import>Olivier |
|
(4 versions intermédiaires par 4 utilisateurs non affichées) |
Ligne 1 : |
Ligne 1 : |
| | == Charte de l'équipe tech == |
|
| |
|
| | Voici quelques règles à respecter quand on répond à une demande de support d'un⋅e adhérent⋅e sur la liste tech@listes.infini.fr |
|
| |
|
| ==== Article 1. Constitution de l'?quipe technique d'Infini ==== | | === D'un point de vue "technique" === |
|
| |
| L'?quipe des techs d'Infini est regroup?e et communique sur la
| |
| liste de diffusion tech@infini.fr. Cette liste est constitu?e de:
| |
|
| |
|
| a) personnes qui interviennent sur les machines quand elles peuvent, soit
| | * toujours utliser "répondre à tous" afin de répondre à la personne et à la liste tech (et penser à la rajouter si la personne ne répond pas sur tech), afin que les autres membres de l'équipe sachent si la question est traitée ou non ; si la question est d'ordre technique et posée sur la liste contact, ne pas hésiter à la forwarder sur tech |
| sur demande pr?cise d'un adh?rent, soit suite ? un d?bat sur la liste
| | * toujours ajouter une entête "répondre à" comportant l'adresse de la liste afin que la réponse de la personne arrive bien sur celle-ci (tip : ça peut se faire en configurant son courrielleur, on peut aussi ajouter une identité supplémentaire pour personnaliser l'expéditeur et le champ Reply-to) |
| pour apporter une am?lioration directe ou indirecte aux services
| |
| propos?s par Infini ? ses adh?rents, soit en urgence en cas de probl?me
| |
| g?nant le fonctionnement technique normal de l'asso. Ces personnes ont
| |
| droit de vote sur la liste tech.
| |
| b) personnes confirm?es qui n'interviennent pas sur les machines
| |
| parce qu'elles ne le souhaitent pas, mais qui participent aux d?bats en
| |
| apportant leur exp?rience. Ces personnes ont droit de vote sur la liste
| |
| tech.
| |
| c) personnes qui n'interviennent pas, ou qui n'interviennent pas encore
| |
| sur les machines mais qui souhaitent in fine s'investir dans la gestion
| |
| technique. Ces membres sont plus des lecteurs que des conseillers, dans
| |
| les ?changes de la liste auxquels ils peuvent toutefois participer. Ils
| |
| n'ont cependant pas droit de vote sur la liste. Ils s'engagent ? ne pas
| |
| diffuser, par aucun moyen, le contenu des ?changes de la liste.
| |
|
| |
|
| Les techs d?finis ci-dessus aux rubriques 'a' et 'b' ont le
| | === D'un point de vue humain === |
| __devoir__ de participer aux d?bats engag?s sur la liste tech. La non participation aux discussion provoque la non participations aux votes. Le vote tech est a but consultatif pour le CA. Si le debat fait apparaitre des dissensions trop grandes les parties exposent leur arguments au CA , et c'est le CA qui tranche.
| |
| ## note de henriB : tr?s tr?s chiant ? mettre en place, on fera jamais ce conseil de discipline
| |
| faudrait trouver je sais pas, un truc syst?matique, genre r?engagement des techs tous les deux mois?##
| |
| Les techs s'engagent ? tout mettre en oeuvre pour veiller au
| |
| respect de la confidentialit? et de la s?curit? des donn?es des
| |
| adh?rents.
| |
|
| |
|
| Ne peuvent faire partie de l'?quipe technique au sens large (ie
| | * Les adhérent⋅es ne sont pas des clients, rien n'oblige de répondre dans l'instant, on peut se permettre de tutoyer les gens, mais toujours "cordialement" et avec "bienveillance" |
| les abonn?s ? la liste 'tech') que les personnes ayant accept? de
| | * Parfois il peut être nécessaire de rappeler aux gens que "l'équipe tech est composée de personnes bénévoles qui donnent de leur temps libre" |
| respecter la pr?sente Charte et qui s'y sont engag?s par mail aupr?s
| | * On ne répond jamais en mode [https://fr.wikipedia.org/wiki/RTFM_%28expression%29 RTFM], on accompagne les gens, peut-être en leur donnant des liens vers une documentation (sur le wiki Infini ou ailleurs), mais toujours accompagné d'un texte qui la contextualise |
| de la liste ca@infini.fr.
| | * On est là pour accompagner les gens, pas pour faire à leur place, donc toujours préférer les explications détaillées et compréhensibles par une personne par forcément geek, même si ça demande souvent plus de temps que de faire à leur place. Cela permet aux gens de gagner en autonomie :) |
| | | * Ne pas hésiter à demander aux autres techs sur la liste quand on n'est pas sûr de la réponse à donner, ou à relancer l'équipe si une demande ne semble pas avoir été traitée |
| Toute intervention effectu?e sur un des serveur dans le respect
| | * Une question fréquemment posée peut faire l'objet d'un article sur le wiki d'infini (wiki.infini.fr), c'est pratique pour y renvoyer les adhérents. Ne pas hésiter à apporter ou proposer des améliorations au wiki (sur le fond comme sur la forme) |
| strict de cette Charte est plac?e sous la responsabilit? juridique du
| | * Si jamais la personne est vraiment perdue, on peut bien sûr lui proposer de faire à sa place, mais dans ce cas il faut lui rappeler que c'est à titre exceptionnel, sans quoi les gens risquent de penser que l'équipe est "un support client' |
| Conseil d'Administration de l'association.
| | * Si le message de la personne vous semble manquer de respect : |
| | | ** respirez :) |
| | | ** attendez avant de répondre |
| | | ** toujours demander l'avis des autres membres de l'équipe avant d'envoyer une réponse qui sonnera comme un rappel à l'ordre ou qui ne sera pas "bienveillante" |
| ==== Article 2. Les demandes des adh?rents ====
| | * Si le problème rencontré et/ou sa solution sont intéressants, on peut envisager d'en faire un article sur le site et/ou un message sur mastodon |
| | | * Si un problème global est détecté, communiquer auprès de tous les adhérents |
| | |
| | |
| La liste tech@infini.fr est l'adresse du contact que les adh?rents
| |
| de l'asso utilisent pour confier leurs demandes. (*) | |
| | |
| Les techs, outre le fait de r?fl?chir et de travailler ?
| |
| l'am?lioration des services propos?s par l'asso, r?pondent aux
| |
| demandes des adh?rents, et ex?cutent ces demandes. Les demandes
| |
| habituelles sont:
| |
| | |
| - ajout/retrait d'un alias mail (""**"")
| |
| - ajout d'un alias web (""**"")
| |
| - ajout/configuration d'un nom de domaine (""**"")
| |
| - activation d'une base de donn?e
| |
| - activation de statistiques web pour un site
| |
| | |
| Aucun d?bat sur la liste tech n'est requis pour ex?cuter une
| |
| demande d?finie ci-dessus comme habituelle.
| |
| | |
| Si la demande de l'adh?rent est inhabituelle au sens d?fini
| |
| ci-dessus, elle sera d?battue sur tech, voire transmise au CA si la
| |
| demande est extravagante ou per?ue comme telle par un ou plusieurs
| |
| des techs.
| |
| | |
| La liste tech n'a pas pour vocation de r?pondre aux questions des
| |
| adh?rents concernant autre chose que la gestion de leur compte.
| |
| | |
| Les techs d'Infini, dans leur communication avec les adh?rents et
| |
| sur les deux listes 'tech' et 'staff', se doivent d'?tre
| |
| bienveillants et tol?rants, conform?ment aux statuts de l'association
| |
| et aux r?gles g?n?rales de la Netiquette.
| |
| | |
| | |
| | |
| | |
| ==== Article 3. Les interventions des techs ====
| |
| | |
| | |
| Toute intervention, aussi minime soit-elle, doit etre port?e a la connaissance des
| |
| autres techs.
| |
| - Par la liste tech@infini.fr pour les modification mineure
| |
| - Par le wiki tech (http://www.infini.fr/admin/doc) pour les mises en place de nouveau services
| |
| - Par Mantis ( https://blavet.infini.fr/mantis/ ) pour les evolutions technique de la configuration d'inifni.
| |
| | |
| | |
| | |
| ==== Article 4. Initiation des adh?rents ? la technique ====
| |
| | |
| | |
| | |
| Tout adh?rent doit avoir la possibilit? de s'initier ? la gestion
| |
| des machines. Dans la mesure o? il est ?vident que de solides
| |
| connaissances en la mati?re associ?es ? une exp?rience certaine sont
| |
| requises, il est propos? ? ces adh?rents:
| |
| | |
| - d'installer une distribution Linux sur leur machine personnelle.
| |
| A d?faut, il est mis ? leur disposition au local plusieurs machines
| |
| sous Linux.
| |
| | |
| - d'acqu?rir des connaissances par le biais des listes de diffusion et
| |
| des forums d?di?s
| |
| | |
| - de demander ? ?tre abonn? ? la liste 'tech' pour lire les ?changes
| |
| sur la technique de l'asso (il est ici rappel? que la liste tech n'a
| |
| pas vocation de r?pondre aux questions des adh?rents concernant autre
| |
| chose que la gestion de leur compte).
| |
| | |
| - de demander ? assister aux interventions sur le serveurs faites par
| |
| les techs, soit au local, soit ? distance.
| |
| | |
| - il n'est pas pr?vu de fournir ? ces adh?rents un acc?s SSH aux serveurs
| |
| dans le but de se former ? la technique
| |
| | |
| | |
| | |
| ==== Article 5. Acc?s SSH aux serveurs ====
| |
| | |
| | |
| S'agissant des acc?s SSH aux serveurs (""***""), ils ne sont ouverts
| |
| que si les conditions suivantes sont v?rifi?es:
| |
| | |
| - s'il s'agit d'un acc?s SSH demand? par un adh?rent pour g?rer son compte
| |
| personnel:
| |
| | |
| o il devra en faire la demande ? tech@infini.fr par un mail
| |
| exposant les motivations et les raisons de la n?cessit?, ? ses yeux,
| |
| d'un acc?s SSH. Les techs se r?servent le droit de refuser (par vote
| |
| interne) l'ouverture de l'acc?s SSH si les interventions souhait?es
| |
| par l'adh?rent lui sont r?alisables d'une autre mani?re.
| |
| | |
| o l'adh?rent s'engage (par mail ? ca@infini.fr):
| |
| - ? utiliser son acc?s SSH pour la seule gestion de son compte
| |
| - ? n'acc?der en SSH, par aucun moyen, ? d'autres r?pertoires
| |
| que son r?pertoire personnel
| |
| - ? ne divulguer aucune information d'aucune sorte dont il aurait pu
| |
| avoir connaissance au cours de ses sessions SSH
| |
| - ? n'installer aucun applicatif sur son compte sans en avoir demand?
| |
| l'examen et l'autorisation ? la liste tech (rappel: les abonn?s ? la
| |
| liste tech qui le sont pour s'initier ? la technique n'ont pas droit
| |
| de vote, cf point 1 de la Charte).
| |
| - a utiliser une forme s?curis?e du protocole FTP en lieu et place du
| |
| protocole FTP habituel non s?curis?.
| |
| | |
| o En cas d'acceptation de l'ouverture de l'acc?s SSH:
| |
| - les techs doivent en informer le C.A.
| |
| - le mot de passe de l'adh?rent est chang?
| |
| - l'adh?rent est ajout? dans la liste des utilisateurs n'ayant pas
| |
| l'autorisation d'utiliser le protocole FTP pour transf?rer ses
| |
| fichiers.
| |
| | |
| - s'il s'agit d'un acc?s SSH destin? ? un abonn? de la liste tech dans
| |
| le but d'effectuer des interventions sur les serveurs (car seuls les
| |
| membres de la liste tech peuvent pr?tendre ? ce type d'acc?s SSH):
| |
| | |
| o il est indispensable que cette personne ait acquis ou poss?de d?j?
| |
| de solides connaissances en administration syst?me
| |
| | |
| o le cas ?ch?ant, si les t?ches d?volues ? ce tech sont peu nombreuses
| |
| et/ou sp?cifiques (""****""), il est d?cid? de ne pas transmettre au tech
| |
| concern? les mots de passe "root" des serveurs (""*****""). Dans ce cas,
| |
| un acc?s SSH est fourni, avec login et mot de passe individuels, avec
| |
| l'attribution de droits root (""*****""). Le tech concern? s'engage alors
| |
| aupr?s de ca@infini.fr ? se limiter sur les serveurs ? l'ex?cution
| |
| des t?ches qui lui sont d?volues.
| |
| | |
| o l'ouverture d'un acc?s SSH est obligatoirement soumise ? d?bat puis
| |
| vote sur la liste tech, et son acceptation ?ventuelle est port?e ?
| |
| la connaissance du CA
| |
| | |
| | |
| | |
| ==== Article 6. Mots de passe root des serveurs ====
| |
| | |
| | |
| S'agissant des mots de passe root, ceux-ci ne seront communiqu?s
| |
| aux techs que si _toutes_ les conditions suivantes sont v?rifi?es:
| |
| | |
| - abonn? ? la liste tech depuis au moins 3 mois
| |
| | |
| - tech poss?dant une solide exp?rience d'administration syst?me et r?seau
| |
| | |
| - tech b?n?ficiant d?j? d'un acc?s SSH aux serveurs et ayant l'exp?rience
| |
| de la configuration particuli?re des serveurs d'Infini, ayant ?galement
| |
| l'exp?rience d'interventions r?guli?res sur les machines, sur des t?ches
| |
| limit?es (cf 2?me partie du point 5)
| |
| | |
| - validation par un vote des techs (selon la m?me proc?dure que pour un
| |
| vote au sein du CA: il faut que la moiti? au moins des techs ayant le
| |
| droit de vote + 1 expriment leur suffrage, vote valid? par une
| |
| majorit? des 2/3 des suffrages exprim?s)
| |
| | |
| - validation par un vote du C.A.
| |
| | |
| NB: toute d?rogation ? l'un des trois premiers points de ce 6?me article
| |
| devra ?tre ent?rin?e par un vote des techs ? l'unanimit? des
| |
| suffrages exprim?s (la moiti? des techs + 1 doivent avoir exprim?
| |
| leur suffrage pour que le vote soit valide)
| |
| | |
| | |
| Un tech poss?dant des droits "root" sur les serveurs s'engage dans
| |
| un mail envoy? ? ca@infini.fr qu'il ne divulguera ni son login ni
| |
| son mot de passe (qu'il soit individuel, soit root), ni les
| |
| informations dont il aurait pu avoir connaissance en ?ditant les
| |
| divers fichiers des serveurs ? personne par aucun moyen que ce soit
| |
| (sauf si la proc?dure ci-dessus est valid?e ? tous ses points) m?me | |
| si le tech quitte un jour l'?quipe technique. Dans ce dernier cas,
| |
| l'ex-tech s'engage ? ne plus intervenir sur les machines, son acc?s
| |
| SSH individuel est supprim?.
| |
| | |
| Toute infraction aux conditions expos?es dans les point 5 et 6 de
| |
| cette charte entrainera imm?diatement la fermeture d?finitive de
| |
| l'acc?s SSH (d?cision de la liste tech), voire la radiation de
| |
| l'adh?rent (d?cision du CA, conform?ment aux statuts).
| |
| | |
| | |
| -----
| |
| --=--
| |
| | |
| | |
| (*) Les adresses des instances techniques et administratives
| |
| d'Infini devraient d'ailleurs figurer dans un mail de bienvenue lors
| |
| de l'adh?sion. Ces adresses sont principalement tech et ca, staff | |
| ?tant plus pour "nous". Ces adresses devraient aussi figurer sur le
| |
| site web d'Infini, mais sous la forme d'un GIF ou d'un JPG sans lien
| |
| par exemple, pour limiter le spam, car la mod?ration de ces listes
| |
| pour les adresses non-abonn?es, bien que facile techniquement, n'est
| |
| pas forc?ment la meilleure des soluces....
| |
| | |
| ----
| |
| | |
| (""**"") On sous-entend bien s?r que les aliases demand?s, que l'intitul?
| |
| des domaines ? h?berger/configurer sont conformes aux statuts de | |
| l'association ainsi qu'aux r?gles d?ontologiques habituelles (on ne | |
| va pas accepter la cr?ation d'un alias gaetan.treguier@infini.fr
| |
| pointant vers le compte abarthel, par exemple. Ni h?berger un domaine
| |
| du genre porno-pas-cher.com. Ni cr?er un alias web
| |
| www.porno-gratuit.infini.fr. Des babioles comme ?a, quoi...)
| |
| | |
| ----
| |
| | |
| (""***"") Apr?s le flot de mails concernant ce sujet le mois dernier, je
| |
| ne suis pas s?r qu'il faille ici tout redire sur le sujet, mais
| |
| rappelons simplement qu'un acc?s SSH permet ? quelqu'un de se
| |
| connecter sur les serveurs d'Infini en ligne de commande, et
| |
| ex?cuter, selon des droits pr?cis, des commandes.
| |
| | |
| Un adh?rent lambda qui se connecterait en SSH aurait th?oriquement
| |
| la possibilit? d'ex?cuter des commandes ayant la possibilit? de
| |
| modifier le contenu de son compte uniquement, mais ?galement des
| |
| commandes "habituelles" ayant potentiellement comme cons?quences une
| |
| charge syst?me et r?seau tr?s importantes, et un retentissement
| |
| temporaire sur le fonctionnement normal des machines durant
| |
| l'ex?cution de ces commandes, et ceci sans la moindre intention
| |
| malveillante.
| |
| | |
| Un adh?rent _malveillant_ (et tr?s fort) b?n?ficiant d'un acc?s
| |
| SSH aurait la possibilit? th?orique:
| |
| - de lancer des commandes lui conf?rant des droits "root"
| |
| - d'installer sur son compte des "programmes" entra?nant des failles dans
| |
| la s?curit? des serveurs
| |
| -> d'o? la n?cessit? imp?rative que l'adh?rent souhaitant un acc?s
| |
| SSH s'engage ? respecter les points de la Charte le concernant.
| |
| | |
| ----
| |
| | |
| (""****"") exemples: fermetures de comptes, cr?ation/migration de listes
| |
| de diffusion, cr?ation de bases de donn?es, cr?ation d'aliases mail
| |
| ou web, activation des statistiques web
| |
| | |
| | |
| (""*****"") Un contr?le total des serveurs n?cessite soit un acc?s
| |
| physique aux machines, soit un acc?s SSH + les fameux mots de passe
| |
| "root".
| |