Gestionnaire de projets de l'April: Demandeshttps://agir.april.org/https://agir.april.org/favicon.ico?15861920342024-01-20T14:44:52ZGestionnaire de projets de l'April
Redmine Infra Chapril - Demande #6334 (Nouveau): Migrer vers Debian Bookworm la vm bilizhttps://agir.april.org/issues/63342024-01-20T14:44:52ZQuentin Gibeauxapril.quentin@gibeaux.eu
<p>Ticket de suivi de la migration du Chapril vers Debian Bullseye (<a class="issue tracker-2 status-5 priority-4 priority-default closed parent" title="Demande: Migrer le parc des machines et VM Chapril vers Debian 11 Bullseye (Fermé)" href="https://agir.april.org/issues/5488">#5488</a>).</p> drop.chapril.org - Demande #6001 (Nouveau): Questions sur la sécuritéhttps://agir.april.org/issues/60012022-10-24T10:19:13ZAnonyme
<p>Bonjour,</p>
<p>Je viens de découvrir ce service alternatif à WeTransfert qui est anonyme, gratuit, à but non lucratif et qui respecte le RGPD, et je vous remercie pour cela.</p>
<p>Sur le projet Github de send, j'ai pu trouver des réponses concernant le chiffrement.<br />Cependant, deux autres questions de sécurité me parviennent, et je n'ai pas trouvé de réponse sur votre site ou le redmine.</p>
<p>1) Avez-vous été audité dans le cadre de certifications (ex: iso 27001) ?<br />2) Qu'avez-vous mis en place pour détecter et traiter les incidents de sécurité (ex: sonde) ?</p>
<p>Merci pour le temps consacré à ma demande</p> pad.chapril.org - Anomalie #5965 (Nouveau): Il arrive très souvent que le menu d'un pad soit part...https://agir.april.org/issues/59652022-09-02T13:33:25ZIsabella Vanniivanni@april.org
<p>Voir la pj.</p> pad.chapril.org - Tâche récurrente #5916 (En cours de traitement): Rapport mensuel d'activité du ...https://agir.april.org/issues/59162022-06-18T14:43:13ZRomain H.
<p>Cet ticket reçoit les rapports mensuels d'activité du service.</p> pad.chapril.org - Demande #5824 (Nouveau): Indiquer la taille max pour le copie-collage à l'ouver...https://agir.april.org/issues/58242022-03-16T09:40:33ZIsabella Vanniivanni@april.org
<p>Grâce à <a class="external" href="https://agir.april.org/issues/5818#note-5">https://agir.april.org/issues/5818#note-5</a>, je découvre qu'il y a une taille max définie à l'avance pour le copie-collage d'un pad.</p>
<p>Il serait utile, je pense, de signaler cela à l'ouverture de chaque nouveau pad.chapril, en indiquant aussi comment faire pour connaître la taille de son pad et en donnant des suggestions pour gérer les « gros » pads.</p> Infra Chapril - Demande #5515 (En cours de traitement): ssh ForwardAgenthttps://agir.april.org/issues/55152021-07-31T16:05:39ZChristian P. Momoncmomon@april.org
<p>Le 30/07/2021 sur #april-chapril :<br /><pre>
20:05 < Pilou> À propos de https://admin.chapril.org/doku.php?id=admin:procedures:ajouter-animateur-service#acces_ssh,
est-il recommandé d'utiliser une clef SSH dédiée pour le Chapril étant donné l'utilisation de ForwardAgent ?
20:08 < PoluX__> ha oui perso je fais pas de forward
[…]
22:02 < PoluX__> cpm_screen: si tu fw ton agent, un root sur la machine concernée peut avoir accès à ta clé iirc
22:03 < PoluX__> ForwardAgent
Agent forwarding should be enabled with caution. Users with the ability to bypass file permissions
on the remote host (for the agent's Unix-domain socket) can access the local agent through
22:03 < PoluX__> the forwarded connection. An attacker cannot obtain key material from the agent, however they can
perform operations on the keys that enable them to authenticate using the identities loaded into the agent.
22:04 < PoluX__> man ssh_config
22:05 < PoluX__> donc c'est la dernière partie qui est intéressante :)
</pre></p>
<p>Pour rappel, la configuration actuellement suggérée :<br /><pre>
Host *.cluster.chapril.org
User root
ProxyCommand ssh -W %h:22 april@fip.chapril.org -A
ForwardAgent yes
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
</pre></p>
<p>Actuellement, le « ForwardAgent Yes » est utilisé pour pouvoir pusher sur les dépôts de la forge April.</p>
<p>Techniquement, puisque root alors il est certainement possible de pirater le ForwardAgent d'un autre.<br />Dans le cas nominal, il n'y a aucun problème car confiance de l'équipe et actions locales au SI Chapril.</p>
<p>Par contre, dans le cas d'une <strong>compromission de compte animsys, ça donne potentiellement accès à des machines externes au SI Chapril des autres animsys.</strong></p>
<p>Demande : évaluer la problématique et envisager une solution.</p>
<p>Solutions envisageables :<br />1) dans la doc admin, mettre un message d'avertissement sur le « ForwardAgent Yes » ;<br />2) retirer « ForwardAgent Yes » de la doc (implique de faire un git pull chez soi avant de pusher sur la forge April) ;<br />3) conserver le « ForwardAgent Yes » et rajouter une injonction à utiliser une clé spécifique au Chapril, et donc ajouter dans la documentation comment indiquer la clé spécifique.</p> drop.chapril.org - Demande #5367 (En cours de traitement): Revoir la politique de sauvegarde des ...https://agir.april.org/issues/53672021-05-01T19:56:01ZChristian P. Momoncmomon@april.org
<p>Le jeudi 27/04/2021 sur #april-chapril :<br /><pre>
09:54 < PoluX> cette fois felicette est pleine
09:55 < PoluX> cpm_screen: faut trancher: soit on arrête de backuper drop soit on enlarge felicette pour repousser à plus tard le choid de ne pas backuper drop :)
09:56 < PoluX> (+60Go en 3j)
10:21 < QGuLL> PoluX: on peut aussi faire le choix de pas backuper les data de drop, vu que c'est du temporaire qui se prune
10:21 < QGuLL> c'est quoi la durée de rétention maxi des data ?
10:21 < PoluX> QGuLL: oui quand je disais d'arrêter je pensais aux datas spécifiquement
10:21 < PoluX> là on garde 5j de data iirc
10:21 < QGuLL> oui j'ai un peu fait le Dupond
10:22 < QGuLL> ouais 5j max ça justifie pas un backup
10:24 < QGuLL> PoluX: rh dit la même chose
10:27 < PoluX> beh faisons ça alors
</pre></p> pad.chapril.org - Anomalie #5361 (Nouveau): Impossible de copier dans le presse-papier une portio...https://agir.april.org/issues/53612021-04-28T16:02:04ZIsabella Vanniivanni@april.org
<p>Observé dans <a class="external" href="https://pad.chapril.org/p/quizzes-enjeux-numeriques">https://pad.chapril.org/p/quizzes-enjeux-numeriques</a>, par exemple ligne 407.</p> Infra Chapril - Demande #4713 (En cours de traitement): Rafraîchir les mots de passehttps://agir.april.org/issues/47132020-09-04T14:22:00ZChristian P. Momoncmomon@april.org
<p>Afin d'assurer la robustesse des mots de passe de l'infra, lancement d'une campagne de rafraîchissement.</p> Admins - Anomalie #4572 (En cours de traitement): Sauvegardes simultanées et saturation SIhttps://agir.april.org/issues/45722020-06-29T20:02:27ZChristian P. Momoncmomon@april.org
<p>Très fréquemment, à partir de vers 20h, les sites April se mettent à ramer au point d'être parfois indisponibles.</p>
<p>Souvent, on constate qu'il y a des sauvegardes en cours et on ne fait rien.</p>
<p>En général, paralléliser les sauvegardes des machines est une bonne idée mais là toutes nos vms surchargent le même disque dur.</p>
Demande :
<ul>
<li>valider que la saturation SI vient des sauvegardes simultanées ;</li>
<li>rendre impossible les sauvegardes simultanées.</li>
</ul> Admins - Demande #4498 (En cours de traitement): Corriger « Generic Default » dans la conf des v...https://agir.april.org/issues/44982020-05-22T14:28:24ZChristian P. Momoncmomon@april.org
Actuellement, dans la conf des vm,
<ul>
<li>via virtmanager, menu > Information sur le système d'exploitation > Operating System est rempli avec « Generic default » ;</li>
<li>dans les fichiers /etc/libvirt/qemu/*, libosinfo:os n'est pas configuré.</li>
</ul>
<p>Cela peut-il avoir un impact sur les performances ?</p> drop.chapril.org - Tâche récurrente #4144 (En cours de traitement): Rapport mensuel d'activité du...https://agir.april.org/issues/41442020-01-01T01:26:27ZChristian P. Momoncmomon@april.org
<p>Cet ticket reçoit les rapports mensuels d'activité du service.</p>
<p>Voir /srv/drop/tools/rapport_activite/</p> Admins - Demande #3977 (En cours de traitement): Investiguer les problèmes d'IO sur l'infrahttps://agir.april.org/issues/39772019-10-31T13:33:30ZQuentin Gibeauxapril.quentin@gibeaux.eu
<p>Sur certaines VM qui y a des gros problèmes d'IOWait (par exemple nextcloud).</p>
<p>Hypothèse : sparse file dans QCOW + goulot l'étranglement DRBD</p> Admins - Demande #3551 (En cours de traitement): Configurer nginx@bastion pour limiter les requêteshttps://agir.april.org/issues/35512019-01-10T11:25:48ZQuentin Gibeauxapril.quentin@gibeaux.eu
<p>Pour éviter que l'infra complexe ne tombe avec les crawler, il faudrait configurer nginx sur bastion pour limiter les requêtes d'une même IP a un taux de requête/sec donnée.</p>