Outils pour utilisateurs

Outils du site


adminsys

Ceci est une ancienne révision du document !


Guide de l'adminsys

L'administration système pour une association est un passe-temps formidable autant qu'indispensable, mais il faut respecter quelques règles pour rendre cette activité pérenne et protéger au mieux les données personnelles que nous hébergeons.

Lignes directrices pour les adminsys

Idée : des lignes directrices génériques, qui ne dictent pas d'outils en particuliers mais plutôt une politique à suivre et de grands objectifs à viser. Elles pourraient être revues/discutées périodiquement (tous les X mois), soit pour être conservées telle quelles soit pour être modifiées.

Travail en cours ! :-)

Individuellement

  • Documenter ce qu'on met en place : cela inclue la documentation pour les utilisateurs et pour les autres adminsys : si un autre adminsys ne sait comment fonctionne le service, il ne voudra pas y toucher ou bien cassera tout en y touchant ;
  • Prévenir les autres adminsys avant d'agir : quelqu'un d'autre a peut-être déjà résolu le problème, a une idée différente sur la façon de faire, ou encore soulèvera ;
  • Posséder une clé PGP pour pouvoir échanger des informations importantes avec les autres adminsys, et faire signer cette clé par les autres adminsys ;
  • Produire une recette de gestionnaire de configuration pour chaque service mis en place (le gestionnaire utilisé est Ansible) : cela aidera les autres admins à comprendre ce qui est mis en place, ainsi qu'à travailler ensemble sur les recettes et les remettre en place facilement d'une machine à l'autre ;

Nos systèmes

  • Séparer le stockage de données personnelles des services exposés publiquement, notamment les services Web dynamiques et tout ce qui est généralement susceptible de mener à des failles de sécurité ;
  • Avoir des listes de contrôle d'accès claires pour contrôler l'accès aux données personnelles, en s'assurant que les accès effectifs sont en cohérence avec ce que souhaite l'association ;
  • Rendre traçable tout accès à des données personnelles ;
  • Éviter de dupliquer des données personnelles identiques sur plusieurs serveurs
  • Héberger toute donnée non publique de l'association exclusivement sur des machines de l'association
  • Proposer un chiffrement fonctionnel sur tous les services
  • Décentraliser et redonder tout service qui ne pose pas de question de données personnelles

Serveurs, services, données : état des lieux

Note : a priori on ne liste ici que les machines et services qui sont exposés publiquement sur internet, c'est-à-dire les différents services Web, mail, Git, etc. Le matériel dont le rôle n'est que de faire du routage réseau ne figure pas ici.

Serveurs

Serveur loué par hébergeur réseau
trompe-souris (TS) FAImaison Gixe 1 IPv4
telenn-du (TD) FAImaison Tetaneutral 1 IPv4, /64 IPv6
hurreya KheOps Digicube 1 IPv4, /64 IPv6
chomsky cthuluh ? 1 IPv4
alpes cthuluh Liazo ? 1 IPv4
chat-malo alarig Digicube 1 IPv4
VM OVH (nom ?) CapsLock OVH 1 IPv4, IPv6

Services

Sur trompe-souris :

Service Type Notes
Site officiel Web (lighty) Compilé avec Pelican ; certificat TLS dédié signé par Gandi
http://media.faimaison.net Web (lighty)
DokuWiki Web (lighty) Avec php5-cgi ; certificat TLS auto-signé
Davical Web (lighty) Avec php5-cgi ; certificat TLS signé par CACert
Coin (S.I.) Web (lighty) Reverse proxy vers démon local en python ; source du démon sur git://git.illyse.org/coin.git ; certificat TLS signé par CACert
Échangeur mail (MX) SMTP Primaire
Minimalist SMTP Gestion des ML
Zone faimaison.net DNS Maître
Reverse telenn-du DNS Maître
Gitolite Git/SSH Dépôts
git-daemon Git Dépôts publics

Sur la VM OVH :

Service Type Notes
Panoramas Web Application issue de Tetaneutral ; Certificat TLS signé par CACert
Chaudron Web Application OpenProject ; Certificat TLS signé par CACert

Sur hurreya :

  • DNS secondaire
  • Bot IRC Herr_SS

Sur chomsky :

Sur alpes :

  • MX secondaire
  • Serveur web secondaire (inopérant)

Sur telenn-du et chat-malo : respectivement rien en prod et rien du tout ?

Données

Service Nature des données
Minimalist Adresses mail TS
MX Adresses mail (dans les logs) TS, chomsky
Coin données personnelles (voir la doc/la source de Coin) TS
DokuWiki identifiants, mots de passe, documents non publics TS
Git (dépôts) données personnelles, documents non publics TS
Chaudron identifiants, mots de passe, documents non publics VM OVH
adminsys.1433578640.txt.gz · Dernière modification : 2015/06/06 08:17 de kheops