD supplémentaire :
Pour : unanimité.
## Ramettes de papier à acheter
## On a un stock de récipient à waste toner ?
## L'imprimante 0B
- Oui.
- Non ?
- En effet... InterQ des rennais ? Voir Discord BDA de Ker Lann sur le Discord InterENS.
- Dpat ? Bien vu.
Plan imprimante :
- Premier voyage de recon pour voir si elle est toujours en place.
- Contacter les Ker lannais par leur Discord BDA (Hachino)
- Mail DPAT
- Braquage à la Kerlannaise (option chouchen et crêpes)
Pyjac revient le 30 janvier et reste quelques jours
(lundi ou mardi dimanche samedi serait ok). Week-end préférable pour la discrétion.
Stocker l'imprimante quelque part en attendant.
(Bureau Crans, local événements ?)
Plan résurrection du 4J à la Cransoloc ???
Monte-charge à l'ENS.
Parler à la DPAT dès ce lundi (26 janvier).
## Point banque et paiement RIPE
RDB brille. Il est allé à la banque pour payer le RIPE
(envoyé, plus mail au RIPE au cas où).
Notre compte est en "non conformité" d'après la SoGé.
Nouveau rebondissement, nouveau papier (encore).
En gros décla du bureau, de l'objet associatif et autre infos
de base/anti fraude (genre fonds de l'étranger).
RDB va essayer d'y retourner dans pas longtemps, d'une pour le pressing,
de deux des fois qu'un autre papier apparaisse des hautes herbes.
La SoGé a donné des codes à RDB pour accéder à l'appli pro,
sauf que non conformité, les codes marchent pas.
Échéance 11 février.
ARC: audit + rendez-vous téléphonique.
Lyes s'en occupe cette semaine.
Setup 2FA sur le RIPE, mettre la clé dans le pass,
puis les membres CA/CT peuvent créer un compte perso et le relier au compte
"orga" du Crans.
## Info écrans donnés
- 1 au BDE
- 1 à S&L (+1 ?)
- 2 écrans au CJV + 1 clavier
- 2 ordis à SENS
Reste: l'écran Iyama + un écran Cora (+ 1 écran random au fond ?)+ 1 ordi
du dpt (et 2 écrans dans l'armoire à l'entrée)
## Hors ordre du jour (shameless plug de Rigo)
Est-ce que le CJV peut vous prendre encore un ou deux claviers ? ===
Ok.
## Hors ordre du jour : convention
Pyjac a relancé l'admin (mail en copie sur nounous entre autres). Attente.

291
compte_rendus/2026_09_21.md
View File

@ -1,291 +0,0 @@
= Réunion CA =
* Date : Dimanche 21 septembre 2025
* Lieu : Galène
* Début : 14h10
* Fin : 15h07
=== votant⋅es ===
Lyes
Rigobert
Antonin
RDB
Gabo
Louis/igolta
=== non-votant⋅es ===
Lzebulon
Pigeon Moelleux
EnzoHenri
Hachino (je tiens à remercier le vigile sympa de ne pas avoir posé de questions)
Motrix
EnzoHenry
loulous27
Ordre du jour :
[Lyes] S&L voudrait racheter notre onduleur
[Lzebulon] Proposition de don d'un moniteur pliant pour la baie
[Lzebulon] Rappel du choix personne pour discuter avec Aurore
[Hachino/Scott] (Pas tout à fait Crans mais tant pis.) Serveur photos : OSS117, Nax ne répond plus. Que fait-on ? Contact direct avec Nax ? EDIT : ou Martin Thiriet, plus pertinent ?
[Rigobert] Boîte aux lettres du Crans
[Lzebulon] Séminaires
Préliminaire : le CA est confus sur ses votants.
Un membre du CA découvre être au CA, ca fait quand meme 4 mois...
=== S&L voudrait racheter notre onduleur ===
Re-préliminaire : S&L est un club "par flemme d'avoir une asso". Confirmé en direct par loulous27, membre S&L.
Son & Lum'ENS veulent l'acheter, comme ils en ont besoin et le Crans ne l'utilise plus (on en utilise un fourni par l'ENS)
VOTE : Vendre l'onduleur à S&L :
- POUR : 6
- CONTRE : 0
- ABSTENTIONS : 0
À quel prix doit-on le vendre ? Proposition de 357 euros (nos impôts). Étude de marché sur Le Bon Coin. Une proposition à 150 € émerge (prix un peu baissé parce qu'on vend à une asso et pas un particulier ou une entreprise). Transmission aux personnes compétentes (Julien de S&L, Alexis, loulous27). Prix encore à décider pour ceci.
=== Proposition de don d'un moniteur pliant pour la baie ===
Un mail a été reçu à la rentrée, qui propose de donner un moniteur pliant,a qui ferait plus pro et plus sympa pour la baie de serveurs.
NB : du matos serait à récupérer du côté du (maintenant ancien) siège informatique de Cora à Metz (racheté par Carrefour). On peut tenter une OPA globale, quitte à redistribuer dans l'ENS ensuite (ou autour, aux copains). Il faut faire une lettre bien propre en PDF, la remettre à loulous27, qui la transmet à son père, qui la passe à la bonne personne.
Lettre à adresser à
Vincent WOIRHAYE
Responsable Administratif Financier
Cora Informatique
12, rue Joseph Cugnot
BP 35049 - 57 072 Metz cedex 3
Mettre une adresse mail pour le retour, genre bureau@ c'est très bien.
VOTE :
- POUR : 6
- CONTRE : 0
- ABSTENTIONS : 0
Répondre vite à l'envoyeur, qui attend depuis 21 (!) jours.
=== Rappel du choix des personnes pour discuter avec Aurore ===
Dans l'idée, il faudrait envoyer 3 personnes du Crans là-bas. On avait dit la dernière fois Antonin, LZebulon, et on pensait à Gabo en troisième. Ce serait Pigeon plutôt (expertise).
L'objet de la discussion est de chiffrer une limite à la bande passante consommée par le Crans sur la fibre d'Aurore.
=== (Pas tout à fait Crans mais tant pis.) Serveur photos : OSS117, Nax ne répond plus. Que fait-on ? Contact direct avec Nax ? EDIT : ou Martin Thiriet, plus pertinent ? ===
Le premier est en 8A, le second en 5A, et il a sûrement eu les derniers accès au serveur. On peut donner accès à club-photos en mettant leur clé SSH sur la machine, ce qui leur permet de se connecter.
=== Boîte aux lettres du Crans ===
Besoin d'une personne qui relève régulièrement le courrier à l'ENS, au moins toutes les semaines, un petit Cron serait de mise. Il faut décider qui garde les clés pour l'instant (Rigobert est OK pour le faire, GaBo est actuellement en possession des clés).
=== Séminaires ===
Il faudrait choisir le thème, l'heure, et les présentateurs du premier séminaire. https://pad.crans.org/p/seminaires
VOTE pour le mercredi 18h30 :
- POUR : 5
- CONTRE : 1
- ABSTENTIONS : 0
Date choisie. Il faut déclarer l'évènement 1 mois en avance pour que les extérieurs non étudiants aient le droit d'assister aux séminaires, mais on peut quand même commencer par un séminaire de présentation dans deux semaines.
Qui s'en occupe ? LZebulon pas trop (je suis en Italie).
La présentation du Crans doit être faite par le président du Crans; GaBo peut éventuellement le faire. RDB est prêt à se dévouer pour un autre. Il faudra faire de la comm'. GaBo propose de fusionner présentation du Crans + Linux 101 et de le faire lui-même, mais avec une semaine de plus pour préparer. GaBo va également tenter de prendre une salle de TP info EEA pour un séminaire réseau avec TP pour tout le monde.
Rigobert se propose pour faire un peu de communication, voir avec la NL BDA, des affiches, et les réseaux sociaux.
Programme :
- GaBo : Présentation et Linux
- Lyes : Typst
- X : LaTeX
- GaBo : Réseau
- Y : Git
= Réunion IN =
* Date : Dimanche 21 septembre 2025
* Lieu : Galène
* Début : 15h10
* Fin : 16h52
=== présent⋅es ===
Lyes
Rigobert
Antonin
RDB
Gabo
Louis
Lzebulon
Pigeon Moelleux
EnzoHenri
Hachino (merci le vigile sympa)
Motrix
EnzoHenry
loulous27
== Ordre du jour ==
GATO
[Lzebulon] backup bde sur thot (relance du bde)
[loulous27] discution pour définir une nouvelle architecture pour L[ENS] (nouveaux besoins).
[Lzebulon] possible reunion avec le BDE pour leur parler de nos services
[Lzebulon] todo : check RGPD compliance du crans :
15 j pour IP/date/url/user-agent
site avec les infos des collectes pour plus de transparence, un peu à la : https://wiki.asso-purr.eu.org/books/conformite/page/registre-de-traitement
[Lzebulon qui reve un peu trop] ca serait vraiment bien d'avoir du 2FA
[Lzebulon qui reve toujours] ca serait top que les fichiers et mails des adh soient chiffre
ca réduit nos obligations legal/on peut vraiment dire qu'on sait pas ce qu'il y a
ca permet de garantir un lieu "sécurisé" (et vu les discussions politiques du moment...) (et de l'année prochaine, en vue des présidentielles)
Une solution : un champ dans re2o pour des clé public ajoute par l'adhérent : on chiffre avec cette clé public (pgp/age/ssh à voir)
[Lzebulon] changement debian trixie qui est sortie : https://pad.crans.org/p/debian_trixie
[Lzebulon] politique mail (DKIM)
[Hachino qui attend en rêvant] Chaussette ! Donnez-moi mes droits nounou ! (Ref à https://fr.wikiquote.org/wiki/Le_Donjon_de_Naheulbeuk si jamais).
[Lzebulon+Hachino] INFO : Le Wiki est réparé ! \o/ Par contre, qu'est-ce qu'il crache comme infos. oO
[Lzebulon] INFO : Le Crans se fait SEO auprès de Google. Ça *devrait* mieux marcher maintenant. Utilise Anubis::OpenGraph.
[Lzebulon] VM/compte RIPE, 2FA obligatoire pour compte root
[Pigeon] Vous connaissez XMPP ? Non, explique-moi pigeon.
[Lzebulon] viarezo
Lzebulon explique le principe d'une IN aux nouveaux.
=== GATO ===
=== Chaussette ! Donnez-moi mes droits nounou ! ===
Le gâteau et les cookies sont très bons. Pigeon is déçu de pas être présent (encagé au Zoo, le pauvre).
Le point gâteau est donc validé.
pyjacpp et Hachino sont maintenant nounous.
=== backup bde sur thot ===
La note doit backup. Actuellement les backups sont fait sur zamok en copiant la base de donnée
Proposition setup une VM de backup :
Proposition Gabo :
- VM à part avec un nouvel VLAN de backup accessibles par les machines adhérentes.
- VM à part avec accès par les adhérents en ayant besoin.
Proposition Pigeon:
- Sur restic avec deux mots de passe, l'un partagé pour accéder au service web, et un autre pour déchiffrer le contenu qui ne serait qu'aux proprio du back ups
Problème restic ne backup pas les base de données
=== discussion pour définir une nouvelle architecture pour L[ENS] (nouveau besoin) ===
Explication d'un 1A de L[ENS]
Besoin d'une meilleure façon pour upload les fichiers et une nouvelle galerie. Besoin d'éditions collaborative de fichiers vidéos. Besoin de refaire un serveur photos.
Pour l'édition collaborative, besoin d'un dossier partagé pour permettre d'avoir les mêmes Rush au même endroit. NFS, Samba ?=> besoin d'une source commune pour les vidéos.
Protégé par un VPN... ? Gestion des accès à définir.
Pigalerie2.
Zone mixte vidéos / photos.
Pas au CRANS de gérer l'installation, mais pas la façon dont le serveur est géré. Peut cependant aider à mettre en place.
Pas besoin de flux vidéos : seulement besoin de récupérer les photos et vidéos une unique fois pour les synchroniser. Besoin de limiter la bande passante.
Pigeon : pas de NFS car Windows...
- Proposition : WebDav.
- NectCloud : ça va ramer, solution plus légère préférable.
- Tout faire par réseau : problèmes de surcharges.
Pas modifications en simultanées mais besoin d'une arborescente synchronisée.
Soft à conseiller pour le reverseproxy Caddy
OpenLdap : mauvaise idée, beaucoup trop lourd à mettre en place et gérer
Galerie afficher de manière bête et méchante les photos, pas d'upload (upload sur le système de fichiers en commun).
Plugin NGINX pour faire de l'authetification, Pigeon : la configuration à l'air compliquée.
Recherche d'un accès simple et sécurisé à la BDD :
- SSH problèmes avec les SHS.
- VPN plus simple.
Suggestion de fail2ban pour ban les spammers
=== possible reunion avec le BDE pour leur parler de nos services ===
Contexte : une personne du BDE est venue pour nous demander des informations sur nos services et pour voir leurs besoins.
Relancer par mail.
=== check RGPD compliance du crans ===
Il faut trouver le temps pour le faire. Compliqué dû à une mauvaise documentation.
=== 2FA ===
Rêve.
=== chiffrement des fichiers et mails ===
Casse pied. Il faudrait savoir comment fonctionne les mails.
Chumpie (qui a changé de pseudos) problèmes de mails qu'il ne voit plus.
=== changement debian trixie qui est sortie : https://pad.crans.org/p/debian_trixie ===
Il faudrait penser à mettre à jour les VMs.
Rappel : le wiki bloque un peu... Mais médiawiki est déjà là.
MÉDIAWIKI EST LÀ AVANT LA FIN DE L'ANNÉE (certifié par Lyes).
=== anubis ===
Anubis doit démarer dans le bon ordre.
Problème, dés fois anubis ne démarre pas dans le bon ordre et crée des 502 : il faut redémarrer Anubis.
Casse pied à corriger car il faut modifier le package Nix.
Rgle, en cas de redémarage du reverseproxy, il faut redémarer Anubis après coup.
=== politique mail (DKIM) ===
Lzebulon avait dit des trucs.
On doit changer dans le DNS notre politique DKIM pour "v=DMARC1;p=quarantine;pct=100;rua=dmarc@crans.org;sp=quarantine;aspf=s;"
v :version
quarantine : stocke et flag comme problématique
pct=100 : ??? https://mxtoolbox.com/dmarc/details/dmarc-tags/dmarc-percentage Pct=100 veut dire que 100% des messages qui failent DMARC passent en quarantaine
rua=dmarc@crans.org : si dmarc déconne, écrire à cette adresse
aspf = https://powerdmarc.com/fr/dmarc-aspf-tag/ "Vous pouvez maintenant modifier votre politique DMARC. Pour ce faire, changez la balise aspf de aspf=s (strict) à aspf=r (relaxed)."
=== INFO : Le Wiki est réparé ! \o/ ===
yay
=== INFO : Le Crans se fait SEO auprès de Google ===
Google n'est pas content qu'on utilise Anubis :(
Dans Anubis il y a une balise no-index qui dit a Google de ne pas indexer.
Pas de solution trouvée à ce moment.
=== VM/compte RIPE, 2FA obligatoire pour compte root ===
Mettre la 2FA dans le pass.
=== viarezo ===
Besoin d'envoyer un mail pour avoir des infos sur leur fibre.
=== Vous connaissez XMPP ? ===
Pigeon: C'est très très cool.
Bridge XMPP ?
(parenthèse bridge whatsapp)
Place du marché libre a dépassé son nombre d'utilisateurs.
Lyes: pour la conquête de l'ENS, avoir des briges WhatsApp et Discord. Matrix obtiendarit l'unanimité des groupes associatfs.
Pigeon + Lzebulon: si on fait ça, ils vont rester sur Discord et WhatsApp.
Lyes: on s'inspire de Microsoft, on active le bridge et dans deux ans on le coupe.
=== Autres ===
On a de nouveau accès aux Ilos !!!
Lzebulon : pensez à compléter le pad https://pad.crans.org/p/projets-apprentis