crans
/
documentation
mirror of https://gitlab.crans.org/nounous/documentation.git
19
0
Fork 0
Code Issues Projects Releases Wiki Activity
documentation/compte_rendus/2014_06_19.md

3.7 KiB
Raw Blame History

Réunion inter-nounous

  • Date : Jeudi 19 juin 2014
  • Lieu : Pavillon des Jardins
  • Début : 19h52
  • Fin : 21h10

Présents

  • Adam Heriban
  • Daniel Stan
  • Nicolas Dandrimont (arrivé à 20h10)
  • Pierre-Elliott Bécue (arrivé à 20h20)
  • Vincent Le Gallic

Ordre du jour

Internet pour admissibles

Pour le PR, le vlan n'est toujours pas présent sur la prise. On va mettre un switch dlink à disposition du BDE. La DSI a dit s'occuper du vlan demain matin, sinon on leur fournira un NAT via une machine sur le vlan3 (qui lui est présent).

Il faudra qu'on discute de ça à la réunion DSI, qu'on ait un fonctionnement plus efficace à l'avenir.

On se propose d'enregistrer des machines WiFi temporaires pour les admissibles, à l'aide de la fonctionnalité de MAC qui remplit automatiquement la MAC d'une machine à la première connexion avec le bon '''login'''/mdp. À voir sur quel compte on enregistre ça. On propose le compte du BDE (il faudrait leur en parler (en cas de déco, c'est le BDE qui prend)) ou un compte dédié pour ça.

Daniel a commencé un script pour inscrire à la volée N machines (avec N grand), on imprimerait alors plein de logins/mdp pour les filer aux admissibles. Toutes les semaines, on supprime les machines et on recommence.

Comptage d'upload

PEB a commencé à configurer pmacct sur le nouveau routeur, en stockant dans une base pgsql locale.

  • Le schéma est un peu modifié, donc les scripts de déco/stats/analyse doivent être réécrits.
  • On loggue tout ce qui passe sur l'interface crans.
    • On a les MACs '''et''' les IPs.
    • On compte pour la déconnexion pour upload le traffic qui sort du /16 de l'ENS.
  • Comme on a l'info mac '''et''' IP, on peut émuler le filtrage mac-ip.
  • Comme on a l'info mac, plus besoin de correspondance EUI64<->Extension de vie privée en IPv6.

On va probablement mettre deux trois filtres pcap pour alléger la base du traffic interne (wifi <->filaire, ça passe par komaz).

Problème : les cas "bâtards" de machines ayant plusieurs entrées dans la base ldap avec la même adresse MAC.

On envisage d'utiliser ce système pour conserver l'historique du parefeu, plutôt que d'utiliser le target LOG d'iptables. Cela diminuerait la taille occupée par les logs du parefeu, car on aurait des infos agrégées sur 1 min.

Logs centralisés

Quand l'étape précédente sera terminée, on aura un peu plus de place sur thot. PEB envisage d'installer une base elasticsearch avec logstash pour stocker les logs centralisés.

On ne sait pas encore combien de place ça va prendre. ''A priori'', plus de place (x2) que des logs textes.

Màj du Firewall

Un peu plus de paramètres dans config.py et une fonction pour mettre à jour le test mac-ip incrémentalement.

Il faudrait recoder un parefeu IPv6, pour régler ces problèmes de màj, et éventuellement en profiter pour en faire un parefeu IPv4-v6 unique.

Civet de lapin

Sur toutes les machines, un démon : trigger.py qui importe (depuis config) les services gérés par la machine courante.

Scénario typique :

  • Quand le binding ldap modifie un objet, il envoie un message avec une clé de routage « trigger.event » et en donnée le dn, les ldiff avant et après modification.
  • Civet reçoit le message, il compare les deux ldiff et dispatche sur un échangeur dédié à un service donné (clé de routage spécifique).

Si plusieurs serveurs implantent le même service, ils possèdent chacun leur file d'attente qui s'associe à l'échangeur.

Réunion DSI

Vendredi 27 juin à 16h.

Babar

Il atteint ses limites. PE regarde pour augmenter l'espacement des sauvegardes des serveurs ayant des services similaires. On se renseigne en parallèle des solutions alternatives (NAS, solution proprio… ?).