|
|
Ligne 1 : |
Ligne 1 : |
| | == Charte de l'équipe tech == |
|
| |
|
| | Voici quelques règles à respecter quand on répond à une demande de support d'un⋅e adhérent⋅e sur la liste tech@listes.infini.fr |
|
| |
|
| | === D'un point de vue "technique" === |
|
| |
|
| | * toujours utliser "répondre à tous" afin de répondre à la personne et à la liste tech (et penser à la rajouter si la personne ne répond pas sur tech), afin que les autres membres de l'équipe sachent si la question est traitée ou non ; si la question est d'ordre technique et posée sur la liste contact, ne pas hésiter à la forwarder sur tech |
| | * toujours ajouter une entête "répondre à" comportant l'adresse de la liste afin que la réponse de la personne arrive bien sur celle-ci (tip : ça peut se faire en configurant son courrielleur, on peut aussi ajouter une identité supplémentaire pour personnaliser l'expéditeur et le champ Reply-to) |
|
| |
|
| | === D'un point de vue humain === |
|
| |
|
| | | * Les adhérent⋅es ne sont pas des clients, rien n'oblige de répondre dans l'instant, on peut se permettre de tutoyer les gens, mais toujours "cordialement" et avec "bienveillance" |
| | | * Parfois il peut être nécessaire de rappeler aux gens que "l'équipe tech est composée de personnes bénévoles qui donnent de leur temps libre" |
| | | * On ne répond jamais en mode RTFM, on accompagne les gens, peut-être en leur donnant des liens vers une documentation (sur le wiki Infini ou ailleurs), mais toujours accompagné d'un texte qui la contextualise |
| ==== Article 1. Constitution de l'équipe technique d'Infini ====
| | * On est là pour accompagner les gens, pas pour faire à leur place, donc toujours préférer les explications détaillées et compréhensibles par une personne par forcément geek, même si ça demande souvent plus de temps que de faire à leur place. Cela permet aux gens de gagner en autonomie :) |
| | | * Ne pas hésiter à demander aux autres techs sur la liste quand on n'est pas sûr de la réponse à donner, ou à relancer l'équipe si une demande ne semble pas avoir été traitée |
| L'équipe des techs d'Infini est regroupée et communique sur la
| | * Une question fréquemment posée peut faire l'objet d'un article sur le wiki d'infini (wiki.infini.fr), c'est pratique pour y renvoyer les adhérents. Ne pas hésiter à apporter ou proposer des améliorations au wiki (sur le fond comme sur la forme) |
| liste de diffusion tech@infini.fr. Cette liste est constituée de:
| | * Si jamais la personne est vraiment perdue, on peut bien sûr lui proposer de faire à sa place, mais dans ce cas il faut lui rappeler que c'est à titre exceptionnel, sans quoi les gens risquent de penser que l'équipe est "un support client' |
| | | * Si le message de la personne vous semble manquer de respect : |
| a) personnes qui interviennent sur les machines quand elles peuvent, soit
| | ** respirez :) |
| sur demande précise d'un adhérent, soit suite à un débat sur la liste
| | ** attendez avant de répondre |
| pour apporter une amélioration directe ou indirecte aux services
| | ** toujours demander l'avis des autres membres de l'équipe avant d'envoyer une réponse qui sonnera comme un rappel à l'ordre ou qui ne sera pas "bienveillante" |
| proposés par Infini à ses adhérents, soit en urgence en cas de problème
| | * Si le problème rencontré et/ou sa solution sont intéressants, on peut envisager d'en faire un article sur le site et/ou un message sur mastodon |
| gênant le fonctionnement technique normal de l'asso. Ces personnes ont
| | * Si un problème global est détecté, communiquer auprès de tous les adhérents |
| droit de vote sur la liste tech.
| |
| b) personnes confirmées qui n'interviennent pas sur les machines
| |
| parce qu'elles ne le souhaitent pas, mais qui participent aux débats en
| |
| apportant leur expérience. Ces personnes ont droit de vote sur la liste
| |
| tech.
| |
| c) personnes qui n'interviennent pas, ou qui n'interviennent pas encore
| |
| sur les machines mais qui souhaitent in fine s'investir dans la gestion
| |
| technique. Ces membres sont plus des lecteurs que des conseillers, dans
| |
| les échanges de la liste auxquels ils peuvent toutefois participer. Ils
| |
| n'ont cependant pas droit de vote sur la liste. Ils s'engagent à ne pas
| |
| diffuser, par aucun moyen, le contenu des échanges de la liste.
| |
| | |
| Les techs définis ci-dessus aux rubriques 'a' et 'b' ont le
| |
| __devoir__ de participer aux débats engagés sur la liste tech. La non participation aux discussion provoque la non participations aux votes. Le vote tech est a but consultatif pour le CA. Si le debat fait apparaitre des dissensions trop grandes les parties exposent leur arguments au CA , et c'est le CA qui tranche.
| |
| ## note de henriB : très très chiant à mettre en place, on fera jamais ce conseil de discipline
| |
| faudrait trouver je sais pas, un truc systématique, genre réengagement des techs tous les deux mois?##
| |
| Les techs s'engagent à tout mettre en oeuvre pour veiller au
| |
| respect de la confidentialité et de la sécurité des données des
| |
| adhérents.
| |
| | |
| Ne peuvent faire partie de l'équipe technique au sens large (ie
| |
| les abonnés à la liste 'tech') que les personnes ayant accepté de
| |
| respecter la présente Charte et qui s'y sont engagés par mail auprès
| |
| de la liste ca@infini.fr.
| |
| | |
| Toute intervention effectuée sur un des serveur dans le respect
| |
| strict de cette Charte est placée sous la responsabilité juridique du
| |
| Conseil d'Administration de l'association.
| |
| | |
| | |
| | |
| ==== Article 2. Les demandes des adhérents ====
| |
| | |
| | |
| | |
| La liste tech@infini.fr est l'adresse du contact que les adhérents
| |
| de l'asso utilisent pour confier leurs demandes. (*)
| |
| | |
| Les techs, outre le fait de réfléchir et de travailler à
| |
| l'amélioration des services proposés par l'asso, répondent aux
| |
| demandes des adhérents, et exécutent ces demandes. Les demandes
| |
| habituelles sont:
| |
| | |
| - ajout/retrait d'un alias mail (""**"")
| |
| - ajout d'un alias web (""**"")
| |
| - ajout/configuration d'un nom de domaine (""**"")
| |
| - activation d'une base de donnée
| |
| - activation de statistiques web pour un site
| |
| | |
| Aucun débat sur la liste tech n'est requis pour exécuter une
| |
| demande définie ci-dessus comme habituelle.
| |
| | |
| Si la demande de l'adhérent est inhabituelle au sens défini
| |
| ci-dessus, elle sera débattue sur tech, voire transmise au CA si la
| |
| demande est extravagante ou perçue comme telle par un ou plusieurs
| |
| des techs.
| |
| | |
| La liste tech n'a pas pour vocation de répondre aux questions des
| |
| adhérents concernant autre chose que la gestion de leur compte.
| |
| | |
| Les techs d'Infini, dans leur communication avec les adhérents et
| |
| sur les deux listes 'tech' et 'staff', se doivent d'être
| |
| bienveillants et tolérants, conformément aux statuts de l'association
| |
| et aux règles générales de la Netiquette.
| |
| | |
| | |
| | |
| | |
| ==== Article 3. Les interventions des techs ====
| |
| | |
| | |
| Toute intervention, aussi minime soit-elle, doit etre portée a la connaissance des
| |
| autres techs.
| |
| - Par la liste tech@infini.fr pour les modification mineure
| |
| - Par le wiki tech (http://www.infini.fr/admin/doc) pour les mises en place de nouveau services
| |
| - Par Mantis ( https://blavet.infini.fr/mantis/ ) pour les evolutions technique de la configuration d'inifni.
| |
| | |
| | |
| | |
| ==== Article 4. Initiation des adhérents à la technique ====
| |
| | |
| | |
| | |
| Tout adhérent doit avoir la possibilité de s'initier à la gestion
| |
| des machines. Dans la mesure où il est évident que de solides
| |
| connaissances en la matière associées à une expérience certaine sont
| |
| requises, il est proposé à ces adhérents:
| |
| | |
| - d'installer une distribution Linux sur leur machine personnelle.
| |
| A défaut, il est mis à leur disposition au local plusieurs machines
| |
| sous Linux.
| |
| | |
| - d'acquérir des connaissances par le biais des listes de diffusion et
| |
| des forums dédiés
| |
| | |
| - de demander à être abonné à la liste 'tech' pour lire les échanges
| |
| sur la technique de l'asso (il est ici rappelé que la liste tech n'a
| |
| pas vocation de répondre aux questions des adhérents concernant autre
| |
| chose que la gestion de leur compte).
| |
| | |
| - de demander à assister aux interventions sur le serveurs faites par
| |
| les techs, soit au local, soit à distance.
| |
| | |
| - il n'est pas prévu de fournir à ces adhérents un accès SSH aux serveurs
| |
| dans le but de se former à la technique
| |
| | |
| | |
| | |
| ==== Article 5. Accès SSH aux serveurs ====
| |
| | |
| | |
| S'agissant des accès SSH aux serveurs (""***""), ils ne sont ouverts
| |
| que si les conditions suivantes sont vérifiées:
| |
| | |
| - s'il s'agit d'un accès SSH demandé par un adhérent pour gérer son compte
| |
| personnel:
| |
| | |
| o il devra en faire la demande à tech@infini.fr par un mail
| |
| exposant les motivations et les raisons de la nécessité, à ses yeux,
| |
| d'un accès SSH. Les techs se réservent le droit de refuser (par vote
| |
| interne) l'ouverture de l'accès SSH si les interventions souhaitées
| |
| par l'adhérent lui sont réalisables d'une autre manière.
| |
| | |
| o l'adhérent s'engage (par mail à ca@infini.fr):
| |
| - à utiliser son accès SSH pour la seule gestion de son compte
| |
| - à n'accéder en SSH, par aucun moyen, à d'autres répertoires
| |
| que son répertoire personnel
| |
| - à ne divulguer aucune information d'aucune sorte dont il aurait pu
| |
| avoir connaissance au cours de ses sessions SSH
| |
| - à n'installer aucun applicatif sur son compte sans en avoir demandé
| |
| l'examen et l'autorisation à la liste tech (rappel: les abonnés à la
| |
| liste tech qui le sont pour s'initier à la technique n'ont pas droit
| |
| de vote, cf point 1 de la Charte).
| |
| - a utiliser une forme sécurisée du protocole FTP en lieu et place du
| |
| protocole FTP habituel non sécurisé.
| |
| | |
| o En cas d'acceptation de l'ouverture de l'accès SSH:
| |
| - les techs doivent en informer le C.A.
| |
| - le mot de passe de l'adhérent est changé
| |
| - l'adhérent est ajouté dans la liste des utilisateurs n'ayant pas
| |
| l'autorisation d'utiliser le protocole FTP pour transférer ses
| |
| fichiers.
| |
| | |
| - s'il s'agit d'un accès SSH destiné à un abonné de la liste tech dans
| |
| le but d'effectuer des interventions sur les serveurs (car seuls les
| |
| membres de la liste tech peuvent prétendre à ce type d'accès SSH):
| |
| | |
| o il est indispensable que cette personne ait acquis ou possède déjà
| |
| de solides connaissances en administration système
| |
| | |
| o le cas échéant, si les tâches dévolues à ce tech sont peu nombreuses
| |
| et/ou spécifiques (""****""), il est décidé de ne pas transmettre au tech
| |
| concerné les mots de passe "root" des serveurs (""*****""). Dans ce cas,
| |
| un accès SSH est fourni, avec login et mot de passe individuels, avec
| |
| l'attribution de droits root (""*****""). Le tech concerné s'engage alors
| |
| auprès de ca@infini.fr à se limiter sur les serveurs à l'exécution
| |
| des tâches qui lui sont dévolues.
| |
| | |
| o l'ouverture d'un accès SSH est obligatoirement soumise à débat puis
| |
| vote sur la liste tech, et son acceptation éventuelle est portée à
| |
| la connaissance du CA
| |
| | |
| | |
| | |
| ==== Article 6. Mots de passe root des serveurs ====
| |
| | |
| | |
| S'agissant des mots de passe root, ceux-ci ne seront communiqués
| |
| aux techs que si _toutes_ les conditions suivantes sont vérifiées:
| |
| | |
| - abonné à la liste tech depuis au moins 3 mois
| |
| | |
| - tech possédant une solide expérience d'administration système et réseau
| |
| | |
| - tech bénéficiant déjà d'un accès SSH aux serveurs et ayant l'expérience
| |
| de la configuration particulière des serveurs d'Infini, ayant également
| |
| l'expérience d'interventions régulières sur les machines, sur des tâches
| |
| limitées (cf 2ème partie du point 5)
| |
| | |
| - validation par un vote des techs (selon la même procédure que pour un
| |
| vote au sein du CA: il faut que la moitié au moins des techs ayant le
| |
| droit de vote + 1 expriment leur suffrage, vote validé par une
| |
| majorité des 2/3 des suffrages exprimés)
| |
| | |
| - validation par un vote du C.A.
| |
| | |
| NB: toute dérogation à l'un des trois premiers points de ce 6ème article
| |
| devra être entérinée par un vote des techs à l'unanimité des
| |
| suffrages exprimés (la moitié des techs + 1 doivent avoir exprimé
| |
| leur suffrage pour que le vote soit valide)
| |
| | |
| | |
| Un tech possédant des droits "root" sur les serveurs s'engage dansun mail envoyé à ca@infini.fr qu'il ne divulguera ni son login ni
| |
| son mot de passe (qu'il soit individuel, soit root), ni les
| |
| informations dont il aurait pu avoir connaissance en éditant les
| |
| divers fichiers des serveurs à personne par aucun moyen que ce soit
| |
| (sauf si la procédure ci-dessus est validée à tous ses points) même
| |
| si le tech quitte un jour l'équipe technique. Dans ce dernier cas,
| |
| l'ex-tech s'engage à ne plus intervenir sur les machines, son accès
| |
| SSH individuel est supprimé.
| |
| | |
| Toute infraction aux conditions exposées dans les point 5 et 6 de
| |
| cette charte entrainera immédiatement la fermeture définitive de
| |
| l'accès SSH (décision de la liste tech), voire la radiation de
| |
| l'adhérent (décision du CA, conformément aux statuts).
| |
| | |
| | |
| -----
| |
| --=--
| |
| | |
| | |
| (*) Les adresses des instances techniques et administratives
| |
| d'Infini devraient d'ailleurs figurer dans un mail de bienvenue lors
| |
| de l'adhésion. Ces adresses sont principalement tech et ca, staff
| |
| étant plus pour "nous". Ces adresses devraient aussi figurer sur le
| |
| site web d'Infini, mais sous la forme d'un GIF ou d'un JPG sans lien
| |
| par exemple, pour limiter le spam, car la modération de ces listes
| |
| pour les adresses non-abonnées, bien que facile techniquement, n'est
| |
| pas forcément la meilleure des soluces....
| |
| | |
| ----
| |
| | |
| (""**"") On sous-entend bien sûr que les aliases demandés, que l'intitulé
| |
| des domaines à héberger/configurer sont conformes aux statuts de | |
| l'association ainsi qu'aux règles déontologiques habituelles (on ne | |
| va pas accepter la création d'un alias gaetan.treguier@infini.fr
| |
| pointant vers le compte abarthel, par exemple. Ni héberger un domaine
| |
| du genre porno-pas-cher.com. Ni créer un alias web
| |
| www.porno-gratuit.infini.fr. Des babioles comme ça, quoi...)
| |
| | |
| ----
| |
| | |
| (""***"") Après le flot de mails concernant ce sujet le mois dernier, je
| |
| ne suis pas sûr qu'il faille ici tout redire sur le sujet, mais
| |
| rappelons simplement qu'un accès SSH permet à quelqu'un de se
| |
| connecter sur les serveurs d'Infini en ligne de commande, et
| |
| exécuter, selon des droits précis, des commandes.
| |
| | |
| Un adhérent lambda qui se connecterait en SSH aurait théoriquement
| |
| la possibilité d'exécuter des commandes ayant la possibilité de
| |
| modifier le contenu de son compte uniquement, mais également des
| |
| commandes "habituelles" ayant potentiellement comme conséquences une
| |
| charge système et réseau très importantes, et un retentissement
| |
| temporaire sur le fonctionnement normal des machines durant
| |
| l'exécution de ces commandes, et ceci sans la moindre intention
| |
| malveillante.
| |
| | |
| Un adhérent _malveillant_ (et très fort) bénéficiant d'un accès
| |
| SSH aurait la possibilité théorique:
| |
| - de lancer des commandes lui conférant des droits "root"
| |
| - d'installer sur son compte des "programmes" entraînant des failles dans
| |
| la sécurité des serveurs
| |
| -> d'où la nécessité impérative que l'adhérent souhaitant un accès
| |
| SSH s'engage à respecter les points de la Charte le concernant.
| |
| | |
| ----
| |
| | |
| (""****"") exemples: fermetures de comptes, création/migration de listes
| |
| de diffusion, création de bases de données, création d'aliases mail
| |
| ou web, activation des statistiques web | |
| | |
| | |
| (""*****"") Un contrôle total des serveurs nécessite soit un accès
| |
| physique aux machines, soit un accès SSH + les fameux mots de passe
| |
| "root".
| |