176 lines
7.0 KiB
Markdown
176 lines
7.0 KiB
Markdown
# Réunion du Collège Technique
|
|
|
|
* Date : Jeudi 5 janvier
|
|
* Lieu : Pavillon des Jardins
|
|
* Début : 19h14
|
|
* Fin : 20h10
|
|
* <<Pad>>
|
|
|
|
## Présents
|
|
|
|
* Emmanuel Arrighi
|
|
* Kévin Le Run
|
|
* Michaël Paulon
|
|
* Rémi Oudin
|
|
* Daniel Stan
|
|
* Martin Bauw
|
|
* Vincent Le Gallic
|
|
|
|
## Ordre du jour
|
|
|
|
### Droits par défaut sur les homes
|
|
|
|
Quelles devrait-être les droits par défauts sur les homes ?
|
|
Y-a-t'il d'autres problèmes à régler ?
|
|
|
|
Les droits par défaut sur les homes créés ont toujours été 755, jusqu'à
|
|
récemment.
|
|
Cela signifie que n'importe qui peut traverser ce home. Il s'avère que certains
|
|
anciens
|
|
ont décidé de changer ce droit par défaut, pour 700. Ceci empêche en
|
|
particulier les
|
|
pages perso de fonctionner, mais s'ils n'en ont pas, c'est leur droit. Il se
|
|
trouve qu'un
|
|
vieux a constaté que les droits sur son dossier www puis plus tard son home ont
|
|
été changés (remis en 755), ce qui n'est pas quelque chose acceptable (il n'a
|
|
pas
|
|
été prévenu et s'est donc retrouvé avec des infos potentiellement privées
|
|
dévoilées
|
|
sur zamok).
|
|
|
|
On ne sait pas de quand ça date, plusieurs hypothèses sont possibles (mise en
|
|
place
|
|
d'owncloud, migration des homes lors du split par lettre, erreur de manip d'une
|
|
nounou),
|
|
et l'intervalle fourni par le vieux en question est plus que large.
|
|
|
|
Suite à la discussion sur #roots, PEB a déjà commité le changement de la
|
|
création
|
|
de nouveaux homes en 701 par défaut. D'un commun accord, tout le monde se rend
|
|
compte que les adhérents pensent souvent à tort que leur home est par défaut
|
|
privé, donc autant le rendre privé. Pourquoi 701 et pas 700: le bit à 1 pour
|
|
others permet
|
|
au serveur web sur zamok de traverser le dossier afin d'accéder au sous-dossier
|
|
www (pages perso).
|
|
Les droits sur le reste des homes déjà créés n'ont pas été changés suite au
|
|
signalement (même si le vieux en question s'est occupé de son cas).
|
|
|
|
* Mon avis sur la question est de
|
|
|
|
changer tous les droits des homes en 701, par principe de précaution. On peut
|
|
ensuite notifier les adhérents où le changement a été nécessaire (et pas avant,
|
|
ce serait pas très responsable). Les quelques adhérents que ça dérange peuvent
|
|
de toute façon revenir en arrière une fois le mail reçu (le mail devrait
|
|
indiquer
|
|
la procédure pour changer/vérifier les droits).
|
|
Ça cassera peut-être *temporairement* des scripts à eux (mais je n'y crois
|
|
pas), mais au moins, ça ne risque pas de dévoiler des données. -- WikiB2moo
|
|
|
|
* Perso, je suis ravi que mon home soit accessible, mais ça me dérangera pas de
|
|
faire un bête chmod le jour où je recevrai le
|
|
mail. -- [[Chirac]] <<DateTime(2017-03-11T05:56:20Z)>>^W -- [[Wiki20-100]]
|
|
|
|
20-100 fait remarquer qu'il ne faut pas toucher aux homes des clubs, qui sont
|
|
traités d'une manière différente.
|
|
|
|
Il faudra vérifier le commit de PEB pour voir s'il modifie les droits sur les
|
|
homes clubs, sur les archives, les logs…
|
|
|
|
On va passer les home des adhérents en 701 (uniquement la racine, pas tout…) et
|
|
on fait gaffe aux clubs, logs, impressions…
|
|
|
|
* Et par contre le fait que les clubs puissent voir tout ce qu'il y a dans les
|
|
www des adhérents, c'est pas
|
|
corrigé ? -- ZeldAurore <<DateTime(2017-03-16T18:40:51+0200)>>
|
|
|
|
### Attaque DDOS
|
|
|
|
Il faudrait s'assurer que tout le monde sait comment la détecter et quoi faire.
|
|
Par ailleurs, il faudrait prévoir des moyens de communications de fallback, et
|
|
des outils de gestion de crise.
|
|
|
|
20-100 propose l'IRC !RezoSup (comme le screen hors campus est rare, un client
|
|
web peut tout à fait faire l'affaire), Charlie a des réticences.
|
|
Il est indispensable que ce ne soit pas une solution ad hoc implémentée par
|
|
dessus la jambe par 2 cranseux, mais un truc fiable qui sera pas en rade le
|
|
jour où le Crans le sera.
|
|
On peut envisager un serveur IRC sur soyouz…
|
|
On peut mettre le mode historique au chan, ce qui règle le problème du backlog
|
|
et du screen.
|
|
On choisit de prendre le chan {{{ #roots }}}
|
|
|
|
* Daniel pense que le problème n'est pas dans un manque d'outil, mais un
|
|
problème humain. À la question "qui est responsable pendant les
|
|
vacances" (posées deux fois), il n'a obtenu aucune réponse. Il semblerait que
|
|
toutes les nounous soient parties en vacances sans se poser cette
|
|
question (la page CransVacances n'existait même pas). Le problème du ddos
|
|
avait été remarqué par Hamza dès le dimanche soir :
|
|
|
|
{{{
|
|
01:57:28 &dely | 138.231.$x.$y
|
|
01:57:42* &dely | Cette machine s'est faite flooder salement
|
|
}}}
|
|
Le problème, c'est qu'Hamza n'allait pas bien et est parti faire autre chose,
|
|
et personne n'a souhaité prendre le relai pour investiguer davantage.
|
|
D'autre part, les outils de monitoring indiquent un grand trafic entrant, le
|
|
graphe munin est un exemple
|
|
criant: <https://munin.crans.org/crans.org/odlyd.crans.org/if_ens.html>
|
|
<https://cloud.tudo.re/index.php/s/bRv2NOwnzVZPy5j>
|
|
<https://cloud.tudo.re/index.php/s/C1qb5XslpY8qEnL>
|
|
Malheureusement, les nounous ne consultent que trop peu ces monitorings, et ne
|
|
se posent plus de question lors d'une nouvelle alerte (trop de faux positifs
|
|
ou d'alertes non critiques qui *trainent* cf certs sur soyouz et
|
|
titanic : <https://phabricator.crans.org/T142>). Bref, à quoi bon chercher de
|
|
nouveaux outils quand les actuels ne sont pas utilisés…
|
|
|
|
* Je suis d'accord avec cette remarque. Je pense que la désignation officielle
|
|
d'un moyen de comm' de backup ne résout pas tout mais serait utile en cas de
|
|
blackout. -- [[Wiki20-100]]
|
|
* Il est indéniable que la communication n'est pas le seul problème, mais ça à
|
|
au moins l'intérêt d'être un problème qu'on peux régler assez facilement,
|
|
juste en se mettant d'accord. -- Charlie
|
|
|
|
Il faut fix les routes de la freebox (ssh zamok depuis la freebox se fait
|
|
refused).
|
|
(FX-ilo est down, il faudra réparer ça. Ça date du changement de switch ilo.)
|
|
|
|
On va aussi mettre à jour le wiki et envoyer un mail récapitulant les
|
|
procédures.
|
|
|
|
#### autostatus
|
|
|
|
Il faudrait faire un effort collectif pour mieux utiliser les systèmes de
|
|
monitoring (autostatus.crans.org, munin.crans.org) et clear tout pour que ça
|
|
devienne propre à nouveau.
|
|
|
|
Autostatus devrait être tout vert(/ouvert ?).
|
|
|
|
### Taches phabricator
|
|
|
|
Petit point des taches pour savoir où on en est (zamok, ipv6, câblage sur thot…)
|
|
|
|
* zamokv5 : Planification en cours de la partie 2. Harcèlement des jeunes.
|
|
* IPv6 : Hamza a fait la demande de tunnel. Chirac doit fournir un LoA de
|
|
l'ARES. Il faut finir ça au plus vite.
|
|
* Câblage sur thot. Portage en cours, script de recherche dans les logs sur
|
|
thot.
|
|
|
|
### Prise défectueuse
|
|
|
|
sur nounou@ :
|
|
{{{
|
|
On 02/01/2017 13:17, $prénom $nom wrote:
|
|
> Salut !
|
|
> Je vous recontacte au sujet de ma prise éthernet défectueuse.
|
|
> Je suis disponible cette après-midi, et tous les soirs de la semaine, ainsi
|
|
que le weekend prochain.
|
|
> Merci et bonne année !
|
|
> $prénom $nom (bâtiment $b, chambre $room)
|
|
}}}
|
|
|
|
Blupon est intéressé pour apprendre, quelqu'un pour l'accompagner ?
|
|
NB : il y a une deuxième demande sur respbats@ (au bât M iirc)
|
|
|
|
Blupon, Mikachu, Fardale se synchronisent pour gérer ça.
|
|
À voir s'il reste suffisamment de prises femelles non serties.
|