documentation/compte_rendus/2014_06_19.md

# Réunion inter-nounous

* Date : Jeudi 19 juin 2014
* Lieu : Pavillon des Jardins
* Début : 19h52
* Fin : 21h10

## Présents

* Adam Heriban
* Daniel Stan
* Nicolas Dandrimont (arrivé à 20h10)
* Pierre-Elliott Bécue (arrivé à 20h20)
* Vincent Le Gallic

## Ordre du jour

### Internet pour admissibles

Pour le PR, le vlan n'est toujours pas présent sur la prise. On va mettre un
switch dlink à disposition du BDE. La DSI a dit s'occuper du vlan demain matin,
sinon on leur fournira un NAT via une machine sur le vlan3 (qui lui est
présent).

Il faudra qu'on discute de ça à la réunion DSI, qu'on ait un fonctionnement
plus efficace à l'avenir.

On se propose d'enregistrer des machines WiFi temporaires pour les admissibles,
à l'aide de la fonctionnalité de MAC <automatique> qui remplit automatiquement
la MAC d'une machine à la première connexion avec le
bon '''login'''/mdp. À voir sur quel compte on enregistre ça.
On propose le compte du BDE (il faudrait leur en parler (en cas de déco, c'est
le BDE qui prend)) ou un compte dédié pour ça.

Daniel a commencé un script pour inscrire à la volée N machines (avec N grand),
on imprimerait alors plein de logins/mdp pour les filer aux admissibles.
Toutes les semaines, on supprime les machines et on recommence.

### Comptage d'upload

PEB a commencé à configurer pmacct sur le nouveau routeur, en stockant dans une
base
pgsql locale.

* Le schéma est un peu modifié, donc les scripts de déco/stats/analyse doivent
  être réécrits.
* On loggue tout ce qui passe sur l'interface crans.
   * On a les MACs '''et''' les IPs.
   * On compte pour la déconnexion pour upload le traffic qui sort du /16 de
     l'ENS.
* Comme on a l'info mac '''et''' IP, on peut émuler le filtrage mac-ip.
* Comme on a l'info mac, plus besoin de correspondance EUI64<->Extension de vie
  privée en IPv6.

On va probablement mettre deux trois filtres pcap pour alléger la base du
traffic interne
(wifi <->filaire, ça passe par komaz).

Problème : les cas "bâtards" de machines ayant plusieurs entrées dans la base
ldap
avec la même adresse MAC.

On envisage d'utiliser ce système pour conserver l'historique du parefeu,
plutôt que d'utiliser
le target LOG d'iptables. Cela diminuerait la taille occupée par les logs du
parefeu, car on
aurait des infos agrégées sur 1 min.

### Logs centralisés

Quand l'étape précédente sera terminée, on aura un peu plus de place sur thot.
PEB envisage
d'installer une base elasticsearch avec logstash pour stocker les logs
centralisés.

On ne sait pas encore combien de place ça va prendre. ''A priori'', plus de
place (x2) que des logs
textes.

### Màj du Firewall

Un peu plus de paramètres dans config.py et une fonction pour mettre à jour le
test
mac-ip incrémentalement.

Il faudrait recoder un parefeu IPv6, pour régler ces problèmes de màj, et
éventuellement en
profiter pour en faire un parefeu IPv4-v6 unique.

### Civet de lapin

Sur toutes les machines, un démon : trigger.py qui importe (depuis config) les
services gérés
par la machine courante.

Scénario typique :

* Quand le binding ldap modifie un objet, il envoie un message avec une clé de
  routage « trigger.event » et en donnée le dn, les ldiff avant et après
  modification.
* Civet reçoit le message, il compare les deux ldiff et dispatche sur un
  échangeur dédié à un service donné (clé de routage spécifique).

Si plusieurs serveurs implantent le même service, ils possèdent chacun leur
file d'attente
qui s'associe à l'échangeur.

### Réunion DSI

Vendredi 27 juin à 16h.

### Babar

Il atteint ses limites. PE regarde pour augmenter l'espacement des sauvegardes
des
serveurs ayant des services similaires. On se renseigne en parallèle des
solutions
alternatives (NAS, solution proprio… ?).