Gestionnaire de projets de l'April: Demandeshttps://agir.april.org/https://agir.april.org/favicon.ico?15861920342024-02-28T17:02:33ZGestionnaire de projets de l'April
Redmine Admins - Anomalie #6366 (Résolu): fail2ban incomplet sur virolamushttps://agir.april.org/issues/63662024-02-28T17:02:33ZFrançois Poulain
<p>En recherchant des causes d'IO sur virolamus j'ai découvert que nous étions sous un feu nourri de connection ssh. Fail2ban ne faisait pas son travail. Anéfé, pour une raison qu'on pourrait franchement questionner, le ssh écoute aussi sur le port 2222 (arrivé avec ce maudit srv common...). Mais fail2ban ne le savait pas. J'ai activé fail2ban sur ce port.</p> Admins - Demande #5940 (En cours de traitement): Gestion de l'espace disque des logs systemdhttps://agir.april.org/issues/59402022-07-24T08:06:58ZFrançois Poulain
<p>A l'occasion d'un reboot, vu sur mail :<br /><pre>
░░ Subject: Espace disque utilisé par le journal
░░ Defined-By: systemd
░░ Support: https://www.debian.org/support
░░ Documentation: man:journald.conf(5)
░░
░░ System Journal (/var/log/journal/3e08aff87de2df4b85ab7dff31b48af5) utilise actuellement 912.0M.
░░ Le maximum autorisé est défini à 871.9M.
░░ Au moins 435.9M doivent être laissés libres
░░ (sur 3.8G d'espace disque actuellement libre).
░░ La limite appliquée est donc 871.9M, dont 0B
░░ sont toujours disponibles.
░░
░░ Les limites définissant la quantité d'espace disque que peut utiliser le
░░ journal peuvent être configurées avec les paramètres SystemMaxUse=,
░░ SystemKeepFree=, SystemMaxFileSize=, RuntimeMaxUse=, RuntimeKeepFree=,
░░ RuntimeMaxFileSize= dans le fichier /etc/systemd/journald.conf.
░░ Voir journald.conf(5) pour plus de détails.
</pre></p> Infra Chapril - Demande #5693 (Un jour peut-être): Amélioration de l'antispamhttps://agir.april.org/issues/56932021-12-05T14:30:55ZFrançois Poulain
<p>Actuellement l'antispam est limité car il n'y a pas de renforcement possible par les usagers. Une option pourrait être de profiter de la réplication redis pour profiter des regles April, qui sont forcément plus complètes (trafic+++ et renforcement par les usagers).</p>
<p><a class="external" href="https://rspamd.com/doc/tutorials/redis_replication.html">https://rspamd.com/doc/tutorials/redis_replication.html</a></p> Admins - Demande #5294 (Résolu): Décommisionner cms-dev ?https://agir.april.org/issues/52942021-03-28T11:46:05ZFrançois Poulain
<p>Cette vm n'est utile à rien ni personne, afaik.</p> Admins - Demande #5193 (Nouveau): systemd-sysctl.service en carafe au reboothttps://agir.april.org/issues/51932021-02-05T18:34:36ZFrançois Poulain
<pre>
Feb 05 18:17:20 sympa find[264]: /usr/bin/find: ‘/sys/fs/cgroup/memory/system.slice/keyboard-setup.service’: No such file or directory
Feb 05 18:17:20 sympa systemd[1]: systemd-sysctl.service: Control process exited, code=exited, status=1/FAILURE
</pre>
<p>Visiblement le find est dégainé trop vite dans un moment où le cluster est fort chargé.</p>
<p>Amha il faudrait un ExecStart=sleep 1m car le find se fait en ExecStartPost.</p> icingabot - Demande #5069 (Résolu): spam en cas d'échec de connexionhttps://agir.april.org/issues/50692020-12-30T14:39:03ZFrançois Poulain
<pre>
Unable to fetch from Icinga2: HTTPSConnectionPool(host='admin.cluster.april.org', port=2442): Max retries exceeded with url: /v1/objects/services (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fe362912518>: Failed to establish a new connection: [Errno 113] No route to host'))
Unable to fetch from Icinga2: HTTPSConnectionPool(host='admin.cluster.april.org', port=2442): Max retries exceeded with url: /v1/objects/services (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fe362919f60>: Failed to establish a new connection: [Errno 113] No route to host'))
Unable to fetch from Icinga2: HTTPSConnectionPool(host='admin.cluster.april.org', port=2442): Max retries exceeded with url: /v1/objects/services (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fe3628fdb38>: Failed to establish a new connection: [Errno 113] No route to host'))
Unable to fetch from Icinga2: HTTPSConnectionPool(host='admin.cluster.april.org', port=2442): Max retries exceeded with url: /v1/objects/services (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fe362960b00>: Failed to establish a new connection: [Errno 113] No route to host'))
Unable to fetch from Icinga2: HTTPSConnectionPool(host='admin.cluster.april.org', port=2442): Max retries exceeded with url: /v1/objects/services (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fe362920c18>: Failed to establish a new connection: [Errno 113] No route to host'))
Unable to fetch from Icinga2: HTTPSConnectionPool(host='admin.cluster.april.org', port=2442): Max retries exceeded with url: /v1/objects/services (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fe362920b38>: Failed to establish a new connection: [Errno 113] No route to host'))
Unable to fetch from Icinga2: HTTPSConnectionPool(host='admin.cluster.april.org', port=2442): Max retries exceeded with url: /v1/objects/services (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fe3628fd940>: Failed to establish a new connection: [Errno 113] No route to host'))
Unable to fetch from Icinga2: HTTPSConnectionPool(host='admin.cluster.april.org', port=2442): Max retries exceeded with url: /v1/objects/services (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fe362919d68>: Failed to establish a new connection: [Errno 113] No route to host'))
Unable to fetch from Icinga2: HTTPSConnectionPool(host='admin.cluster.april.org', port=2442): Max retries exceeded with url: /v1/objects/services (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fe362912780>: Failed to establish a new connection: [Errno 113] No route to host'))
Unable to fetch from Icinga2: HTTPSConnectionPool(host='admin.cluster.april.org', port=2442): Max retries exceeded with url: /v1/objects/services (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fe3629123c8>: Failed to establish a new connection: [Errno 113] No route to host'))
</pre> Admins - Demande #4954 (Résolu): Nettoyer les spip libre en fete et libreasso sur lamphttps://agir.april.org/issues/49542020-11-29T17:02:11ZFrançois Poulain
<p>-> fichiers, confs apache et db.</p> Admins - Demande #4948 (Résolu): Configurer fail2ban avec les filtres nginx sur le bastionhttps://agir.april.org/issues/49482020-11-29T10:33:43ZFrançois Poulain
<p>Fail2ban vient avec des filtres bien fait pour plusieurs logiciels. Il n'y a pas de raison de s'en passer. Ça écarte les bots avec un comportement suspect, les récidivistes de flood, etc.</p> icingabot - Demande #4877 (Résolu): limiter le débit de renommagehttps://agir.april.org/issues/48772020-11-04T21:51:14ZFrançois Poulain
<p>Le bot spamme le chan lorsque icinga flappe.</p> Admins - Demande #4745 (Nouveau): Monitorer les services systemdhttps://agir.april.org/issues/47452020-09-17T17:54:04ZFrançois Poulain
<p>Avec ce système d'init moderne on a un super outil pour suivre les défauts des services. Et parfois ça touche à des trucs importants mais qu'on ne remarque pas de suite s'ils sont en panne (e.g. logrotate).</p>
<p>Par exemple via :<br /><pre>
[[ -x /bin/systemctl ]] && systemctl show | grep -qsEe '^NFailedUnits=[1-9]' ; if [[ $? -eq 0 ]] ; then echo "systemd fail" ; else echo "systemd ok" ; fi
</pre></p> Admins - Demande #4688 (Résolu): libérer l'accès root sur mariadbhttps://agir.april.org/issues/46882020-08-24T13:55:20ZFrançois Poulain
<p>Par défaut sous debian moderne root a un log sans mot de passe à mariadb.<br />Ça semble raisonnable de généraliser ça.<br />Dmeander le mot de passe à root c'est juste lui casser les nouilles. :)</p> icingabot - Demande #4685 (Résolu): Meilleure interface pour ack et recheckhttps://agir.april.org/issues/46852020-08-23T10:34:07ZFrançois Poulain
<p>Actuellement il faut le nom complet. Ça convenait lorsque la présentation de !list donnait les noms entiers. Mais maintenant ce n'est plus le cas. Je propose simplement de prendre la chaine en entrée et de l'utiliser pour filtrer les services en erreur à recheck ou ack.</p> Admins - Demande #3627 (Un jour peut-être): Amélioration du script de spamotronhttps://agir.april.org/issues/36272019-03-25T13:42:19ZFrançois Poulain
<p>Actuellement Fred utilise un script d'expédition des mailling qui soufre de quelques lacunes pour être plus largement utilisé.<br />Idées d'amélioration :</p>
<ul>
<li>possibilité de nombre arbitraire de PJ</li>
<li>template jinja2 pour le message</li>
<li>multipart html/texte</li>
<li>avoir des possibilités de configuration de smtp</li>
<li>charger le contexte de template arbitrairement depuis le même csv que les noms des destinataires</li>
<li>exécuter le script en dryrun pour contrôler visuellement la sortie avant expédition</li>
<li>passage à argparse et refactoring global dans un python moderne dépourvu de syndrome NIH</li>
</ul> Infra Chapril - Demande #3246 (Nouveau): Création de VM: traces du "modele" encore présenteshttps://agir.april.org/issues/32462018-07-30T12:47:58ZFrançois Poulain
<p>Il reste des traces de « modele » dans la VM lamp, peut être dans les autres VM :)</p>
<p>Donc la doc d'install et légèrement incomplète. Il faut prendre un temps pour corriger sur les VM et sur la doc.</p>
<p>C'est cosmétique, rien de grave,</p>
<ul>
<li>genre <pre>
# lvs
LV VG Attr LSize Pool Origin Data% Meta% Move Log Cpy%Sync Convert
root modele-vg -wi-ao---- 4,07g
swap_1 modele-vg -wi-ao---- 1020,00m
tmp modele-vg -wi-ao---- 368,00m
var modele-vg -wi-ao---- 14,57g
</pre></li>
<li>genre <code>/etc/postfix/main.cf:myhostname = modele.chapril.org</code></li>
<li>genre <code>/etc/ssh/ssh_host_*</code></li>
</ul> gDTC - Demande #3185 (Nouveau): Créer un compteur d'erreur et désabonner les emails en erreurhttps://agir.april.org/issues/31852018-06-01T17:10:43ZFrançois Poulain
<p>Certains membres ont des emails en abandon. On est censé gérer à la main le dés-abonnement, mais on n'est pas nécessairement à jour et c'est quelque chose qui peut se faire automatiquement. Du coup parfois on traine des cadavres qui ne facilitent pas notre réputation.</p>
<p>Ex pour supprimer un cadavre : si tous les emails envoyés par DTC depuis plus de 6 mois sont en erreur, et si ça concerne plus de 5 courriels, on supprime l'email du membre dans la base (ou bien on le marque injoignable et on arrête de le spammer).</p>