• ComptesRendusCrans
• Jeudi10Avril2014

Réunion du Collège Technique

• Date : Jeudi 10 avril 2014
• Lieu : Condorcet
• Début : 19h30
• Fin : 21h15

Présents

• Pierre-Elliott Becue
• Jordan Delorme
• Vincent Le Gallic
• Lucas Serrano

Ordre du jour

HeartBleed (OpenSSL)

On ne rappelle pas les faits : ils sont suffisament détaillés sur le net. Tous les certificats accessibles depuis l'extérieur du campus ont été renouvelés sauf redisdead.

• j'imagine que le renouvellement des clefs privées est sous entendu, ça serait bien de remettre le TLSA un peu partout (via gest_crans_lc par exemple), le certificat de sogo est révoqué, quid des clefs du openVPN soyouz-komaz-titanic qui donne accès à adm -- ValentinSamir 2014-04-10 23:35:09

Pierre-Elliott a plus ou moins écrit une page Wiki pour informer les adhérents de la faille de sécurité. Lien de la page : HeartBleed

Il faut encore renouveler les certificats de :

• Redisdead (x2)
• XMPP
• O2
• Asterix
• Wifi
• News
• Tracker

QR codes

Le BDE/Gala souhaiterait savoir si le Cr@ns peut éditer les QR codes en plus de les imprimer.

Y'a plein de lib python pour faire des QRCode. Il faudrait faire un site web pour les organisateurs du gala. On peut utiliser l'interface d'admin d'une appli django.

On manque pas mal d'infos sur le cahier des charges :

• Est-ce qu'on doit permettre le paiement en ligne ?
• Comment ça se passe pour les bipper le soir du gala ?

On va demander de plus amples précisions au gala.

Daphné, membre du bureau du gala 2015 a précisé à Pierre-Elliott le cahier des charges pendant qu'il allait chercher son linge (ah bah bravo). L'idée serait d'avoir un site dédié à la gestion des préventes en ligne, donc l'édition des billets avec QR code, le stockage des informations personnelles des acheteurs, et l'interface de paiement en ligne.

• Pour le paiement, elle se mettra en relation avec le crédit mutuel ;
• Pour l'édition des pdf billets/whatever, on peut le faire.
• Pour les scanettes de QRCode, il faut trouver un endroit où en acheter/louer, pour faire des tests et voir combien ça coûte.

Pierre-Elliott la recontactera par mail pour établir une roadmap. Une deadline courte devra être faite pour le site pour que le gala puisse se retourner librement si on est pas assez efficaces.

Virtualisation

Le BdE trouverait confortable de virtualiser ses serveurs : tous sauf videosurveillance.

Vincent trouve gênant de prendre maintenant une décision engageant les nounous à venir et les BdE à venir de rendre techniquement accessible aux nounous la base de données du BDE de manière irréversible. Ceci serait valable quel que soit le club/assoce qu'on virtualise.

On pourrait modifier notre charte de membre actif en précisant qu'on héberge des serveurs contenant potentiellement des données d'adhérents non Cr@ns. Pour les clubs, il est possible de préciser dans le formulaire de création de club que leurs données sont stockées dans un serveur du Cr@ns, ou alors créer un formulaire de création de machine virtuelle pour que chaque parti soit conscient des enjeux.

Vincent veut bien s'occuper d'écrire un formulaire de création de machine virtuelle, il demandera conseil à Matthieu Bach.

Droits apprentis

La problématique soulevée est que les câbleurs/apprentis ne peuvent pas répondre aux demandes des adhérents concernant leur blocage pour upload.

Vincent croyait que c'était possible aux apprentis, et a donc fait une modification dans le sudoers, qui a été annulée par Pierre-Elliott depuis.

Actuellement, la question est donc de savoir si les apprentis devraient avoir ce genre de droit. (exécuter analyse.py, ou autres scripts du style)

Vincent souligne que les apprentis ont accepté la même charte de membre actif que les nounous et sont donc soumis aux mêmes règles. Par ailleurs, supprimer de la fonctionnalité au nom de la sécurité n'est pas une solution. Enfin, les adhérents qui demandaient des réponses sur disconnect@ n'avaient pas forcément une réponse avant l'expiration des logs.

• il y a un dump des logs d'analyse.py lors de la déconnexion dans /usr/scripts/var/analyse/IP-TIME.txt, il faudrait d'ailleurs y faire le ménage -- ValentinSamir 2014-04-10 23:35:09

Premièrement, on peut augmenter la durée de vie des logs d'upload.

Il est envisagé de créer un droit supplémentaire "Disconnect" permettant aux apprentis à qui on le donnerait de pouvoir répondre aux adhérents sur disconnect@ et de lancer analyse.py. Il faudrait qu'il ne soit pas donné dès l'accession au statut d'apprenti. Dans la même idée, une version spéciale "nouveau câbleur" du whos pourrait être proposé pour filtrer certaines données a priori sensibles lors d'un câblage.

Charte des MA

Pierre-Elliott propose qu'on édite une charte spécifique à signer pour les nounous (ce qui permettrait de faire une page wiki au passage pour résumer les droits (et leur moyen d'application) des nounous), spécifique à leurs nouvelles attributions. Cela servirait en plus de piqûre de rappel lors de l'ajout de droit.

IRC

Il y a actuellement sur #roots des non-MA. Ça pose problème quand on doit parler de données privées d'adhérents : on n'a pas de channel "privé". Si un adhérent doit évoquer des informations personnelles sur #crans, il sera alors invité à rejoindre #roots.

Les non-membres actifs actuellement présents sur #roots vont être invités à quitter le channel.

Câbleuse

On se propose de mettre la carcasse de oie à la Kfet après l'avoir transformée en câbleuse, branchée à l'imprimante thermique. Si on souhaite installer une interface graphique pour que la câbleuse puisse être utilisée par les permanenciers BDE pour la note en dehors des horaires de permanences Cr@ns, oie est vite gavée. Une solution serait d'installer XFCE ou awesome.

On a pas de réponse de BdE sur cette possibilité de câbleuse, l'encombrement du bar ou la possibilité de mettre un écran.

Questions diverses

Convention Cr@ns-CROUS

Il faut en parler en CA, mais en gros, une réunion doit être organisée avant l'été, de façon à l'actualiser, voire, la resigner.

En vrac, les points à discuter :

• Fiche câblage
• Locaux sensibles
• Access points (WIFI)

En bonus (non lié à la convention)

• Livret d'accueil du CROUS

Manque d'IP

On va demander à Daniel s'il peut remettre en service son système de ménage automatisé. Aussi bien pour le wifi que le filaire.

Ressuscite

ressuscite.py est cassé, encore… Vincent a ressuscité récemment un adhérent en plongeant encore les mains dans le cambouis, il en a marre, il va mettre dans /usr/scripts/utils/ un truc pour dumper un adhérent du cimetière et y'aura plus qu'à faire un coup de shelldap. (gruik)

• Il ne faudrait plus supprimer des entrées de la base de donnée que avec lc_ldap. chambre_vide.py ou l'intranet2 pour les machines et gest_crans_lc pour les adhérents par exemple. ressucite_lc bien que basique fonctionne a priori -- ValentinSamir 2014-04-10 23:35:09

• CatégoriePagePublique