Le Pic
Projet Internet et Citoyenneté

Accueil > L’ASSO > Les comptes rendus de réunions > Années antérieures > Année 2021 >

Réunion de CA du 26 Janvier 2021 PDF

par manu

Ateliers en visio, supervision, problèmes de sécurité, fail2ban et AbuseIpdb

via blabla.le-pic.org

Présents : JCL, JPeg, JPS, EC, Patrick, Mathieu, Cyril, Momo, François
Excusée : Emmanuelle

Debrief des ateliers du 16 Janvier (en visio)

Le samedi 16 janvier nous avions deux ateliers en parallèle, en visio (avec le Big Blue Button de Wsweet, merci à eux de mettre à disposition ces instances BBB), cf. https://bbb.wsweet.cloud/b/

Atelier SPIP

Atelier un peu délicat car les stagiaires (5 personnes) avaient des attentes très différentes : cela allait de comment faire un lien à comment faire un site responsive... Il est difficile de les aider à distance sans voir leur écran, les stagiaires étaient parfois un peu perdus (et nous aussi !), néanmoins ils ont été semble-t-il assez satisfaits.

WordPress

Une dizaine de stagiaires de différents niveaux : handicap par moment et avantage à d’autres.
Atelier bien rôdé, bilan globalement positif avec une participation de plusieurs stagiaires à la session suivante (CSS puis WordPress personnalisation)

Enregistrement

La session a été enregistrée : que fait-on de cet enregistrement ?
Il est actuellement stocké sur le serveur qui délivre le service BBB. C’est un mélange de vidéo et texte pour le chat, et il n’est pas certain de pouvoir exporter uniquement la présentation. La présentation semble assez verrouillée. On ne peut pas éditer mais tout le monde peut aller voir.
Est ce que l’enregistrement est pédagogique ? peut on l’utiliser ? Combien de diapos ? Comment intercaler diapos et film ?

Sans doute un projet à lancer ? On pourrait faire un tuto avec les enregistrements et les diapos mais c’est un gros boulot.... On peut télécharger la vidéo en local pour faire des montages, il suffit d’ajouter .mp4 à l’url de la vidéo. Jean-Paul essaie donc d’en faire quelque chose, mais il faudra d’abord demander le consentement aux stagiaires.

Bilan des ateliers en visio

Quel bilan pour ces ateliers ? Bilan mitigé sur l’atelier SPIP, qui semble ne plus trop attirer les gens. Peut-être est-il préférable de se rapprocher des personnes désirant utiliser SPIP et de les accompagner (Ferme des 50 en particulier).

Sébastien (La Chapelle) a demandé si l’atelier SPIP a été enregistré. On lui répond non. Mais s’ils veulent quelque chose sur SPIP on peut leur proposer un atelier dédié. Pour une personne ? travailler squelette ? qui serait intéressé ? JLouis fait le courrier.
Par ailleurs quid du site Ferme de 50 ? JPS peut prendre contact.

Par contre les ateliers WordPress fonctionnent bien.

Atelier 30 Janvier

Animé par EC. Le programme a été un peu réactualisé, on partira d’un fichier .html unique sans style puis on l’enrichit progressivement au cours de la matinée.
Les stagiaires devront télécharger un fichier .zip (contenant les présentations et les exercices).

Futurs ateliers

Atelier du 6 fev avec WP niveau 2

JPeg s’en occupe, toujours via BBB

Galette

Galette serait un bon candidat parce que appli web, se prête bien à un atelier en visio.

Inkscape

Pour Inkscape ce sera peut-être plus difficile. Emmanuelle est cependant partante (date à définir ?)

Vulnérabilité signalée sur le site 2p2r

Un vulnérabilité a été signalée par un expert du projet OpenBugBounty cf. https://www.openbugbounty.org/

Sans doute lié aux formulaires (d’après Momo). Difficile de corriger la vulnérabilité sans avoir de détails techniques, cela revient à boucher un trou sans voir le trou... JPS a mis à jour le plugin de saisie des formulaires, cela a-t-il corrigé le problème, on ne sait pas. Il faudrait aussi identifier les plugins non utilisés, qu’il faudrait donc désactiver.

Proposition : suggérer à Céline qu’elle prenne contact avec l’expert sécurité en question (nous avons son mail), afin d’en savoir plus sur la vulnérabilité, d’être capables de la reproduire nous-mêmes, etc.

Le PIC va accompagner Céline sur le sujet. C’est EC qui prend en charge le dossier technique pour le PIC. JLC prend contact avec 2 pieds 2 roues (Céline d’une part, le Président d’autre part) pour lancer l’affaire.

Supervision

L’installation de Munin est à présent terminée, il reste du nettoyage à faire, car toutes les sondes ne sont pas utiles. Quelques problèmes résiduels :

  • Nous sommes en environnement "Machine Virtuelle", ce qui complique la remontée de certaines métriques (par exemple le débit des cartes réseau).
  • Le plugin SYMPA fonctionne mais fait presque double emploi avec le plugin PostFix.
  • Il serait intéressant de visualiser le débit réseau par conteneur.
  • ...

Tous les serveurs sont à présent supervisés. Ils sont groupés en deux groupes : Gandi et TTN, en fonction de l’hébergement.

Travaux pratiques : Un warning s’affiche le soir de la réunion, en raison d’un problème ceph à Tetaneutral qui impacte lourdement le cloud. Munin permet de diagnostiquer le problème rapidement.

On pourra prochainement débrancher Eluna, l’ancien système de supervision bien plus simple et réducteur que Munin. On attend quelques semaines pour avoir du recul car Munin n’a démarré qu’en Janvier 2021, et Eluna permet de remonter à une année.

Fail to ban

Fail2ban est une application qui surveille les tentatives de connexion ssh, et si une IP fait de nombreuses tentatives dans l’espace de quelques minutes, cette ip est provisoirement "bannie" (Il faut se tromper 5 fois pour être banni et la durée de bannissement est de 15 minutes, cela ne devrait pas trop impacter les utilisateurs "réglos".
Notre serveur ssh écoute sur deux ports : le 22 (ou 2222 suivant les machines) et le 2200, ce dernier étant réservé aux utilisateurs pour la mise à jour de leur site via ssh ou sftp. Depuis quelques jours fail2ban écoute aussi le port 2200, et les attaques sont aussi nombreuses sur ce port que sur le port standard. Plusieurs dizaines d’adresses bannies par jour (cf. les graphes munin).

Contribution à AbuseIpDb

Nous utilisons depuis le début de l’année les services du projet collaboratif abuseIpdb https://www.abuseipdb.com en récupérant quotidiennement des listes d’IP à bloquer.

EC pose la question de la contribution à ce projet : il est possible (et techniquement ça marche) d’envoyer à AbuseIpdb les adresses IP bannies par fail2ban, afin de signaler les tentatives d’intrusion. Ce n’est que si une IP est signalée par de nombreuses personnes qu’elle est considérée par AbuseIbDb comme dangereuse.

Accord du CA pour contribuer au projet de cette manière.

Nouvelles adhésions au PIC et autres demandes des utilisateurs

  • Bienvenue au FJEP de Bruguières. Ils vont installer au PIC leur site WordPress, et confier au PIC la gestion de leur nom de domaine. Jpeg les accompagne
  • Site de Bellefontaine Milan : un plugin défectueux a tout fait planter, EC est intervenu pour supprimer le plugin en cause. Affaire à suivre...
  • La Roue Tourne : toujours en cours....