Réunion du Collège Technique

• Date : Jeudi 5 janvier
• Lieu : Pavillon des Jardins
• Début : 19h14
• Fin : 20h10

• Lien vers l'etherpad associé

Présents

• Emmanuel Arrighi
• Kévin Le Run
• Michaël Paulon
• Rémi Oudin
• Daniel Stan
• Martin Bauw
• Vincent Le Gallic

Ordre du jour

Droits par défaut sur les homes

Quelles devrait-être les droits par défauts sur les homes ? Y-a-t'il d'autres problèmes à régler ?

Les droits par défaut sur les homes créés ont toujours été 755, jusqu'à récemment. Cela signifie que n'importe qui peut traverser ce home. Il s'avère que certains anciens ont décidé de changer ce droit par défaut, pour 700. Ceci empêche en particulier les pages perso de fonctionner, mais s'ils n'en ont pas, c'est leur droit. Il se trouve qu'un vieux a constaté que les droits sur son dossier www puis plus tard son home ont été changés (remis en 755), ce qui n'est pas quelque chose acceptable (il n'a pas été prévenu et s'est donc retrouvé avec des infos potentiellement privées dévoilées sur zamok).

On ne sait pas de quand ça date, plusieurs hypothèses sont possibles (mise en place d'owncloud, migration des homes lors du split par lettre, erreur de manip d'une nounou), et l'intervalle fourni par le vieux en question est plus que large.

Suite à la discussion sur #roots, PEB a déjà commité le changement de la création de nouveaux homes en 701 par défaut. D'un commun accord, tout le monde se rend compte que les adhérents pensent souvent à tort que leur home est par défaut privé, donc autant le rendre privé. Pourquoi 701 et pas 700: le bit à 1 pour others permet au serveur web sur zamok de traverser le dossier afin d'accéder au sous-dossier www (pages perso). Les droits sur le reste des homes déjà créés n'ont pas été changés suite au signalement (même si le vieux en question s'est occupé de son cas).

• Mon avis sur la question est de changer tous les droits des homes en 701, par principe de précaution. On peut ensuite notifier les adhérents où le changement a été nécessaire (et pas avant, ce serait pas très responsable). Les quelques adhérents que ça dérange peuvent de toute façon revenir en arrière une fois le mail reçu (le mail devrait indiquer la procédure pour changer/vérifier les droits).

  Ça cassera peut-être *temporairement* des scripts à eux (mais je n'y crois pas), mais au moins, ça ne risque pas de dévoiler des données. -- WikiB2moo

• Perso, je suis ravi que mon home soit accessible, mais ça me dérangera pas de faire un bête chmod le jour où je recevrai le mail. -- Chirac 2017-03-11 05:56:20^W -- Wiki20-100

20-100 fait remarquer qu'il ne faut pas toucher aux homes des clubs, qui sont traités d'une manière différente.

Il faudra vérifier le commit de PEB pour voir s'il modifie les droits sur les homes clubs, sur les archives, les logs…

On va passer les home des adhérents en 701 (uniquement la racine, pas tout…) et on fait gaffe aux clubs, logs, impressions…

• Et par contre le fait que les clubs puissent voir tout ce qu'il y a dans les www des adhérents, c'est pas corrigé ? -- ZeldAurore 2017-03-16 16:40:51

Attaque DDOS

Il faudrait s'assurer que tout le monde sait comment la détecter et quoi faire. Par ailleurs, il faudrait prévoir des moyens de communications de fallback, et des outils de gestion de crise.

20-100 propose l'IRC RezoSup (comme le screen hors campus est rare, un client web peut tout à fait faire l'affaire), Charlie a des réticences. Il est indispensable que ce ne soit pas une solution ad hoc implémentée par dessus la jambe par 2 cranseux, mais un truc fiable qui sera pas en rade le jour où le Crans le sera. On peut envisager un serveur IRC sur soyouz… On peut mettre le mode historique au chan, ce qui règle le problème du backlog et du screen. On choisit de prendre le chan  #roots 

• Daniel pense que le problème n'est pas dans un manque d'outil, mais un problème humain. À la question "qui est responsable pendant les vacances" (posées deux fois), il n'a obtenu aucune réponse. Il semblerait que toutes les nounous soient parties en vacances sans se poser cette question (la page CransVacances n'existait même pas). Le problème du ddos avait été remarqué par Hamza dès le dimanche soir :

  • 01:57:28     &dely | 138.231.$x.$y
    01:57:42*    &dely | Cette machine s'est faite flooder salement 

  Le problème, c'est qu'Hamza n'allait pas bien et est parti faire autre chose, et personne n'a souhaité prendre le relai pour investiguer davantage.

  D'autre part, les outils de monitoring indiquent un grand trafic entrant, le graphe munin est un exemple criant: https://munin.crans.org/crans.org/odlyd.crans.org/if_ens.html https://cloud.tudo.re/index.php/s/bRv2NOwnzVZPy5j https://cloud.tudo.re/index.php/s/C1qb5XslpY8qEnL Malheureusement, les nounous ne consultent que trop peu ces monitorings, et ne se posent plus de question lors d'une nouvelle alerte (trop de faux positifs ou d'alertes non critiques qui *trainent* [cf certs sur soyouz et titanic : https://phabricator.crans.org/T142]). Bref, à quoi bon chercher de nouveaux outils quand les actuels ne sont pas utilisés…

  • Je suis d'accord avec cette remarque. Je pense que la désignation officielle d'un moyen de comm' de backup ne résout pas tout mais serait utile en cas de blackout. -- Wiki20-100

  • Il est indéniable que la communication n'est pas le seul problème, mais ça à au moins l'intérêt d'être un problème qu'on peux régler assez facilement, juste en se mettant d'accord. -- Charlie

Il faut fix les routes de la freebox (ssh zamok depuis la freebox se fait refused). (FX-ilo est down, il faudra réparer ça. Ça date du changement de switch ilo.)

On va aussi mettre à jour le wiki et envoyer un mail récapitulant les procédures.

autostatus

Il faudrait faire un effort collectif pour mieux utiliser les systèmes de monitoring (autostatus.crans.org, munin.crans.org) et clear tout pour que ça devienne propre à nouveau.

Autostatus devrait être tout vert(/ouvert ?).

Taches phabricator

Petit point des taches pour savoir où on en est (zamok, ipv6, câblage sur thot…)

• zamokv5 : Planification en cours de la partie 2. Harcèlement des jeunes.
• IPv6 : Hamza a fait la demande de tunnel. Chirac doit fournir un LoA de l'ARES. Il faut finir ça au plus vite.
• Câblage sur thot. Portage en cours, script de recherche dans les logs sur thot.

Prise défectueuse

sur nounou@ :

On 02/01/2017 13:17, $prénom $nom wrote:
> Salut ! 
> Je vous recontacte au sujet de ma prise éthernet défectueuse.
> Je suis disponible cette après-midi, et tous les soirs de la semaine, ainsi que le weekend prochain.
> Merci et bonne année !
> $prénom $nom (bâtiment $b, chambre $room)

Blupon est intéressé pour apprendre, quelqu'un pour l'accompagner ? NB : il y a une deuxième demande sur respbats@ (au bât M iirc)

Blupon, Mikachu, Fardale se synchronisent pour gérer ça. À voir s'il reste suffisamment de prises femelles non serties.