From e83ee78c52312e90db1e33190f38d8f729eebe46 Mon Sep 17 00:00:00 2001 From: korenstin Date: Tue, 4 Mar 2025 08:43:54 +0100 Subject: [PATCH] =?UTF-8?q?Ajout=20CR=20janvier=20et=20f=C3=A9vrier?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- compte_rendus/2025_01_19.md | 105 ++++++++++++++++++++ compte_rendus/2025_02_22.md | 192 ++++++++++++++++++++++++++++++++++++ 2 files changed, 297 insertions(+) create mode 100644 compte_rendus/2025_01_19.md create mode 100644 compte_rendus/2025_02_22.md diff --git a/compte_rendus/2025_01_19.md b/compte_rendus/2025_01_19.md new file mode 100644 index 0000000..f1bac65 --- /dev/null +++ b/compte_rendus/2025_01_19.md @@ -0,0 +1,105 @@ += Réunion IN = + +* Date : Dimanche 19 Janvier 2025 +* Lieu : MB87 et Galène (https://galene.crans.org/group/IN) +* Début : 17h30 +* Fin : 18h45 + +=== présent⋅es === + +* antonin +* [[WikiBleizi|bleizi]] +* Chiaroush +* ds-ac +* Gabo +* korenst1 +* Lzebulon +* Lyes +* [[WikiPigeonMoelleux|Pigeon Moelleux]] +* viadezo1er (Président de Federez, ancien de ViaRézo) + +=== Ordre du jour === + +* podman fail, que fait-on ? suppression ? +* centralisation de la configuration du dns (dans le LDAP) +* ferle (VM a disposition du RIPE) est éteinte et grub panic quand elle demarre +* borgmatic plante régulièrment à cause de ProtectSystem=full +* spamassassin : semble configurer pour chaque utilisateur⋅ices -> pourrait-on + proposer une configuration par défaut ? +* Déploiement nouvelle infrastructure Matrix +* vulnérabilité rsync sur mirror ? +* le kanban mentionné à la dernière IN est en place +* quels sont les conditions pour une alternative à moinmoin... +* sops -> agenix +* Serveur de build Nix + +== Podman == + +Déjà désinstallé + +== Centralisation du DNS == + +Le DNS est configuré dans le LDAP adh et adm (les deux à la fois). Dans le LDAP +adm, les alias des VMs définis à plusieurs endroits (notamment hodaur). + +On range mieux + [faire de la documentation](https://gitlab.crans.org/nounous/documentation/-/issues/13) + +== ferle == + +VM à disposition du RIPE. Elle grub-panic lorsqu'elle démarre. Il faudrait les +contacter par mail / voir dans leur documentation si on peut réinstaller la VM. + +Pigeon Moelleux est délégué pour s'en charger. + +== Borgmatic == + +Crash de borgmatic à cause de l'option systemd ProtectSystem=full. +Modifier le fichier directement poserais des problèmes lors des mises à jour de +borgmatic. Il est possible de créer un nouveau fichier systemd dans /etc pour +overwrite la configuration. + +== Spamassassin == + +Configuration par utilisateurice -> on valide et on met un message indiquant de +la documentation. + +== Vulnérabilité rsync sur tealc == + +On est pas impacté car on a une version antérieure à celle mise en cause. +Il faudrait mettre tout à jour, mais ça demanderait de tout redémarrer. + +== Matrix == + +Ça avance (déploiement très prochainement). + +== Kanban == + +Meilleure visibilité de ce qu'il y a à faire au Crans +(https://gitlab.crans.org/nounous/kanban/) + +== Wiki == + +Moinmoin -> python 2 donc on aimerait migrer +Quels sont les critères à remplir pour une potentielle migration sur un autre +service ? + +== Gestion des secrets sur NixOS == + +Age -> SSH / Sops -> GPG +Age -> plus simple à configurer +On passe sur age -> on mettra les clefs SSH des gens qui veulent. + +== Serveur de build nix == + +On va checker Hydra (https://wiki.nixos.org/wiki/Hydra). +On fera une VM un peu boostée. + +== Zero bin == + +Zero a été mis à jour par ds-ac. +Enfin assez mal : le template est à revoir. + +== belenios == + +Déjà packagé en nix par Lzebulon +Lyes s'est porté volontaire pour faire le service systemd. diff --git a/compte_rendus/2025_02_22.md b/compte_rendus/2025_02_22.md new file mode 100644 index 0000000..310f8e2 --- /dev/null +++ b/compte_rendus/2025_02_22.md @@ -0,0 +1,192 @@ += Réunion IN = + +* Date : Dimanche 19 Janvier 2025 +* Lieu : MB87 et Galène (https://galene.crans.org/group/IN) +* Début : 16h +* Fin : 18h30 + +=== Présent⋅es === + +* [[WikiBleizi|bleizi]] +* Chiaroush +* Erdnaxe +* Gabo +* Hachino +* korenst1 +* Lyes +* Ohime +* [[WikiPigeonMoelleux|Pigeon Moelleux]] +* [[WikiRDB|RDB]] + +== Ordre du jour == + +* Quie faire de vieilles ML ? 25ans@, respbats@ ? Brûler ? +* suppression de rsyslog +* AptObsolete, que peut-on supprimer dans les packets en question ? +* Qemu-guest-agent (option non activée sur de nombreuses vm mais le paquet est + installé sur toute), au prochain redémarrage, les activons-nous ? +* getty@ttyS0 fail car on n'a pas rajouté les ports séries dans l'interface de + proxmox (les rajouter au redémarrage des serveurs / nixos) +* openipmi fail sur routeur-daniel, mais ne semble pas installé sur sur + routeur-jack et routeur-sam... pourquoi ? doit-on le désinstaller ? (question + similaire pour hodaur, ce n'est pas dans ansible) +* retour sur le problème serveur du 11 février +* Rachat de nouveaux serveurs ? Un Gen10 se trouve à 400-600 € pièce et les Gen8 + du Crans datent de 2012-2015. +* MAJ de Nextcloud -> passage sur NixOS pour que ce soit plus simple à maintenir + ou on reste sur debian ? +* Setup d'un serveur de build pour NixOS +* Fin de mise en place Matrix -> Il y a un problème dans la précédente + configuration du bridge, que fait-on ? +* Remettre en marche Belenios avant l'AG BDE ? +* wiki (historique de modification) +* excalidraw + +=== Que faire de vieilles ML ? 25ans@, respbats@ ? Brûler ? === + +La ML respbats pourrait être encore utilisée de rare fois. + +Pour 25ans, la décision est de conserver les mails mais de drop tout les +nouveaux mails. Pour respbat, on ne change rien (ou alors suppression des +ancien⋅nes responsables). + +=== suppression de rsyslog === + +Aujourd'hui, on n'utilise plus rsyslog mais on utilise journald. Si rsyslog est +utilisé quelque part, on peut remplacer par journald. + +=== AptObsolete, que peut-on supprimer dans les packets en question ? === + +On a des logs sur roots/logs de services qui se plaignent de services qu'ils ont +des paquets installés orphelins/obsolete. + +Sur Galène, il y a avait probablement un paquet orphelin qui servait à quelque +chose. On peut donc les supprimer et si ça casse quelque chose, on réparera. + +Erdnaxe signale que orphelin signifie plus de source APT. Il dit qu'il faut +faire gaffe avant suppression à ce que ça ne soit pas "juste" une source APT +virée quelque part. (Exemple avec Docker : ajout source, apt install docker, +virer source et Docker devient orphelin, pourtant on a pas envie de le +supprimer.) + +=== Qemu-guest-agent === + +qemu-guest-agent est un logiciel qui permet une communication entre proxmox et +la vm et remonter des métadonnées (usage CPU, etc). Cependant, Il s'agit aussi +d'une back door car permet l'execution de commande en root. + +Puisqu'il s'agit d'une fail de sécurité, on désactive l'option sur promox et on +le retire de ansible. + +=== getty@ttyS0 fail === + +ttyS0 permet d'avoir un terminal série sur proxmox typiquement un terminal avec +copier-coller. + +On le rajoute lors du redémarrage des serveurs sur toutes les vm et sur nixos. + +=== openipmi fail === + +Ce serait une dépendance de exporter-prometheus. +S'il n'a pas de dépendance, on peut supprimer le paquet. + +=== Retour sur le problème serveur du 11 février === + +Il y a eu des erreurs avant mais un crash est arrivé le 11 février vers 15h +(Wiki a eu un bug). Les serveurs ont été utilisé à 100%. Tealc a visiblement eu +un problème de cpu et ne répondait plus. Toutes les vms attendaient tealc qui ne +répondait pas. + +Après discussion, les serveurs ont été poweroff ou éteint violemment. Lors du +redémarrage, sam a refusé de redémarrer à cause de 2 ventilateurs +dysfonctionnels qui ont donc été changés. + +=== Rachat de nouveaux serveurs ? === + +L'infra du crans est viellissante et on a l'argent. Proposition d'achat de +nouveau serveur pour renouveler l'infra/avoir un serveur de secours. Pour les +vielles versions, les pièces sont moins chères. + +Les gros ssd commencent à être rentables. + +Des études seront menées afin de déterminer le budget et la procédure qui sera +suivie pour la transition. (visiblement 100€ pour un ssd de 2 To) + +=== MAJ de Nextcloud -> passage sur NixOS ou on reste sur debian ? === + +Nextcloud a quelques(=2) mises à jour majeure de retard. Nextcloud est +actuellement sur debian mais c'est pénible à mettre à jour et installer à la +main. Sur nixos, les mises à jour sont beaucoup plus simple. + +Soit on ne fait pas les mises à jours (mauvaise idée), soit on ansibelise, soit +on passe sur nixos. + +Sur nixos, on peut copier-coller la configuration de debian. + +Plus agréable vs plus sécurisé ? Si des personnes sont intéressés, on peut +mettre en place de l'OIDC + +Projet apprentis : + +* pour uniformiser la page d'identification. +* script de mise à jour ou passage sur nixos ? + +Le passage sur nixos est privilégié. + +La migration sera effectué lorsqu'il y aura des apprentis et des gens motivés + +=== Setup d'un serveur de build pour NixOS === + +On peut mettre le serveur de build sur cephiroth directement (pas sur des vm). +Le serveur de build permettra d'optimiser les build en ne recompilant pas tout +et en utilisant la puissance de calculs sur le serveur de build. + +Proposition d'utiliser hydra et cachix. Alternative, dire au serveur de rebuild +la conf d'un autre serveur, dans ce cas rien à faire à part de la doc +(pigeonmoelleux s'en chagre). + +=== Fin de mise en place Matrix -> Il y a un problème dans la précédente +configuration du bridge, que fait-on ? === + +2 choses à mettre en place : + +* client web (element) +* connexion en OIDC par note kfet + +Lzebulon et pigeonmoelleux ont regardé la configuration de matrix et il faut +changer le bridge irc/matrix. Le serveur matrix a été pensé pour faire +uniquement du bridge donc le namespace (nom de channel gérer par le bridge) des +serveurs matrix doivent être des salons irc. Ils proposent de remapper les noms +des salons irc sur matrix mais tout les salons sont déjà mappé sur matrix et +donc pigeonmoelleux a drop les noms des salons mais les anciens salons existent +encore. La chose la plus simple à faire est de drop la base de données de +matrix. Cela signifie que tout l'historique sera perdu. (ce qui n'est pas un +problème car ni en prod ni beaucoup utilisé). Les personnes que ça dérangerait +seront potentiellement les personnes de Aurore. On préviendra les membres de +Aurore. + +Les administrateur⋅ices seront les nounous. + +=== Remettre en marche Belenios avant l'AG BDE ? === + +c'est compliqué : + +* Soit remet debian avec ansible : c'est compliqué, pas à jour et la compilation + ne marche pas. +* Soit on passe sur nixos : Est en train de se faire packager sur nixos par + Lzebulon/Lyes + +=== Wiki (historique de modification) === + +La page modification récente a été cassée et devrait refonctionner mais +visiblement ne fonctionne pas dans certains cas. + +Est-ce que le crans décide de mettre en place WikiStalk ? + +On peut garder WikiStalk et on le met sur zamok. + +=== Escalidraw === + +https://excalidraw.com/ + +Pas primordiale mais pas d'objection.