Réunion technique de janvier 2021

, par John Livingston

Réunion technique du 26 janvier 2021

Comme discuté lors des derniers mardis Globenet, nous avons mis de côté les discussions purement techniques le 12 janvier pour les aborder aujourd’hui.

Réunion technique Globenet du mardi 26 janvier 2021

Cette réunion a eu lieu sur un salon BigBlueButton.

Présent⋅e⋅s :

John Livingston, -e, Jacques, Petit, Rozlav

Whilelm et Emile ont eu des empêchement de dernière minute.

ODJ

  • retour sur l’intervention en DC en décembre 2020
  • firewall : on souhaite réfléchir à plusieurs changements sur le firewall actuel. Liste non exhaustive :
    • optionnel pour les hébergés ?
    • mise en place de crowdsec ?
    • passer par ipset ?
    • voir les divers points dans le mail envoyé par Emile suite à son intervention en DC
    • port ssh : le changer pour qu’il ne soit pas trouvable aussi facilement ? prendre le numéro d’AS ?
    • firewall sur les machines extérieures ?
    • shorewall est-il trop lié à iptable (qui disparaît) ?
    • refaire un tour des mails échangés sur geeks@ pour être sûr de ne rien oublier
  • Borg :
  • Point sur encfs chez globenet. Est-ce un problème ?
  • peertube v3 à installer sur videos.gn
     *certificat ftp.globenet.org

Compte-rendu

Exploit BigBlueButton

L’exploit BigBlueButton trouvé par John a été évoqué. Il permet à un⋅e utilisateur⋅rice malveillant⋅e de faire semblant de quitter une réunion, alors que la personne entend toujours ce qui se passe.
L’exploit a été testé avec succès sur le serveur BBB d’octopuce.
La faille a été remonté par mail à BBB le 19 janvier, mais aucune réponse de leur part à ce jour.

ftp.globenet.org

Le certificat de ftp.globenet.org expire bientôt : le 1er février à 3h du matin.
Avec les changements effectués lors de l’installation de Panel, le serveur dns a changé (Panel au lieu de Boreal), ce qui pose pb pour renouveller le certificat.
Il faudrait installer le paquet debian dehydrated sur Panel.
Avant dehydrated était sur Boreal.

Autre option, non mentionnée dans le texte : utiliser la config sur boréal et faire la mise à jour sur le serveur DNS de panel en utilisant dnsupdate, ce qui est prévu par le script, mais influe aussi sur la config de l’autre domaine (no-log.org) géré par ce déhydrated (pas de possibilité d’avoir une méthode de mise à jour selon le domaine).

On va proposer sur geeks@ que Jacques s’en charge. Si pas d’objection, il pourra le faire ASAP.

Doc de dehydrated : https://wiki.globenet.org/doku.php?id=archives:outils:tech:manuels:gestion_certificats_avec_dehydrated

no-log

Jacques a du code pour rétablir les changements de mot de passe sur no-log (ça avait été discuté au dernier mardi globenet). John va faire une review demain (mercredi).

Borg

free_additionnal_space

Le param est actuellement à 0 sur be-ext.globenet.org.
Borg a besoin d’écrire des fichiers temporaires, y compris pour les opérations de « prune ». La doc recommande de garder un peu d’espace disque de libre via ce paramètre, pour éviter de tout bloquer en cas de disque plein.
Ce paramètre apparait dans le fichier « config » situé dans les repository. On est censé le modifier via une commande borg, mais celle-ci ne marche pas sur un « borg serve » chrooté.
John ne sait pas si le quota donné à Borg Serve peut être bloquant, et donc s’il faut prévoir de mettre un free_additionnal_space non nul dans nos fichiers de conf.

La question est à poser geeks@.

Pour info, Attac a de la doc ici : https://wiki.attac.org/attac-technique/interne/infra/gestion_des_sauvegardes?s[]=borg

paramètres sshd

Paramètres ssh/sshd Client à customiser d’après la doc de « borg serve » https://borgbackup.readthedocs.io/en/stable/usage/serve.html ? Actuellement chez globenet on a les valeurs par défaut (ServerAliveInterval=1 et ServerCountMax=3). Est-il pertinent de changer ? De ce que John comprend de la doc, les valeurs par défaut sont même plus adaptées que celles proposées (10 et 30).

Poser la question sur geeks@

Intervention en DC

En l’absence d’Emile, nous ne pouvons pas aborder ce point.

Firewall

Idem

Peertube v3

John a des questions sur le process de mise à jour de videos.globenet.org. En l’absence d’Emile, nous ne pouvons pas aborder ce point.

encfs

Le paquet encfs est utilisé par globenet. Lors de l’installation de encfs, il y’a un avertissement pour dire qu’il y a une faille et que ça ne peut pas être considéré comme secure. Est ce un problème pour les usages qu’on en fait ?
Nous ne détaillons pas ici les usages, au cas où cela serait un risque.
John doit voir avec Emile s’il a un avis.

prochain rdv

John va proposer par mail de faire une autre réunion technique avant le prochain mardi globenet, pour clôturer les sujets en cours. Un sondage sur le choix de la date sera proposé.