adminsys
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
adminsys [2015/06/05 17:13] – [Lignes directrices pour les adminsys] kheops | adminsys [2015/06/30 16:42] (Version actuelle) – [Nos systèmes] précisions kheops | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== | + | ====== |
L' | L' | ||
- | ===== Lignes directrices pour les adminsys ===== | + | Idée : écrire |
- | + | ||
- | Idée : des lignes directrices génériques, | + | |
Travail en cours ! :-) | Travail en cours ! :-) | ||
- | ==== Individuellement | + | ===== Organisation |
- | + | ||
- | * **Documenter ce qu'on met en place** : cela inclue la documentation **pour les utilisateurs** et **pour les autres adminsys** : si un autre adminsys ne sait comment fonctionne le service, il ne voudra pas y toucher ou bien cassera tout en y touchant ; | + | |
- | * **Prévenir les autres adminsys avant d' | + | |
- | * **Posséder une clé PGP** pour pouvoir échanger des informations importantes avec les autres adminsys, et faire signer cette clé par les autres adminsys ; | + | |
- | * **Produire une recette de gestionnaire de configuration pour chaque service mis en place** (le gestionnaire utilisé est Ansible) : cela aidera les autres admins à comprendre ce qui est mis en place, ainsi qu'à travailler ensemble sur les recettes et les remettre en place facilement d'une machine à l' | + | |
- | + | ||
- | ==== Nos systèmes ==== | + | |
- | + | ||
- | * **Séparer le stockage de données personnelles du services exposés publiquement**, | + | |
- | * **Avoir des listes de contrôle d' | + | |
- | * **Rendre traçable tout accès à des données personnelles** ; | + | |
- | * **Éviter de dupliquer des données personnelles identiques sur plusieurs serveurs** | + | |
- | * **Héberger données personnelles et données non publiques de l' | + | |
- | ===== Serveurs, services, données : état des lieux ===== | + | |
- | + | ||
- | Note : a piori on ne liste ici que les machines et services qui sont exposés publiquement sur internet, c' | + | |
- | ==== Serveurs ==== | + | |
- | + | ||
- | ^ Serveur | + | |
- | | trompe-souris (TS) | FAImaison | [[http:// | + | |
- | | telenn-du (TD) | FAImaison | [[http:// | + | |
- | | hurreya | + | |
- | | chomsky | + | |
- | | alpes | cthuluh | + | |
- | | chat-malo | + | |
- | | VM OVH (nom ?) | CapsLock | + | |
- | ==== Services ==== | + | |
- | + | ||
- | Sur // | + | |
- | + | ||
- | ^ Service ^ Type ^ Notes ^ | + | |
- | | [[https:// | + | |
- | | [[http:// | + | |
- | | [[https:// | + | |
- | | [[https:// | + | |
- | | [[https:// | + | |
- | | Échangeur mail (MX) | SMTP | Primaire | | + | |
- | | Minimalist | + | |
- | | Zone faimaison.net | + | |
- | | Reverse telenn-du | + | |
- | | Gitolite | + | |
- | | git-daemon | + | |
- | + | ||
- | Sur la VM OVH : | + | |
- | + | ||
- | ^ Service ^ Type ^ Notes ^ | + | |
- | | [[https:// | + | |
- | | [[https:// | + | |
- | + | ||
- | Sur //hurreya// : | + | |
- | * DNS secondaire | + | |
- | * Bot IRC Herr_SS | + | |
- | + | ||
- | Sur //chomsky// : | + | |
- | * DNS secondaire | + | |
- | * [[http:// | + | |
- | + | ||
- | Sur //alpes// : | + | |
- | * MX secondaire | + | |
- | * Serveur web secondaire ([[http:// | + | |
- | Sur //telenn-du// et //chat-malo// : respectivement rien en prod et rien du tout ? | + | * **Documenter ce qu'on met en place pour les utilisateurs et les autres adminsys** : si un autre adminsys ne sait pas comment fonctionne le service, il ne voudra pas y toucher ou bien cassera tout en y touchant ; |
- | ==== Données | + | * **Prévenir les autres adminsys avant d' |
+ | * **Posséder une clé PGP** et faire signer cette clé par les autres adminsys, pour l' | ||
+ | * **Produire une recette de gestionnaire de configuration pour chaque service mis en place** (le gestionnaire utilisé actuellement est Ansible) : cela aidera les autres admins à comprendre ce qui est mis en place, à travailler collaborativement l' | ||
+ | * **Résister aux pressions extérieures** qui viseraient à forcer un adminsys à révéler indûment des données sur l' | ||
+ | ===== Nos systèmes ===== | ||
- | ^ Service | + | * **Avoir une séparation logique entre bases de données et services exposés publiquement**, |
- | | Minimalist | + | * **Avoir |
- | | Coin | + | * **Rendre traçable les accès aux données personnelles** ; |
- | | DokuWiki | + | * **Ne pas dupliquer des données non publiques identiques dans plusieurs bases** sauf dans le cas des copies de sauvegarde ou de fichiers partagés entre tous les membres |
- | | Git (dépôts) | données personnelles, documents non publics | TS | | + | * **Héberger toute donnée |
- | | Chaudron | + | * **Proposer une connexion chiffrée pour tous les services** qui soit à jour vis-à-vis des dernières menaces connues, tout en prenant en compte les contraintes d' |
+ | * **Décentraliser et redonder** tout service qui ne pose pas de question de données personnelles | ||
+ | * **Sécuriser les serveurs** contre les accès illégitimes avec des méthodes jugées appropriées (pare-feus, vérification |
adminsys.txt · Dernière modification : 2015/06/30 16:42 de kheops