Outils pour utilisateurs

Outils du site


adminsys

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
adminsys [2015/06/06 09:28] – [Lignes directrices pour les adminsys] Ajout d'une précision kheopsadminsys [2015/06/30 16:42] (Version actuelle) – [Nos systèmes] précisions kheops
Ligne 1: Ligne 1:
-====== Guide de l'adminsys ======+====== Lignes directrices pour les adminsys ======
  
 L'administration système pour une association est un passe-temps formidable autant qu'indispensable, mais il faut respecter quelques règles pour rendre cette activité pérenne et protéger au mieux les données personnelles que nous hébergeons. L'administration système pour une association est un passe-temps formidable autant qu'indispensable, mais il faut respecter quelques règles pour rendre cette activité pérenne et protéger au mieux les données personnelles que nous hébergeons.
  
-===== Lignes directrices pour les adminsys ===== +Idée : écrire des lignes directrices génériques, qui ne dictent pas d'outils en particuliers mais une politique à suivre et de grands objectifs à viser. Elles pourraient être revues/discutées périodiquement (tous les X mois).
- +
-Idée : des lignes directrices génériques, qui ne dictent pas d'outils en particuliers mais plutôt une politique à suivre et de grands objectifs à viser. Elles pourraient être revues/discutées périodiquement (tous les X mois), soit pour être conservées telle quelles soit pour être modifiées. +
- +
-Elles ne sont pas conçues pour être contraignantes au quotidien mais pour guider notre action.+
  
 Travail en cours ! :-) Travail en cours ! :-)
  
-==== Individuellement ==== +===== Organisation =====
- +
-  * **Documenter ce qu'on met en place** : cela inclue la documentation **pour les utilisateurs** et **pour les autres adminsys** : si un autre adminsys ne sait comment fonctionne le service, il ne voudra pas y toucher ou bien cassera tout en y touchant ; +
-  * **Prévenir les autres adminsys avant d'agir** : quelqu'un d'autre a peut-être déjà résolu le problème, a une idée différente sur la façon de faire, ou encore soulèvera ; +
-  * **Posséder une clé PGP** pour pouvoir échanger des informations importantes avec les autres adminsys, et faire signer cette clé par les autres adminsys ; +
-  * **Produire une recette de gestionnaire de configuration pour chaque service mis en place** (le gestionnaire utilisé est Ansible) : cela aidera les autres admins à comprendre ce qui est mis en place, ainsi qu'à travailler ensemble sur les recettes et les remettre en place facilement d'une machine à l'autre ; +
- +
-==== Nos systèmes ==== +
- +
-  * **Séparer le stockage de données personnelles des services exposés publiquement**, notamment les services Web dynamiques et tout ce qui est généralement susceptible de mener à des failles de sécurité ; +
-  * **Avoir des listes de contrôle d'accès claires** pour contrôler l'accès aux données personnelles, en s'assurant que les accès effectifs sont en cohérence avec ce que souhaite l'association ; +
-  * **Rendre traçable tout accès à des données personnelles** ; +
-  * **Éviter de dupliquer des données personnelles identiques sur plusieurs serveurs** +
-  * **Héberger toute donnée non publique de l'association exclusivement sur des machines de l'association** +
-  * **Proposer un chiffrement fonctionnel sur tous les services** en ligne (la notion de « fonctionnel » étant variable selon le service considéré et ses besoins associés, typiquement la question de savoir si un certificat TLS pour tel ou tel site doit impérativement ne pas générer d'alarme sur un navigateur) +
-  * **Décentraliser et redonder** tout service qui ne pose pas de question de données personnelles +
-  * **Sécuriser au mieux** les serveurs contre les accès illégitimes +
-===== Serveurs, services, données : état des lieux ===== +
- +
-Note : a priori on ne liste ici que les machines et services qui sont exposés publiquement sur internet, c'est-à-dire les différents services Web, mail, Git, etc. Le matériel dont le rôle n'est que de faire du routage réseau ne figure pas ici. +
-==== Serveurs ==== +
- +
-^ Serveur            ^ loué par  ^ hébergeur                     ^ réseau ^ +
-| trompe-souris (TS) | FAImaison | [[http://wwww.gixe.net|Gixe]]              | 1 IPv4 | +
-| telenn-du (TD)     | FAImaison | [[http://www.tetaneutral.net|Tetaneutral]] | 1 IPv4, /64 IPv6 | +
-| hurreya            | KheOps    | [[http://www.digicube.fr|Digicube]]        | 1 IPv4, /64 IPv6 | +
-| chomsky            | cthuluh   | ?                                          | 1 IPv4 | +
-| alpes              | cthuluh   | Liazo ?                                    | 1 IPv4 | +
-| chat-malo          | alarig    | [[http://www.digicube.fr|Digicube]]        | 1 IPv4 | +
-| VM OVH (nom ?)     | CapsLock  | [[http://www.ovh.com|OVH]]                 | 1 IPv4, IPv6 | +
-==== Services ==== +
- +
-Sur //trompe-souris//+
- +
-^ Service ^ Type             ^ Notes ^ +
-| [[https://www.faimaison.net|Site officiel]] | Web (lighty) | Compilé avec Pelican ; certificat TLS dédié signé par Gandi | +
-| [[http://media.faimaison.net]] | Web (lighty) | | +
-| [[https://wiki.faimaison.net|DokuWiki]] | Web (lighty) | Avec ''php5-cgi'' ; certificat TLS auto-signé | +
-| [[https://davical.faimaison.net|Davical]] | Web (lighty) | Avec ''php5-cgi'' ; certificat TLS signé par [[https://www.cacert.org|CACert]] | +
-| [[https://moncoin.faimaison.net|Coin]] (S.I.) | Web (lighty) | Reverse proxy vers démon local en ''python'' ; source du démon sur ''git:%%//%%git.illyse.org/coin.git'' ; certificat TLS signé par [[https://www.cacert.org|CACert]] | +
-| Échangeur mail (MX) | SMTP | Primaire | +
-| Minimalist          | SMTP | Gestion des ML | +
-| Zone faimaison.net  | DNS  | Maître | +
-| Reverse telenn-du   | DNS  | Maître | +
-| Gitolite            | Git/SSH  | Dépôts | +
-| git-daemon          | Git   | Dépôts publics | +
- +
-Sur la VM OVH : +
- +
-^ Service ^ Type             ^ Notes ^ +
-| [[https://pano.faimaison.net|Panoramas]] | Web | Application issue de Tetaneutral ; Certificat TLS signé par [[https://www.cacert.org|CACert]] | +
-| [[https://chaudron.faimaison.net|Chaudron]] | Web | Application [[https://www.openproject|OpenProject]] ; Certificat TLS signé par [[https://www.cacert.org|CACert]] | +
- +
-Sur //hurreya// : +
-  * DNS secondaire +
-  * Bot IRC Herr_SS +
- +
-Sur //chomsky// : +
-  * DNS secondaire +
-  * [[http://gitweb.faimaison.net/|Git Web]] +
- +
-Sur //alpes// : +
-  * MX secondaire +
-  * Serveur web secondaire ([[http://www2.faimaison.net|inopérant]])+
  
-Sur //telenn-du// et //chat-malo// : respectivement rien en prod et rien du tout ? +  * **Documenter ce qu'on met en place pour les utilisateurs et les autres adminsys** : si un autre adminsys ne sait pas comment fonctionne le service, il ne voudra pas y toucher ou bien cassera tout en y touchant ; 
-==== Données ====+  * **Prévenir les autres adminsys avant d'agir** : quelqu'un d'autre a peut-être déjà résolu le problème, a une idée différente sur la façon de faire, ou encore soulèvera un problème auquel on n'a pas pensé ; 
 +  * **Posséder une clé PGP** et faire signer cette clé par les autres adminsys, pour l'échange d'informations importantes ; 
 +  * **Produire une recette de gestionnaire de configuration pour chaque service mis en place** (le gestionnaire utilisé actuellement est Ansible) : cela aidera les autres admins à comprendre ce qui est mis en place, à travailler collaborativement l'administration et à plus facilement transférer la configuration d'une machine à l'autre ; 
 +  * **Résister aux pressions extérieures** qui viseraient à forcer un adminsys à révéler indûment des données sur l'association ou ses adhérents (ne pas hésiter à en parler aux autres, ou bien demander la suppression de ses propres droits si le cas est [[http://www.liberation.fr/societe/2013/04/07/la-dcri-accusee-d-avoir-fait-supprimer-sous-la-menace-un-article-sur-wikipedia_894252|plus sérieux]]). 
 +===== Nos systèmes =====
  
-^ Service      ^ Nature des données ^ Où ^ +  * **Avoir une séparation logique entre bases de données et services exposés publiquement**, d'une part pour réduire l'impact si ces derniers sont compromis et d'autre part pour faciliter le déplacement d'un composant ou d'un autre ; 
-| Minimalist   | Adresses mail | TS | +  * **Avoir des listes de contrôle d'accès claires** concernant l'accès aux données non publiquesen s'assurant que les accès effectifs sont cohérents avec ce que souhaite l'association ; 
-| MX           | Adresses mail (dans les logs) | TSchomsky | +  * **Rendre traçable les accès aux données personnelles** ; 
-| Coin         données personnelles (voir la doc/la source de Coin| TS | +  * **Ne pas dupliquer des données non publiques identiques dans plusieurs bases** sauf dans le cas des copies de sauvegarde ou de fichiers partagés entre tous les membres (typiquement les dépôts //git//) ; 
-| DokuWiki     | identifiants, mots de passe, documents non publics | TS | +  * **Héberger toute donnée non publique exclusivement sur des machines de l'association** 
-| Git (dépôtsdonnées personnelles, documents non publics | TS | +  * **Proposer une connexion chiffrée pour tous les services** qui soit à jour vis-à-vis des dernières menaces connues, tout en prenant en compte les contraintes d'utilisabilité (exemple : anciens navigateurs et algorithmes de chiffrements jugés un peu trop faibleset de coût (exemple : la certification TLS coûte un peu d'argent) ; 
-| Chaudron     | identifiantsmots de passedocuments non publics | VM OVH | +  * **Décentraliser et redonder** tout service qui ne pose pas de question de données personnelles ; 
-| Web (tous services) | IP de visiteurspages visitées, identifications des navigateurs | TS, VM OVH, alpes, chomsky |+  * **Sécuriser les serveurs** contre les accès illégitimes avec des méthodes jugées appropriées (pare-feusvérification de //rootkits//chiffrement de disqueetc.) et en s'assurant que les services installés sont à jour.
adminsys.1433582919.txt.gz · Dernière modification : 2015/06/06 09:28 de kheops