Réunion du 27 Août 2013

lundi 2 septembre 2013, par manu

Présents : Martin Bouchez, Jean-Louis Charpenteau, Emmanuel Courcelle, Hélène Petit, Jean-Pierre Sclafer, Marc Thirion

Excusé : Jean Frontin

Secrétaire de séance : Emmanuel Courcelle

Site du PIC : Le site a été entièrement remanié grâce au travail assidu de JP, assisté de JLC et EC. Le nouveau site est passé en production début Août.

Administration système : Les sites web sont à présent mieux isolés les uns des autres, grâce à deux changements de configuration :

  1. Directives PHP pour empêcher PHP de lire ou écrire des fichiers en-dehors du répertoire du site ;
  2. Pour chaque association, le serveur web correspondant travaille sous un utilisateur, au sens Unix, spécifique de cette association. Ce sont donc les droits Unix qui permettent l’isolation des sites, meilleure du point de vue de la sécurité (surtout en cas de compromission de l’un d’entre eux).

Il est probable que cette configuration augmente la charge du serveur, cela dit nous n’avons pas assez de recul pour savoir si cette charge supplémentaire peut être absorbée par notre machine.

Problème SYMPA : SYMPA a quelques soucis actuellement, probablement liés à une configuration initialement complexe, et à ce changement de configuration. Marc corrige les soucis d’ici la fin de la semaine.

Plantage Apache : Apache s’est planté samedi vers 16h00, en fait il a mangé toute la mémoire du serveur, qui pour sauver sa peau a tué Mysql. D’où un dysfonctionnement de SYMPA et de la plupart des sites entre samedi soir et dimanche matin, Marc étant intervenu alors pour relancer Mysql. Nous ne savons pas si ce plantage est lié au changement de configuration. Attendons de voir si cela se reproduit pour analyser le problème plus en détails.

Mise à jour système : Il faudra un jour faire la mise à jour système en Wheezy (prochaine Debian stable). L’ennui est que cela fera passer PHP en version 5.4 ; pas sûr que tous les sites se comportent correctement... On peut espérer que les sites utilisant des CMS "standards" ne poseront pas de problème, mais cela est moins sûr dans le cas de développements "maison". La stratégie envisagée est la suivante :

  1. EC vérifie dans le code PHP qu’il n’y a pas des incompatibilités "évidentes",
  2. Nous installerons une copie des sites qui peuvent poser problème sur picttn (déjà en Wheezy),
  3. Nous demanderons aux associations de tester en leur donnant un délai d’un mois. La mise à jour sera faite ensuite, objectif : fin 2013.

Spams dans les forums : Depuis quelques mois nous avons de gros problèmes de spams dans les forums :

  1. Sur un site une mauvaise configuration avait autorisé les forums à l’insu du plein gré de l’asso.
  2. Sur un autre site les forums sont utilisés régulièrement, mais ont été spammés.
  3. Sur un troisième un "spammeur fou" essaie en permanence d’introduire du spam, ne le peut pas, mais ne se décourage pas pour autant, d’où vol de bande passante, ressources système, et gonflement des statistiques.

Plusieurs solutions sont envisagées :

  1. Recommander aux associations d’installer le plugin NoSPAM sur leur site lorsqu’elles veulent utiliser les forums. L’ennui est que nous n’avons pas de recul sur ce plugin
  2. Recommander aux associations d’installer un plugin de capcha lors de l’enregistrement des visiteurs. HP se renseigne sur les plugins à installer, leur configuration, les problèmes d’accessibilité qu’ils peuvent poser éventuellement.
  3. Recommander aux associations de mettre en place la modération a priori des forums. Cela permet aussi de s’assurer qu’il n’y a pas de dérive dans la ligne éditoriale du site.
  4. MB regarde (sur picttn) comment on pourrait installer et configurer le logiciel fail2ban pour décourager les spammeurs en amont. Nous préférons éviter de recourir à des solutions de type "black lists", car nous n’avons pas les moyens de maintenir la liste, et nous ne voulons pas déléguer cela à d’autres sites.

Échange de gros fichiers : Le service Filez a été fermé, nous n’envisageons pas de le rouvrir, nous renverrons les utilisateurs sur deux services équivalents maintenus par des sociétés commerciales (d’où les deux services pour ne pas favoriser l’une d’entre elles).

Liste adhérents : Actuellement elle utilise la base de données des adhérents de Dolibarr comme source de données. Or cela n’est pas pertinent, car cela met de côté des correspondants techniques d’associations, inconnus de Dolibarr. Donc nous supprimons cette source de données, HP se charge de mettre à jour la liste manuellement. JLC fera ensuite un mail de rentrée afin de tenir les adhérents au courant des évolutions au PIC.

Article de la Dépêche : Le correspondant local de la Dépêche nous a contacté pour proposer un article, la réponse est oui. De préférence un peu avant la prochaine animation (12 Octobre).

Forum des Associations : Samedi 7 Septembre, seront présents JF (avec son parasol), EC, MT, JLC. Nous aurons les panneaux habituels, mais le flyer n’est finalement pas prêt.