documentation/compte_rendus/2024_11_16.md

# Réunion IN

* Date : Samedi 16 Novembre 2024
* Lieu : MB85 et Galène (<https://galene.crans.org/group/IN>)
* Début : 14h34
* Fin : 17h21

## Participant⋅es

* bleizi
* Emett
* GaBo
* korenst1
* Lzebulon
* Otthorn
* Pigeon Moelleux
* Rigobert

## Ordre du jour

* [Pigeon] trier l'ordre du jour (avec un tri topologique)
* [Lzebulon] (on est plus à un point pret) viarezo, on doit reconnecter je
  crois ->^? sfp
* [Hachino] (Possiblement HS) Problèmes d'envois de la ML Événements vers
  certains domaines (`<Robin>@laposte.net` et `<Clara>@gmx.fr`). Réputation
  mail ?
* [Lzebulon, korenstin] sudo apprenti⋅e⋅s sur machine apprenti
* [Pigeon] Possible sans trop de soucis mais il faut alors pas monter les
  home_nounous -> le but était justement de discuter de ce point ! (genre
  ajouter dans ansible une exception à la vm apprenti pour dire "bah non en
  fait... on ne veut pas les home_nounous")
* [Hachino, 30 oct. 10h30] Nextcloud est encore plus lent que d'habitude, au
  point qu'il n'est pas arrivé à ouvrir un dossier < 5 Mo avec une dizaine de
  PDF. Owncloud idem est devenu super lent (mais il sert tous les fichiers).
  Sur OC, quand je lis un PDF dans le navigateur et que je fais "retour", je
  suis renvoyé dans mon /home au lieu du dossier courant. EDIT : tiens, une
  heure plus tard ça semble un peu plus fluide et l'erreur de retour a disparu ?
* augmenter le nombre de cpu/ram de la vm + augmenter le nombre de
  pm.children_max (php-fpm) ?
* [Lzebulon] nettoyage de zamok : virer podman ? autres trucs ? possibilité de
  faire un sondage pour savoir ce que les adhérent.e.s ont besoin pour virer ce
  qui est inutile ?
* [Pigeon] nix sur zamok ? (Pas NixOS, juste le package manager)
* [Pigeon] Documentation adh : docmost ?
* [Lzebulon] update etherpad : 1.8.18 -> 2.2.6 ? (breaking changes
  <https://github.com/ether/etherpad-lite/releases/tag/v2.0.0> : npm -> pnpm)
* [Lzebulon] comment ca fonctionne policyd-rate-limit/comment debug quand
  quelqu'un se plainds
* [Lzebulon] (peu important) redite.crans.org semble cassé (mais j'ai pas
  regarde) -> redite n'est qu'une vm pour présenter nixos à des anciens
  apprentis (merci aeltheos d'ailleurs !)
* [Lzebulon] Blackbox probe failed souvent sur owncloud
* [Lzebulon] onlyoffice est cassé je sais pas pourquoi
* [bleizi] SPF fail
* [Lzebulon] si zamok est down/postfix mal monte, et redisdead est up -> perte
  de mail ? : possibilite de se passer de zamok pour la reception des
  mails ? (comme c'est le cas pour nextcloud)
* [Pigeon] getty@ttyS0
* [Lzebulon, korenstin] Point imprimante
* [Hachino] Charlie dit qu'on ne peut pas envoyer plusieurs fichiers à
  l'imprimante et les faire imprimer en une fois.
* [aeltheos, lzebulon] serveurs à paris
* [Lzebulon] je ne sais pas à quoi fait référence ce point -> il y a ~1 mois
  qn (sur le discord med surement) à transmis un msg à propos de la
  disponibilité (par un don) de serveur d'une certaine asso. Le but était que
  qn les contacts (toi ou aeltheos) pour demander les specs
* [Hachino] Jitsi semble bien cassé : je viens d'essayer de faire une visio
  avec quelqu'un et chaque fois que l'un rentrait, l'autre était déconnecté. En
  boucle. On a fini par utiliser celui d'Aurore à la place.
* [korenstin] les scripts python ne possèdent pas de requirements et ne sont
  pas dans des venv
* [korenstin] Point ansible ?
* [korenstin] Que fait on de trinity ?
   * [Pigeon] Installation Matrix prochainement ? Debian ou NixOS ?
   * Même question (càd que fait-on de ... ?) pour les vms inactives sur
     proxmox (éteinte) ? tealch, kameron, otter, daneel, listenup, gougle,
     ceph{0, 1, 2}, test-debian-postfix (x2), aeris
   * Suppression dans le ldap ? (constellation-dev, dsi??,  excalibur, horst,
     idrac-zbee, ilo-charybde, karst, passerelle, rodney, zephir)
* [korenstin] Organisation des machines (physiques et virtuelles) dans la
  documentation (qu'est-ce qu'on met ? qu'est-ce qu'on ne met pas ? fichiers à
  part ? tout dans le qui est qui ?)
* [Pigeon] Indiquer dans la doc quelles VM/machines on peut redémarrer sans
  causer d'apocalypse
* [lzebulon, pigeonmoelleux, korenstin] ft ne marche toujours pas... pas de
  doc, imcompréhensible
  aka : pour se connecter à routeur ft il faut passer par backup ft...,
  certaines machines ping ft mais pas toutes et pas toujours
* [Pigeon] Présentation restic
* [Pigeon] l'ipv6 ne fonctionne pas sur thot

### trier l'ordre du jour (avec un tri topologique)

Pigeonmoelleux s'est amusé !

### viarezo, on doit reconnecter je crois ->^? sfp

Tout fonctionne, le vlan passe.
VR -> pb avec le switch et depuis et il y a eu des pb.
on verra quand on aura de nouveau SFP

### Problèmes d'envois de la ML Événements vers certains domaines

L'une des personnes en question n'était pas inscrite sur la ML et la poste est
sensible.

### sudo apprenti⋅e⋅s sur machine apprenti

Le but de la VM c'est de permettre le sudo pour les apprenti⋅es
Cependant les home_nounous sont montés.
Les home_nounous sont à démonter et la vm n'aura plus de backup borg à cause
d'une clé ssh

Pour les hash des mots de passe dans /etc/shadow : on va leur faire confiance
pour ça (en faite il n'y a que le mot de passe root).

Sinon, mettre un autre mot de passe root root

### Nextcloud est encore plus lent que d'habitude

Nextcloud est lent, mais plus que d'habitude ?
Le nombre de php a été augmenté sur Owncloud.
Sinon, peut-être qu'il faut augmenter la RAM, le stockage...

ou alors encourager à utiliser des alternatives (dav, ou autre client)

### nettoyage de zamok

retirer des outils qui sont encore là comme podman qui semble utilisé par
personne (qui était utilisé par ynerant et erdnaxe)

Erreur systemctl : prometheus, dhcp-server, postfix, smartmontools n'ont pas
d'user configurer (probablement à cause de la coupure)

On ne sait pas pour smart, isc.

### nix sur zamok ? (Pas NixOS, juste le package manager)

Tout le monde pourrait installer n'importe quoi (dans /nix/).
Il faudrait donc augmenter la mémoire (qui a 250 Go de disponible et qui a des
disques libres). On peut ajouter un disque pour /nix et nix optimize/garbage
régulièrement)
Soit :

* /nix est local sur zamok -> juste pour zamok (sur cameron) et un pour le
  reste du crans
* /nix commun pour le crans (risquer)

Pas d'opposition ferme

### Documentation adh : docmost ?

Facile à écrire (exemple config pour thunderbird).
on continuera à chercher plus tard (ne prend pas en charge l'interconnexion
avec le ldap).
Pas de connexion nécessaire pour lire la doc.
Import possible avec le markdown.

Un certain nombre de demande pour découvrir les différents services du crans
avis mitigé...

### update etherpad : 1.8.18 -> 2.2.6 ?

Il y a une version majeure d'écart...
Est-ce que la migration se passe bien -> ça à l'air... (pas l'air d'y avoir de
breaking change)
Comment s'est installé et on met à jour ? -> le repo est clone depuis le github
de etherpad.

### Comment ça fonctionne policyd-rate-limit/comment debug quand quelqu'un se plainds

Permet de limiter nombre de mails envoyés.
Il vérifie que les utilisateurs n'otn pas atteint un quota (par IP et user)

Il y a aussi une limite dans postfix
policyd-rate-limit -> possède une db on sait pas où

si qn se plaint, on ne fait rien, ça partira en 24h
(envoyer un mail à PEB)

### (peu important) redite.crans.org semble cassé (mais j'ai pas regarde)

Ça marche très bien ! point suivant.

### Blackbox probe failed souvent sur owncloud

On sait pas pk, on sait pas ce que c'est.
C'est quand on utilise un service et qu'il renvoie une erreur 502 (comme
nextcloud, roundcube, ownloud, wiki)

 -> c'est un exporter prometheus qui peut servir à ça mais aussi d'autre chose

### onlyoffice est cassé je sais pas pourquoi

Ça ne marche plus...
Le lien symbolique (pour nginx) avait disparu...

### SPF fail

On peut se dire qu'on drop les mails qui fail

Est-ce qu'on accepte ou refuse les hard et/ou soft fail ?
Si soft fail : on doit le laisser passer sauf si on a un autre critère de rejet
Si hard fail : on peut les bloquer (mais pas obligé)

Proposition en cas de SPF fail :

* sur redisdead, on augmente le score de spam s'il y a un anti spam, sinon on
  fait rien
* sur mailman, on installe SPF, on drop le mail en cas de fail (mais pas de
  soft fail)

redisdead : les mails sont rejetés si sans nom de domaine associé,
score > 4 byebye (c'est pas clair)

### Si zamok est down/postfix mal monte, et redisdead est up -> perte de

mail ? : possibilité de se passer de zamok pour la réception des mails ? (comme
c'est le cas pour Nextcloud)

On perd des mails
redisdead essaye d'écrire sur zamok et donc, si les disques sont inaccessibles,
on perd des mails.
La raison était de pouvoir avoir ses propres filtres de mails

Sinon faire le filtre sur direct sur redisdead.
Il ne devrait pas perdre des mails quand même si zamok est down.

Le problème vient probablement du serveur mail de zamok...

Juste faire attention quand on redémarre

Rajouter un ordre dans l’exécution dans systemctl ?
D'où vient le pb de montage ?
dire à postfix d'écrire dans un autre dossier si inaccessible
On attend ceph

### getty@ttyS0

Ça fail bcp et un problème de droit encore (visiblement)

### Point imprimante (ca refonctionne (merci aeltheos et lzebulon) mais pas la

couleur (rien de nouveau -> si le scan !))

Ça marche, juste pas le magenta (problème avec la buse magenta)
Si on veut de la couleur on peut essayer de refaire fonctionner l'autre
imprimante -> Otthorn ne pense pas, il y avait le pb avec le finisher,
software, contrat avec HP et encres hyper chères. C'était une machine à gaz.

### On ne peut pas envoyer plusieurs fichiers à l'imprimante et les faire

imprimer en une fois.

Le site a été développé vite et mal, il peut être intéressant de le dev
mieux.... (c'est pas urgent)

### serveurs à paris

pas contacté

### Jitsi semble bien cassé : je viens d'essayer de faire une visio avec

quelqu'un et chaque fois que l'un rentrait, l'autre était déconnecté. En
boucle. On a fini par utiliser celui d'Aurore à la place.

pigeonmoelleux semble avoir résolu le problème.
Jitsi n'est pas à jour...
c'est sur apt -> probablement des breaking change

### scripts python ne possèdent ni requirements ni venv

Les scripts ont cassé car ni venv ni requirements.
On peut le faire mais probablement la flemme.

### Point ansible ?

Pas d'apprenti⋅es

### Que fait on de trinity ? et d'autre vm

Trinity, on garde

Même question (càd que fait-on de ;

* tealch
* kameron
* otter
* daneel
* listenup
* gougle
* ceph{0, 1, 2} (potentiellement on garde)
* test-debian-postfix (x2)
* aeris
* one

On demande à ds-ac pour savoir si on peut les brûler

Suppression dans le ldap ?

* constellation-dev
* zamok-tmtc -> supprimer

dsi -> il faut se renseigner

### Organisation des machines (physiques et virtuelles) dans la documentation

Pas ansible

vlan, suffixe IP=ID

Indiquer les machines que l'on peut redémarrer sans problème.

Fichier à part détailler pour les machines physiques.

On met dans le pad IN les trucs qui ont été fait en quatrième vitesse/non
documenter/pas ansible/pas de nixos

### ft ne marche toujours pas... pas de doc, imcompréhensible

Plus de backup actuellement :
thot : pb de boot, disque, on a tout réinstaller sur nixos (avec restic)
ft : ne marche plus depuis qu'il est revenu (depuis VR) (avec borg)

ft ne répond plus.
VR a éteint ft sans nous le dire. Tout a été relancé et tout refonctionnait. VR
ré-éteint ft. ft a été ramené chez nous.
Pb chez nous, ça ne refonctionne pas et c'est incompréhensible.

Sur ft, il a 2 vm (proxmox) routeur-ft, backup-ft.
routeur-ft a un vpn vers boeing. On ne comprend rien au fonctionnement.
On ne sait pas régler le problème.

On dit : on supprime proxmox et vm, on met tout sur ft

Si on devait réinstaller ft, on aura pas besoin de tout réinstaller.
On garde backup-ft mais on supprimer routeur-ft

où on met ft ? peut être pas à VR

### Présentation restic

Thot ne supporte pas l'uefi et on a installé uefi
Restic et borg sont des bakcups incrémentales. Plus de détail dans la
documentation.

### L'ipv6 ne fonctionne pas sur thot