crans
/
documentation
mirror of https://gitlab.crans.org/nounous/documentation.git
19
0
Fork 0
Code Issues Projects Releases Wiki Activity
documentation/compte_rendus/2019_01_14.md

390 lines
16 KiB
Markdown
Raw Blame History

# Réunion du Collège Technique
* Date : Lundi 14 Janvier 2019
* Lieu : 2B
* Début : 18:47
* Fin : 21:01
* <<Pad>>
### Présents
* esum
* Chibrac
* Erdnaxe
* Edpibu
* elkmaennchen
* Boudy
* Pollion
* Fardale (en visio)
* Mikachu (arrivée vers 20h15)
## Ordre du Jour
### Bilan des activités crans de ces dernières semaines
On fait un rapide bilan pour que tout le monde soit au fait de ce qu'il se
passe en ce moment niveau technique.
* On n'a toujours pas d'imprimante.
. Mais on a fait des tests en snmp on récupère plein d'info, Pollion finit ses
oraux blancs et s'y remet à partir de vendredi.
. Erdnaxe propose de se renseigner plus sur Icinga pour avoir un meilleur
monitoring de l'imprimante.
* Autre truc cool, on a remis DNSSEC au crans. Chibrac rappelle qu'il y a des
vieux fichiers localement sur silice, on fera le nettoyage.
* Buster freeze bientôt, Boudy fait remarquer qu'on a encore des serveurs sous
Jessie...
. Apprentis intéressés ?
* On a fait plein de ménage dans les mails de cron, c'est moins la guerre.
* Mirroring du dépot re2o upstream au crans, du coup toutes les instances du
crans pullent depuis le crans et sont à jour.
* On a augmenté le nombre de connexions simultanées à la bdd et on a fait le
ménage des restes de pg 9.1 et 9.4 qui traînaient sur thot.
* ça ne règle pas tous les soucis, il reste encore des services qui
plantent (exemple erreur 500 sur l'API pour mail-server ...)
* Grâce à Boudy un problème sur les home avait été soulevé : Les home en
majuscule posaient soucis. (les vieux diront que c'était mieux avant et
qu'ils l'avaient dit mais ....) Il a été réglé.
. Il faudra regarder le script des homes suite au renommage....
* Soucis avec unifi, chibrac regarde il s'en porte garant devant témoin,
c'était son idée.
. Erdnaxe aimerait bien (dans un monde idéal) avoir un prof crans pour ça,
surtout qu'il y a de l'intégration Incinga-Unifi à faire je pense
* On a réglé le soucis des noms des logs du fw sur le nfs.
* Odlyd possède une partition à part pour le {{{/var/log}}}, ça peut être
cool de faire pareil pour gulp. En plus il y a plein de place
dans {{{/var/log}}} sur odlyd. Il faut aussi mettre en place un rsylog
pour envoyer les logs d'odlyd vers {{{/home/log}}}. Comment ça marchait
avant avec sable ???
* Fardale soulève le fait qu'il y aurait un soucis avec rsyslog sur thot.
Pas mal de vm ont des soucis : Leur {{{/var/log/spool}}} se remplit ....
ce sont les fichiers en attente d'être envoyé sur thot....
. Il renseigne tout sur https://pad.crans.org/p/RsysLogMarchePas
* On a aussi migré le gitlab vers le paquet omnibus.
* re2o des choses ont changé, le crans a activement participé au dev de 2.7,
qui arrive soon.
### Certificat SSL cassé
https://irc.crans.org/web et il n'y a pas de redirection HTTP > HTTPS
* c'est normal, le port 443 est utilisé par le serveur irc
* il pourrait être derrière le proxy ?!
* possible mais c'était pour ne pas changer l'url
Voir le Wiki sur la centralisation
HTTPS : https://wiki.crans.org/CransTechnique/Chiffrement/CentralisationHttps
Fardale explique pourquoi c'est comme ça, on laisse comme ça, c'est normal.
### Petite pause
Chirac fait une démo de mise à jour de borne, il casse internet, à cause de lui
l'IN fait une pause de 10 min.
### Parefeu
Zamok: l'accès au vlan adm depuis zamok est restreint par une série de reject.
Du coup il existe une race condition. Si un compte est crée et que le parefeu
n'est pas régénéré ce compte aura accès au vlan adm.
Question : Pourquoi un tel mode de fonctionnement ?
Proposition : Fonctionner sur un mode de whitelist.
* ça semble pertinent surtout que ça va aussi drastiquement réduire le nombre
de règles à parcourir (on va passer de plusieurs milliers à quelques 100aines
au pire)
* Chibrac dit que c'est à cause du NFS que c'était la merde, Erdnaxe pense que
c'est un faux problème.
Faut regarder mais tout le monde sauf Chirac trouve ça pertinent....
Par ailleurs, les services re2o de régénération du parefeu plantent salement.
On en a déjà parlé, mais il faudrait régler ça soon.
### Mail
https://lists.crans.org/admin/ est accessible depuis l'extérieur.
Pourquoi ? Actuellement on peut scanner les addresses mails des admins, c'est
chiant. Pollion propose de le dissimuler comme listinfo.
* Mikachu plussoie
* ça semble simple, Pollion regarde avec sa croziflette après l'IN.
On envoie trop de spam.
* quand on aura fait le ménage dessus, ce serait pertinent une alerte icinga
qui affiche la taille de la mailq (si elle existe pas déjà). comme ça quand
elle est trop grande une nounou peut regarder et réparer et/ou aller
gentiment blacklister les comptes qui font nawak
* On a archivé les 3 comptes qui posent problèmes.
. L'archivage :
* Chibrac : Il faut qu'on parle de ce qu'on veut.
* Fardale : Il faut que Archivage soit un super-set de désactiver.
* Actuellement :
* Désactiver : Actuellement t'es plus dans le LDAP.
* Archivage : Desactiver + ça supprime ça libère les IP .
* Ce qu'on veut :
* Désactiver : On veut garder dans le LDAP mais passer shadowExpire=0.
* Archivage : On veut supprimer de LDAP + supprimer en plus les home. On
veut garder le minimum légal.
On reçoit trop de spam
* on a mis en place des trucs.
* Benjamin : Il y a un bot qui s'appelle peb qui périodiquement BL des IP.
en cas de redirection @ens-cachan.fr -> @crans.org avec mail avec from
en @crans.org se fait jeter par redisdead car il n'est pas authentifié.
Question : Quelqu'un a une solution ? Une idée pour chercher ça ?
* On propose de WL l'ENS, et on regarde ce que font les autres.
### VLAN Pub
Il faut passer le vlan pub (aka adh) en tagged comme on l'avait suggéré à une
IN en Avril/Mai/Juin 2018, je ne me souviens plus. Qui est chaud pour
aider ? Des apprentis ?
Bon, en fait Chibrac crache le morceau, c'est un peu plus compliqué que prévu
...... Il faut changer auth.py ....
Les apprentis font un séminaire sur les switches, puis freeradius.
### Migration
Il faut finir la migration entammée l'an dernier. Benjamin a envoyé un mail à
rezosup concernant leur vm, des nouvelles ?
* Non. On les relance...
Il faut déplacer les IP publiques des serveurs sur le VLAN dmz, pour unifier un
peu tout ce bordel.
* On groupe tout ça avec les services, on fera une réu bientôt.
### mailman3
Contextualisation: Actuellement on utilise au crans Mailman comme moteur de
mailing list. Une nouvelle version très différente et améliorée arrive avec
Debian Buster. Actuellement il existe une vm mailman3 mais elle a été recyclée
à partir d'un ancien routeur v6 et c'est pénible de faire le nettoyage. On
cherche donc un (ou plusieurs !!) apprenti pour nuker définitivement cette VM,
installer une nouvelle VM et faire joujou avec mailman3.
* Erdnaxe veux bien le faire à partir du vendredi 25, mais je fais déjà des VM
donc autant que quelqu'un se forme
* Pollion veut bien encadrer.
### Services à nuker
On propose de se débarrasser des services suivants :
* Limesurvey --> Chibrac est contre le nuker, le reste est pour --> On nuke,
et Federez peut se faire un LS
* Ethercalc --> Ok on nuke sauf si quelqu'un se réveille et rale du fond de sa
cave.
* ligne de VoIP --> On continue de payer la ligne sur le vieux compte OVH. On
nuke !!!!!!!
Plus violent :
* Horde > !NextCloud intègre un client Mail, est-ce qu'Owncloud aussi ?
* Pollion : Pour avoir fait des tests sur des instances
différentes, !NextCloud est vraiment trop gourmand en ressources par
rapport à Owncloud, et ce dernier nous suffit amplement. Je ne suis pas
certain qu'il faille en changer.
* Mikachu : Je +1, j'ai fait l'erreur d'installer Nextcloud au bureau, je
vais surement changer pour owncloud, ça consomme une quantité hallucinante
de ressources.
* erdnaxe : est-ce que l'on connait la raison ? La base de code paraît
pourtant similaire ? Après Owncloud doit surement intégrer un client mail
similaire à celui de !NextCloud, non ?
* Mikachu : normalement les plugins nextcloud/owncloud
étaient (sont?) compatibles et sinon après une recherche rapide il y a
ça : https://marketplace.owncloud.com/apps/rainloop
* erdnaxe : Rainloop est une application équivalente à Horde/Roundcube, mais
qui apporte une facilité d'installation car elle se met directement
dans !OwnCloud.
* Jabber
* Pollion | Plop, je sais que c'est un running gag mais il y a encore des
gens qui utilisent le
* Pollion | jabber du crans ?
* peb | ça arrive, mais de moins en moins
* peb | perso je m'en sers occasionnellement
* erdnaxe : qu'est-ce que Jabber apporte en plus de Jitsi/IRC ? Tout le
monde est sur Discord (mauvais argument, mais malheuresement de plus en
plus vrai)...
* Il tourne tout seul --> On garde
### Plan de déménagement
Avenir des services : mutualisation crans-aurore oui / non
Si oui, comment démanager les services à Orsay/Saclay ? Et dans quel ordre.
* On fera une Réu pour ça, on en discute par mails.
### Icinga2 (Propositions d'Erdnaxe)
* Virer la colonne "apt" car il y a "package" ?
* association.crans.org ? Utilité ?
* https://icinga2-guest.crans.org/icingaweb2/monitoring/list/servicegrid?problems&limit=60%2C60
* Faire un recensement des serveurs que l'on allumera plus jamais
* https://icinga2-guest.crans.org/icingaweb2/monitoring/list/hosts?host_problem=1&sort=host_severity
* Faire le point avec Mikachu pour savoir si Graphana+Icinga2 est toujours une
bonne idée vis-à-vis de Munin
* Mettre des raspberry pi sur Icinga et les brancher en amont des onduleurs
pour être informé des coupures élec
* Mikachu : tous nos onduleurs savent pas parler le SNMP sur l'internet
mondial et globalisé ?
* Erdnaxe : L'idée est de monitorer si le rpi est allumé ou non (en
branchant son alimentation sur une prise non alimenté par l'onduleur)
* Mikachu : oui j'ai bien compris, la question est: l'onduleur ne sait pas
parler le SNMP pour dire si oui ou non il est allimenté ?
* Erdnaxe : on m'a dit que nos onduleurs étaient pour la plupart « non
monitorables » donc je suppose que non
* Mikachu : ouki, dans ce cas je suis plutôt d'accord, modulo prendre un
truc peut être moins overkill qu'un pi (un pi 1 ou un random clone chinois)
* Erdnaxe : Un pauvre uControlleur avec une interface Ethernet pourrait
passer (ESP8266 bidouillé...) mais faudrait un client Icinga.
* Mikachu : si ça amuse quelqu'un ce serait coolish, je serais curieux
d'apprendre, mais j'aurais surement que le temps de regarder de loin :) et
tu sais pas faire parler le snmp à ton uC ?
* Erdnaxe : https://github.com/1sw/Agentuino Il y a un truc pour les
uControlleurs qui sont sur le Framework Arduino
* https://status.crans.org/icinga2 > Pourquoi ne pas utiliser
https://cachethq.io/ qui est fait pour ? -> J'ai une très mauvaise expérience
avec à Federez, il est pas possible de l'interfacer avec un système de
scripting; l'api put/delete etc qui doit permettre cela
est (était ? ) totalement buggée + non packagé dans debian (à
l'époque ?) -> Dans ce cas remplacer le dashboard (qui est déjà composé
d'iframes) par une page Wiki (avec les iframes comme il faut) ?
* Mikachu : sinon tu parlais de se servir de grafana, on doit pouvoir faire
des dashboards dans ce style avec grafana (avec ensuite des liens fancy
vers des pages plus détaillées etc. ça peut être joli, mais faut prendre
le temps de le déployer et de le configurer (et de scripter la conf
auto (ansible mon amie :D)
* Erdnaxe : Je veux bien faire un rôle Ansible (surtout que je commence à
bien le manipuler avec ce que j'ai fait à Aurore) mais est-ce que je le
traduis ensuite en BCFG2 pour ne pas avoir deux systèmes au crans ?
* Mikachu : boarf, tu peux faire une maquette fonctionelle avec ansible et
on la déploiera en prod quand on passera à ansible :)
* Erdnaxe : Passer le crans à Ansible sera plus facile que prévu vu que j'ai
traduit déjà quelques trucs pour Aurore.
https://gitlab.federez.net/erdnaxe/ansible-aurore
* Mikachu : tu peux mettre ça public ? (pour l'instant il faut un compte sur
le gitlab d'aurore pour y accéder)
### Wifi qui bogue (Propositions d'Erdnaxe)
Constaté le soir
Ça n'a pas l'air normal
ça : https://munin.crans.org/crans.org/thot.crans.org/wifi_auth.html
C'est l'occasion pour mieux monitorer les bornes avec
Icinga-Unifi ? https://munin.crans.org/wifi-day.html
* Erdnaxe : J'ai commencé des tests, la borne est toujours visible mais refuse
les connexions. Est-ce que l'on peut monitorer le lien Radius-Point
d'Accès ? Personnellement le wifi normal est inutilisable dans ma chambre le
soir et je suis loin d'être le seul dans la même frustration, du coup j'ai
mon propre AP.
### ft.crans.org pas du tout à l'heure (Propositions d'Erdnaxe)
On a essayé de fix avec un décalage progressif mais il continue à dériver
* le 01/01/2019 vers 9h il a 296.11 secondes d'avance
* le 01/01/2019 vers 15h il a 308.08 secondes d'avance
* le 14/01/2019 vers 18h il a 869.49 secondes d'avance, ça empire donc...
* Mikachu : Il sait pas parler le NTP correctement ft ? en lui faisant faire
des query plus souvent pour rester à l'heure ? (je sais pas comment on
configure le daemon NTP, ce que je dis est peut être con :))
* Erdnaxe : Bah de ce que j'ai compris on a une conf NTP client qui a pour but
de le faire converger progressivement vers la bonne heure pour ne pas tout
casser.
* Fardale s'en occupe
### Remises à plat de l'infra (Propositions d'Erdnaxe)
Qu'est ce qu'est oidentd ?
Pourquoi on monitore le fait qu'il soit présent sur tous les serveurs ?
* C'est un relicat du temps où il servait à l'auth pour les connexions à la
bdd (cf https://en.wikipedia.org/wiki/Ident_protocol ), c'est plus très utile
maintenant. -> cf
pg_hba.conf : https://gitlab.crans.org/nounous/bcfg2/blob/master/Python/etc/postgresql/9.6/main/pg_hba.conf partout où il y a écrit ident, et une péletée de services s'en servent : etherpad, roundcube, imap, sqlgrey, horde, mediadrop, icinga, django_cas
* c'est pas la priorité du siècle.
Conteneur "sitesweb"
Est-ce bien un conteneur non privilégié ?
* Erdnaxe dit que s'il n'est pas privilégié ça pose des soucis si faille de
sécu. Pollion veut bien un petit résumé de ce qu'il a dit + le lien vers le
wiki d'Aurore.
* Explications ici : https://wiki.auro.re/technique:serveurs:conteneur
On se met à faire des conteneurs au crans ?
On pourrait faire un conteneur template re2o-test et ainsi proposer beaucoup
d'instances ?
* Actuellement au crans c'est bagdad sur le virtu, on peut pas trop faire ça.
### Wiki crans (Erdnaxe)
Séparation partie technique / Partie vie à l'ENS ?
* Mikachu : hein ? faire 2 wiki ? pourquoi maintenir 2 trucs plutot qu'un ?
* Fardale : la partie technique, c'est tout ce qu'il y a sous
CransTechnique (si tout le monde respecte les conventions)
* Pollion : Non.
Erdnaxe peut se chauffer pour faire un thême crans / ENS ?
* Mikachu : go for it, c'est du frontend, ça peut rien casser, au pire les gens
pourront se servir de celui qu'ils veulent.
### Service de boot PXE (Erdnaxe)
Est-ce que qqu le maintient ?
* Mikachu : des gens qui "apprennent" sur le tas quand ça casse. En règle
générale c'est un truc qui se maintient assez bien tout seul, sauf quand des
gens font mumuse avec les plans d'addressage, dhcp, vlans etc. (en gros sur
un réseau de prod "stable" ça casse ~jamais)
* Erdnaxe : mais il faut update les iso à un moment ? ou on utilise un service
externe ?
* Mikachu : euh je me demande si c'est pas synchro avec le ftp, à vérifier.
. je viens de voir que le script de {{{/usr/scripts}}} pour le pxe a été bougé
dans archives .... faut vraiment creuser le sujet, bon point erdnaxe.
https://github.com/antonym/netboot.xyz ? -> Avant d'en déployer un nouveau,
faire complétement le ménage..
* Pollion : Oui
### Site du Crans (Erdnaxe)
Est-ce que ça gène quelqu'un si Erdnaxe auto-formate tout le code violemment
pour faciliter les futures contributions ? (problèmes de tab / 4 espaces)
* Pollion : Go for it, bro.
Reference in New Issue View Git Blame Copy Permalink