# Réunion du Collège Technique * Date : Lundi 14 Janvier 2019 * Lieu : 2B * Début : 18:47 * Fin : 21:01 * <> ## Présents * esum * Chibrac * Erdnaxe * Edpibu * elkmaennchen * Boudy * Pollion * Fardale (en visio) * Mikachu (arrivée vers 20h15) ## Ordre du Jour ### Bilan des activités crans de ces dernières semaines On fait un rapide bilan pour que tout le monde soit au fait de ce qu'il se passe en ce moment niveau technique. * On n'a toujours pas d'imprimante. . Mais on a fait des tests en snmp on récupère plein d'info, Pollion finit ses oraux blancs et s'y remet à partir de vendredi. . Erdnaxe propose de se renseigner plus sur Icinga pour avoir un meilleur monitoring de l'imprimante. * Autre truc cool, on a remis DNSSEC au crans. Chibrac rappelle qu'il y a des vieux fichiers localement sur silice, on fera le nettoyage. * Buster freeze bientôt, Boudy fait remarquer qu'on a encore des serveurs sous Jessie... . Apprentis intéressés ? * On a fait plein de ménage dans les mails de cron, c'est moins la guerre. * Mirroring du dépot re2o upstream au crans, du coup toutes les instances du crans pullent depuis le crans et sont à jour. * On a augmenté le nombre de connexions simultanées à la bdd et on a fait le ménage des restes de pg 9.1 et 9.4 qui traînaient sur thot. * ça ne règle pas tous les soucis, il reste encore des services qui plantent (exemple erreur 500 sur l'API pour mail-server ...) * Grâce à Boudy un problème sur les home avait été soulevé : Les home en majuscule posaient soucis. (les vieux diront que c'était mieux avant et qu'ils l'avaient dit mais ....) Il a été réglé. . Il faudra regarder le script des homes suite au renommage.... * Soucis avec unifi, chibrac regarde il s'en porte garant devant témoin, c'était son idée. . Erdnaxe aimerait bien (dans un monde idéal) avoir un prof crans pour ça, surtout qu'il y a de l'intégration Incinga-Unifi à faire je pense * On a réglé le soucis des noms des logs du fw sur le nfs. * Odlyd possède une partition à part pour le {{{/var/log}}}, ça peut être cool de faire pareil pour gulp. En plus il y a plein de place dans {{{/var/log}}} sur odlyd. Il faut aussi mettre en place un rsylog pour envoyer les logs d'odlyd vers {{{/home/log}}}. Comment ça marchait avant avec sable ??? * Fardale soulève le fait qu'il y aurait un soucis avec rsyslog sur thot. Pas mal de vm ont des soucis : Leur {{{/var/log/spool}}} se remplit .... ce sont les fichiers en attente d'être envoyé sur thot.... . Il renseigne tout sur * On a aussi migré le gitlab vers le paquet omnibus. * re2o des choses ont changé, le crans a activement participé au dev de 2.7, qui arrive soon. ### Certificat SSL cassé et il n'y a pas de redirection HTTP > HTTPS * c'est normal, le port 443 est utilisé par le serveur irc * il pourrait être derrière le proxy ?! * possible mais c'était pour ne pas changer l'url Voir le Wiki sur la centralisation HTTPS : Fardale explique pourquoi c'est comme ça, on laisse comme ça, c'est normal. ### Petite pause Chirac fait une démo de mise à jour de borne, il casse internet, à cause de lui l'IN fait une pause de 10 min. ### Parefeu Zamok: l'accès au vlan adm depuis zamok est restreint par une série de reject. Du coup il existe une race condition. Si un compte est crée et que le parefeu n'est pas régénéré ce compte aura accès au vlan adm. Question : Pourquoi un tel mode de fonctionnement ? Proposition : Fonctionner sur un mode de whitelist. * ça semble pertinent surtout que ça va aussi drastiquement réduire le nombre de règles à parcourir (on va passer de plusieurs milliers à quelques 100aines au pire) * Chibrac dit que c'est à cause du NFS que c'était la merde, Erdnaxe pense que c'est un faux problème. Faut regarder mais tout le monde sauf Chirac trouve ça pertinent.... Par ailleurs, les services re2o de régénération du parefeu plantent salement. On en a déjà parlé, mais il faudrait régler ça soon. ### Mail est accessible depuis l'extérieur. Pourquoi ? Actuellement on peut scanner les addresses mails des admins, c'est chiant. Pollion propose de le dissimuler comme listinfo. * Mikachu plussoie * ça semble simple, Pollion regarde avec sa croziflette après l'IN. On envoie trop de spam. * quand on aura fait le ménage dessus, ce serait pertinent une alerte icinga qui affiche la taille de la mailq (si elle existe pas déjà). comme ça quand elle est trop grande une nounou peut regarder et réparer et/ou aller gentiment blacklister les comptes qui font nawak * On a archivé les 3 comptes qui posent problèmes. . L'archivage : * Chibrac : Il faut qu'on parle de ce qu'on veut. * Fardale : Il faut que Archivage soit un super-set de désactiver. * Actuellement : * Désactiver : Actuellement t'es plus dans le LDAP. * Archivage : Desactiver + ça supprime ça libère les IP . * Ce qu'on veut : * Désactiver : On veut garder dans le LDAP mais passer shadowExpire=0. * Archivage : On veut supprimer de LDAP + supprimer en plus les home. On veut garder le minimum légal. On reçoit trop de spam * on a mis en place des trucs. * Benjamin : Il y a un bot qui s'appelle peb qui périodiquement BL des IP. en cas de redirection @ens-cachan.fr -> @crans.org avec mail avec from en @crans.org se fait jeter par redisdead car il n'est pas authentifié. Question : Quelqu'un a une solution ? Une idée pour chercher ça ? * On propose de WL l'ENS, et on regarde ce que font les autres. ### VLAN Pub Il faut passer le vlan pub (aka adh) en tagged comme on l'avait suggéré à une IN en Avril/Mai/Juin 2018, je ne me souviens plus. Qui est chaud pour aider ? Des apprentis ? Bon, en fait Chibrac crache le morceau, c'est un peu plus compliqué que prévu ...... Il faut changer auth.py .... Les apprentis font un séminaire sur les switches, puis freeradius. ### Migration Il faut finir la migration entammée l'an dernier. Benjamin a envoyé un mail à rezosup concernant leur vm, des nouvelles ? * Non. On les relance... Il faut déplacer les IP publiques des serveurs sur le VLAN dmz, pour unifier un peu tout ce bordel. * On groupe tout ça avec les services, on fera une réu bientôt. ### mailman3 Contextualisation: Actuellement on utilise au crans Mailman comme moteur de mailing list. Une nouvelle version très différente et améliorée arrive avec Debian Buster. Actuellement il existe une vm mailman3 mais elle a été recyclée à partir d'un ancien routeur v6 et c'est pénible de faire le nettoyage. On cherche donc un (ou plusieurs !!) apprenti pour nuker définitivement cette VM, installer une nouvelle VM et faire joujou avec mailman3. * Erdnaxe veux bien le faire à partir du vendredi 25, mais je fais déjà des VM donc autant que quelqu'un se forme * Pollion veut bien encadrer. ### Services à nuker On propose de se débarrasser des services suivants : * Limesurvey --> Chibrac est contre le nuker, le reste est pour --> On nuke, et Federez peut se faire un LS * Ethercalc --> Ok on nuke sauf si quelqu'un se réveille et rale du fond de sa cave. * ligne de VoIP --> On continue de payer la ligne sur le vieux compte OVH. On nuke !!!!!!! Plus violent : * Horde > !NextCloud intègre un client Mail, est-ce qu'Owncloud aussi ? * Pollion : Pour avoir fait des tests sur des instances différentes, !NextCloud est vraiment trop gourmand en ressources par rapport à Owncloud, et ce dernier nous suffit amplement. Je ne suis pas certain qu'il faille en changer. * Mikachu : Je +1, j'ai fait l'erreur d'installer Nextcloud au bureau, je vais surement changer pour owncloud, ça consomme une quantité hallucinante de ressources. * erdnaxe : est-ce que l'on connait la raison ? La base de code paraît pourtant similaire ? Après Owncloud doit surement intégrer un client mail similaire à celui de !NextCloud, non ? * Mikachu : normalement les plugins nextcloud/owncloud étaient (sont?) compatibles et sinon après une recherche rapide il y a ça : * erdnaxe : Rainloop est une application équivalente à Horde/Roundcube, mais qui apporte une facilité d'installation car elle se met directement dans !OwnCloud. * Jabber * Pollion : Plop, je sais que c'est un running gag mais il y a encore des gens qui utilisent le * Pollion : jabber du crans ? * peb : ça arrive, mais de moins en moins * peb : perso je m'en sers occasionnellement * erdnaxe : qu'est-ce que Jabber apporte en plus de Jitsi/IRC ? Tout le monde est sur Discord (mauvais argument, mais malheuresement de plus en plus vrai)... * Il tourne tout seul --> On garde ### Plan de déménagement Avenir des services : mutualisation crans-aurore oui / non Si oui, comment démanager les services à Orsay/Saclay ? Et dans quel ordre. * On fera une Réu pour ça, on en discute par mails. ### Icinga2 (Propositions d'Erdnaxe) * Virer la colonne "apt" car il y a "package" ? * association.crans.org ? Utilité ? * * Faire un recensement des serveurs que l'on allumera plus jamais * * Faire le point avec Mikachu pour savoir si Graphana+Icinga2 est toujours une bonne idée vis-à-vis de Munin * Mettre des raspberry pi sur Icinga et les brancher en amont des onduleurs pour être informé des coupures élec * Mikachu : tous nos onduleurs savent pas parler le SNMP sur l'internet mondial et globalisé ? * Erdnaxe : L'idée est de monitorer si le rpi est allumé ou non (en branchant son alimentation sur une prise non alimenté par l'onduleur) * Mikachu : oui j'ai bien compris, la question est: l'onduleur ne sait pas parler le SNMP pour dire si oui ou non il est allimenté ? * Erdnaxe : on m'a dit que nos onduleurs étaient pour la plupart « non monitorables » donc je suppose que non * Mikachu : ouki, dans ce cas je suis plutôt d'accord, modulo prendre un truc peut être moins overkill qu'un pi (un pi 1 ou un random clone chinois) * Erdnaxe : Un pauvre uControlleur avec une interface Ethernet pourrait passer (ESP8266 bidouillé...) mais faudrait un client Icinga. * Mikachu : si ça amuse quelqu'un ce serait coolish, je serais curieux d'apprendre, mais j'aurais surement que le temps de regarder de loin :) et tu sais pas faire parler le snmp à ton uC ? * Erdnaxe : Il y a un truc pour les uControlleurs qui sont sur le Framework Arduino * > Pourquoi ne pas utiliser qui est fait pour ? -> J'ai une très mauvaise expérience avec à Federez, il est pas possible de l'interfacer avec un système de scripting; l'api put/delete etc qui doit permettre cela est (était ? ) totalement buggée + non packagé dans debian (à l'époque ?) -> Dans ce cas remplacer le dashboard (qui est déjà composé d'iframes) par une page Wiki (avec les iframes comme il faut) ? * Mikachu : sinon tu parlais de se servir de grafana, on doit pouvoir faire des dashboards dans ce style avec grafana (avec ensuite des liens fancy vers des pages plus détaillées etc. ça peut être joli, mais faut prendre le temps de le déployer et de le configurer (et de scripter la conf auto (ansible mon amie :D) * Erdnaxe : Je veux bien faire un rôle Ansible (surtout que je commence à bien le manipuler avec ce que j'ai fait à Aurore) mais est-ce que je le traduis ensuite en BCFG2 pour ne pas avoir deux systèmes au crans ? * Mikachu : boarf, tu peux faire une maquette fonctionelle avec ansible et on la déploiera en prod quand on passera à ansible :) * Erdnaxe : Passer le crans à Ansible sera plus facile que prévu vu que j'ai traduit déjà quelques trucs pour Aurore. * Mikachu : tu peux mettre ça public ? (pour l'instant il faut un compte sur le gitlab d'aurore pour y accéder) ### Wifi qui bogue (Propositions d'Erdnaxe) Constaté le soir Ça n'a pas l'air normal ça : C'est l'occasion pour mieux monitorer les bornes avec Icinga-Unifi ? * Erdnaxe : J'ai commencé des tests, la borne est toujours visible mais refuse les connexions. Est-ce que l'on peut monitorer le lien Radius-Point d'Accès ? Personnellement le wifi normal est inutilisable dans ma chambre le soir et je suis loin d'être le seul dans la même frustration, du coup j'ai mon propre AP. ### ft.crans.org pas du tout à l'heure (Propositions d'Erdnaxe) On a essayé de fix avec un décalage progressif mais il continue à dériver * le 01/01/2019 vers 9h il a 296.11 secondes d'avance * le 01/01/2019 vers 15h il a 308.08 secondes d'avance * le 14/01/2019 vers 18h il a 869.49 secondes d'avance, ça empire donc... * Mikachu : Il sait pas parler le NTP correctement ft ? en lui faisant faire des query plus souvent pour rester à l'heure ? (je sais pas comment on configure le daemon NTP, ce que je dis est peut être con :)) * Erdnaxe : Bah de ce que j'ai compris on a une conf NTP client qui a pour but de le faire converger progressivement vers la bonne heure pour ne pas tout casser. * Fardale s'en occupe ### Remises à plat de l'infra (Propositions d'Erdnaxe) Qu'est ce qu'est oidentd ? Pourquoi on monitore le fait qu'il soit présent sur tous les serveurs ? * C'est un relicat du temps où il servait à l'auth pour les connexions à la bdd (cf ), c'est plus très utile maintenant. -> cf pg_hba.conf : partout où il y a écrit ident, et une péletée de services s'en servent : etherpad, roundcube, imap, sqlgrey, horde, mediadrop, icinga, django_cas * c'est pas la priorité du siècle. Conteneur "sitesweb" Est-ce bien un conteneur non privilégié ? * Erdnaxe dit que s'il n'est pas privilégié ça pose des soucis si faille de sécu. Pollion veut bien un petit résumé de ce qu'il a dit + le lien vers le wiki d'Aurore. * Explications ici : On se met à faire des conteneurs au crans ? On pourrait faire un conteneur template re2o-test et ainsi proposer beaucoup d'instances ? * Actuellement au crans c'est bagdad sur le virtu, on peut pas trop faire ça. ### Wiki crans (Erdnaxe) Séparation partie technique / Partie vie à l'ENS ? * Mikachu : hein ? faire 2 wiki ? pourquoi maintenir 2 trucs plutot qu'un ? * Fardale : la partie technique, c'est tout ce qu'il y a sous CransTechnique (si tout le monde respecte les conventions) * Pollion : Non. Erdnaxe peut se chauffer pour faire un thême crans / ENS ? * Mikachu : go for it, c'est du frontend, ça peut rien casser, au pire les gens pourront se servir de celui qu'ils veulent. ### Service de boot PXE (Erdnaxe) Est-ce que qqu le maintient ? * Mikachu : des gens qui "apprennent" sur le tas quand ça casse. En règle générale c'est un truc qui se maintient assez bien tout seul, sauf quand des gens font mumuse avec les plans d'addressage, dhcp, vlans etc. (en gros sur un réseau de prod "stable" ça casse ~jamais) * Erdnaxe : mais il faut update les iso à un moment ? ou on utilise un service externe ? * Mikachu : euh je me demande si c'est pas synchro avec le ftp, à vérifier. . je viens de voir que le script de `/usr/scripts` pour le pxe a été bougé dans archives .... faut vraiment creuser le sujet, bon point erdnaxe. ? -> Avant d'en déployer un nouveau, faire complétement le ménage.. * Pollion : Oui ### Site du Crans (Erdnaxe) Est-ce que ça gène quelqu'un si Erdnaxe auto-formate tout le code violemment pour faciliter les futures contributions ? (problèmes de tab / 4 espaces) * Pollion : Go for it, bro.