« Charte tech » : différence entre les versions
import>Olivier Aucun résumé des modifications |
import>Olivier Aucun résumé des modifications |
||
Ligne 1 : | Ligne 1 : | ||
sur demande | |||
pour apporter une | |||
==== Article 1. Constitution de l'équipe technique d'Infini ==== | |||
L'équipe des techs d'Infini est regroupée et communique sur la | |||
liste de diffusion tech@infini.fr. Cette liste est constituée de: | |||
a) personnes qui interviennent sur les machines quand elles peuvent, soit | |||
sur demande précise d'un adhérent, soit suite à un débat sur la liste | |||
pour apporter une amélioration directe ou indirecte aux services | |||
proposés par Infini à ses adhérents, soit en urgence en cas de problème | |||
gênant le fonctionnement technique normal de l'asso. Ces personnes ont | |||
droit de vote sur la liste tech. | droit de vote sur la liste tech. | ||
b) personnes confirmées qui n'interviennent pas sur les machines | |||
parce qu'elles ne le souhaitent pas, mais qui participent aux | parce qu'elles ne le souhaitent pas, mais qui participent aux débats en | ||
apportant leur | apportant leur expérience. Ces personnes ont droit de vote sur la liste | ||
tech. | tech. | ||
c) personnes qui n'interviennent pas, ou qui n'interviennent pas encore | |||
sur les machines mais qui souhaitent in fine s'investir dans la gestion | sur les machines mais qui souhaitent in fine s'investir dans la gestion | ||
technique. Ces membres sont plus des lecteurs que des conseillers, dans | technique. Ces membres sont plus des lecteurs que des conseillers, dans | ||
les | les échanges de la liste auxquels ils peuvent toutefois participer. Ils | ||
n'ont cependant pas droit de vote sur la liste. Ils s'engagent | n'ont cependant pas droit de vote sur la liste. Ils s'engagent à ne pas | ||
diffuser, par aucun moyen, le contenu des | diffuser, par aucun moyen, le contenu des échanges de la liste. | ||
Les techs | Les techs définis ci-dessus aux rubriques 'a' et 'b' ont le | ||
__devoir__ de participer aux | __devoir__ de participer aux débats engagés sur la liste tech. La non participation aux discussion provoque la non participations aux votes. Le vote tech est a but consultatif pour le CA. Si le debat fait apparaitre des dissensions trop grandes les parties exposent leur arguments au CA , et c'est le CA qui tranche. | ||
## note de henriB : | ## note de henriB : très très chiant à mettre en place, on fera jamais ce conseil de discipline | ||
faudrait trouver je sais pas, un truc | faudrait trouver je sais pas, un truc systématique, genre réengagement des techs tous les deux mois?## | ||
Les techs s'engagent | Les techs s'engagent à tout mettre en oeuvre pour veiller au | ||
respect de la | respect de la confidentialité et de la sécurité des données des | ||
adhérents. | |||
Ne peuvent faire partie de l' | Ne peuvent faire partie de l'équipe technique au sens large (ie | ||
les | les abonnés à la liste 'tech') que les personnes ayant accepté de | ||
respecter la | respecter la présente Charte et qui s'y sont engagés par mail auprès | ||
de la liste ca@infini.fr. | de la liste ca@infini.fr. | ||
Toute intervention | Toute intervention effectuée sur un des serveur dans le respect | ||
strict de cette Charte est | strict de cette Charte est placée sous la responsabilité juridique du | ||
Conseil d'Administration de l'association. | Conseil d'Administration de l'association. | ||
==== Article 2. Les demandes des | ==== Article 2. Les demandes des adhérents ==== | ||
La liste tech@infini.fr est l'adresse du contact que les | La liste tech@infini.fr est l'adresse du contact que les adhérents | ||
de l'asso utilisent pour confier leurs demandes. (*) | de l'asso utilisent pour confier leurs demandes. (*) | ||
Les techs, outre le fait de | Les techs, outre le fait de réfléchir et de travailler à | ||
l' | l'amélioration des services proposés par l'asso, répondent aux | ||
demandes des | demandes des adhérents, et exécutent ces demandes. Les demandes | ||
habituelles sont: | habituelles sont: | ||
- ajout/retrait d'un alias mail ( | - ajout/retrait d'un alias mail (""**"") | ||
- ajout d'un alias web ( | - ajout d'un alias web (""**"") | ||
- ajout/configuration d'un nom de domaine ( | - ajout/configuration d'un nom de domaine (""**"") | ||
- activation d'une base de | - activation d'une base de donnée | ||
- activation de statistiques web pour un site | - activation de statistiques web pour un site | ||
Aucun | Aucun débat sur la liste tech n'est requis pour exécuter une | ||
demande | demande définie ci-dessus comme habituelle. | ||
Si la demande de l' | Si la demande de l'adhérent est inhabituelle au sens défini | ||
ci-dessus, elle sera | ci-dessus, elle sera débattue sur tech, voire transmise au CA si la | ||
demande est extravagante ou | demande est extravagante ou perçue comme telle par un ou plusieurs | ||
des techs. | des techs. | ||
La liste tech n'a pas pour vocation de | La liste tech n'a pas pour vocation de répondre aux questions des | ||
adhérents concernant autre chose que la gestion de leur compte. | |||
Les techs d'Infini, dans leur communication avec les | Les techs d'Infini, dans leur communication avec les adhérents et | ||
sur les deux listes 'tech' et 'staff', se doivent d' | sur les deux listes 'tech' et 'staff', se doivent d'être | ||
bienveillants et | bienveillants et tolérants, conformément aux statuts de l'association | ||
et aux | et aux règles générales de la Netiquette. | ||
==== Article 3. Les interventions des techs ==== | ==== Article 3. Les interventions des techs ==== | ||
Toute intervention, aussi minime soit-elle, doit etre | Toute intervention, aussi minime soit-elle, doit etre portée a la connaissance des | ||
autres techs. | autres techs. | ||
- Par la liste tech@infini.fr pour les modification mineure | - Par la liste tech@infini.fr pour les modification mineure | ||
Ligne 90 : | Ligne 96 : | ||
==== Article 4. Initiation des | ==== Article 4. Initiation des adhérents à la technique ==== | ||
Tout | Tout adhérent doit avoir la possibilité de s'initier à la gestion | ||
des machines. Dans la mesure | des machines. Dans la mesure où il est évident que de solides | ||
connaissances en la | connaissances en la matière associées à une expérience certaine sont | ||
requises, il est | requises, il est proposé à ces adhérents: | ||
- d'installer une distribution Linux sur leur machine personnelle. | - d'installer une distribution Linux sur leur machine personnelle. | ||
A | A défaut, il est mis à leur disposition au local plusieurs machines | ||
sous Linux. | sous Linux. | ||
- d' | - d'acquérir des connaissances par le biais des listes de diffusion et | ||
des forums | des forums dédiés | ||
- de demander | - de demander à être abonné à la liste 'tech' pour lire les échanges | ||
sur la technique de l'asso (il est ici | sur la technique de l'asso (il est ici rappelé que la liste tech n'a | ||
pas vocation de | pas vocation de répondre aux questions des adhérents concernant autre | ||
chose que la gestion de leur compte). | chose que la gestion de leur compte). | ||
- de demander | - de demander à assister aux interventions sur le serveurs faites par | ||
les techs, soit au local, soit | les techs, soit au local, soit à distance. | ||
- il n'est pas | - il n'est pas prévu de fournir à ces adhérents un accès SSH aux serveurs | ||
dans le but de se former | dans le but de se former à la technique | ||
==== Article 5. | ==== Article 5. Accès SSH aux serveurs ==== | ||
S'agissant des | S'agissant des accès SSH aux serveurs (""***""), ils ne sont ouverts | ||
que si les conditions suivantes sont | que si les conditions suivantes sont vérifiées: | ||
- s'il s'agit d'un | - s'il s'agit d'un accès SSH demandé par un adhérent pour gérer son compte | ||
personnel: | personnel: | ||
o il devra en faire la demande | o il devra en faire la demande à tech@infini.fr par un mail | ||
exposant les motivations et les raisons de la | exposant les motivations et les raisons de la nécessité, à ses yeux, | ||
d'un | d'un accès SSH. Les techs se réservent le droit de refuser (par vote | ||
interne) l'ouverture de l' | interne) l'ouverture de l'accès SSH si les interventions souhaitées | ||
par l' | par l'adhérent lui sont réalisables d'une autre manière. | ||
o l' | o l'adhérent s'engage (par mail à ca@infini.fr): | ||
- | - à utiliser son accès SSH pour la seule gestion de son compte | ||
- | - à n'accéder en SSH, par aucun moyen, à d'autres répertoires | ||
que son | que son répertoire personnel | ||
- | - à ne divulguer aucune information d'aucune sorte dont il aurait pu | ||
avoir connaissance au cours de ses sessions SSH | avoir connaissance au cours de ses sessions SSH | ||
- | - à n'installer aucun applicatif sur son compte sans en avoir demandé | ||
l'examen et l'autorisation | l'examen et l'autorisation à la liste tech (rappel: les abonnés à la | ||
liste tech qui le sont pour s'initier | liste tech qui le sont pour s'initier à la technique n'ont pas droit | ||
de vote, cf point 1 de la Charte). | de vote, cf point 1 de la Charte). | ||
- a utiliser une forme | - a utiliser une forme sécurisée du protocole FTP en lieu et place du | ||
protocole FTP habituel non | protocole FTP habituel non sécurisé. | ||
o En cas d'acceptation de l'ouverture de l' | o En cas d'acceptation de l'ouverture de l'accès SSH: | ||
- les techs doivent en informer le C.A. | - les techs doivent en informer le C.A. | ||
- le mot de passe de l' | - le mot de passe de l'adhérent est changé | ||
- l' | - l'adhérent est ajouté dans la liste des utilisateurs n'ayant pas | ||
l'autorisation d'utiliser le protocole FTP pour | l'autorisation d'utiliser le protocole FTP pour transférer ses | ||
fichiers. | fichiers. | ||
- s'il s'agit d'un | - s'il s'agit d'un accès SSH destiné à un abonné de la liste tech dans | ||
le but d'effectuer des interventions sur les serveurs (car seuls les | le but d'effectuer des interventions sur les serveurs (car seuls les | ||
membres de la liste tech peuvent | membres de la liste tech peuvent prétendre à ce type d'accès SSH): | ||
o il est indispensable que cette personne ait acquis ou | o il est indispensable que cette personne ait acquis ou possède déjà | ||
de solides connaissances en administration | de solides connaissances en administration système | ||
o le cas | o le cas échéant, si les tâches dévolues à ce tech sont peu nombreuses | ||
et/ou | et/ou spécifiques (""****""), il est décidé de ne pas transmettre au tech | ||
concerné les mots de passe "root" des serveurs (""*****""). Dans ce cas, | |||
un | un accès SSH est fourni, avec login et mot de passe individuels, avec | ||
l'attribution de droits root ( | l'attribution de droits root (""*****""). Le tech concerné s'engage alors | ||
auprès de ca@infini.fr à se limiter sur les serveurs à l'exécution | |||
des | des tâches qui lui sont dévolues. | ||
o l'ouverture d'un | o l'ouverture d'un accès SSH est obligatoirement soumise à débat puis | ||
vote sur la liste tech, et son acceptation | vote sur la liste tech, et son acceptation éventuelle est portée à | ||
la connaissance du CA | la connaissance du CA | ||
Ligne 178 : | Ligne 184 : | ||
S'agissant des mots de passe root, ceux-ci ne seront | S'agissant des mots de passe root, ceux-ci ne seront communiqués | ||
aux techs que si _toutes_ les conditions suivantes sont | aux techs que si _toutes_ les conditions suivantes sont vérifiées: | ||
- | - abonné à la liste tech depuis au moins 3 mois | ||
- tech | - tech possédant une solide expérience d'administration système et réseau | ||
- tech | - tech bénéficiant déjà d'un accès SSH aux serveurs et ayant l'expérience | ||
de la configuration | de la configuration particulière des serveurs d'Infini, ayant également | ||
l' | l'expérience d'interventions régulières sur les machines, sur des tâches | ||
limitées (cf 2ème partie du point 5) | |||
- validation par un vote des techs (selon la | - validation par un vote des techs (selon la même procédure que pour un | ||
vote au sein du CA: il faut que la | vote au sein du CA: il faut que la moitié au moins des techs ayant le | ||
droit de vote + 1 expriment leur suffrage, vote | droit de vote + 1 expriment leur suffrage, vote validé par une | ||
majorité des 2/3 des suffrages exprimés) | |||
- validation par un vote du C.A. | - validation par un vote du C.A. | ||
NB: toute | NB: toute dérogation à l'un des trois premiers points de ce 6ème article | ||
devra | devra être entérinée par un vote des techs à l'unanimité des | ||
suffrages | suffrages exprimés (la moitié des techs + 1 doivent avoir exprimé | ||
leur suffrage pour que le vote soit valide) | leur suffrage pour que le vote soit valide) | ||
Un tech | Un tech possédant des droits "root" sur les serveurs s'engage dansun mail envoyé à ca@infini.fr qu'il ne divulguera ni son login ni | ||
son mot de passe (qu'il soit individuel, soit root), ni les | son mot de passe (qu'il soit individuel, soit root), ni les | ||
informations dont il aurait pu avoir connaissance en | informations dont il aurait pu avoir connaissance en éditant les | ||
divers fichiers des serveurs | divers fichiers des serveurs à personne par aucun moyen que ce soit | ||
(sauf si la | (sauf si la procédure ci-dessus est validée à tous ses points) même | ||
si le tech quitte un jour l' | si le tech quitte un jour l'équipe technique. Dans ce dernier cas, | ||
l'ex-tech s'engage | l'ex-tech s'engage à ne plus intervenir sur les machines, son accès | ||
SSH individuel est | SSH individuel est supprimé. | ||
Toute infraction aux conditions | Toute infraction aux conditions exposées dans les point 5 et 6 de | ||
cette charte entrainera | cette charte entrainera immédiatement la fermeture définitive de | ||
l' | l'accès SSH (décision de la liste tech), voire la radiation de | ||
l' | l'adhérent (décision du CA, conformément aux statuts). | ||
Ligne 225 : | Ligne 230 : | ||
(*) Les adresses des instances techniques et administratives | (*) Les adresses des instances techniques et administratives | ||
d'Infini devraient d'ailleurs figurer dans un mail de bienvenue lors | d'Infini devraient d'ailleurs figurer dans un mail de bienvenue lors | ||
de l' | de l'adhésion. Ces adresses sont principalement tech et ca, staff | ||
étant plus pour "nous". Ces adresses devraient aussi figurer sur le | |||
site web d'Infini, mais sous la forme d'un GIF ou d'un JPG sans lien | site web d'Infini, mais sous la forme d'un GIF ou d'un JPG sans lien | ||
par exemple, pour limiter le spam, car la | par exemple, pour limiter le spam, car la modération de ces listes | ||
pour les adresses non- | pour les adresses non-abonnées, bien que facile techniquement, n'est | ||
pas | pas forcément la meilleure des soluces.... | ||
---- | ---- | ||
( | (""**"") On sous-entend bien sûr que les aliases demandés, que l'intitulé | ||
des domaines | des domaines à héberger/configurer sont conformes aux statuts de | ||
l'association ainsi qu'aux | l'association ainsi qu'aux règles déontologiques habituelles (on ne | ||
va pas accepter la | va pas accepter la création d'un alias gaetan.treguier@infini.fr | ||
pointant vers le compte abarthel, par exemple. Ni | pointant vers le compte abarthel, par exemple. Ni héberger un domaine | ||
du genre porno-pas-cher.com. Ni | du genre porno-pas-cher.com. Ni créer un alias web | ||
www.porno-gratuit.infini.fr. Des babioles comme | www.porno-gratuit.infini.fr. Des babioles comme ça, quoi...) | ||
---- | ---- | ||
( | (""***"") Après le flot de mails concernant ce sujet le mois dernier, je | ||
ne suis pas | ne suis pas sûr qu'il faille ici tout redire sur le sujet, mais | ||
rappelons simplement qu'un | rappelons simplement qu'un accès SSH permet à quelqu'un de se | ||
connecter sur les serveurs d'Infini en ligne de commande, et | connecter sur les serveurs d'Infini en ligne de commande, et | ||
exécuter, selon des droits précis, des commandes. | |||
Un | Un adhérent lambda qui se connecterait en SSH aurait théoriquement | ||
la | la possibilité d'exécuter des commandes ayant la possibilité de | ||
modifier le contenu de son compte uniquement, mais | modifier le contenu de son compte uniquement, mais également des | ||
commandes | commandes "habituelles" ayant potentiellement comme conséquences une | ||
charge | charge système et réseau très importantes, et un retentissement | ||
temporaire sur le fonctionnement normal des machines durant | temporaire sur le fonctionnement normal des machines durant | ||
l' | l'exécution de ces commandes, et ceci sans la moindre intention | ||
malveillante. | malveillante. | ||
Un | Un adhérent _malveillant_ (et très fort) bénéficiant d'un accès | ||
SSH aurait la | SSH aurait la possibilité théorique: | ||
- de lancer des commandes lui | - de lancer des commandes lui conférant des droits "root" | ||
- d'installer sur son compte des | - d'installer sur son compte des "programmes" entraînant des failles dans | ||
la | la sécurité des serveurs | ||
- | -> d'où la nécessité impérative que l'adhérent souhaitant un accès | ||
SSH s'engage | SSH s'engage à respecter les points de la Charte le concernant. | ||
---- | ---- | ||
( | (""****"") exemples: fermetures de comptes, création/migration de listes | ||
de diffusion, | de diffusion, création de bases de données, création d'aliases mail | ||
ou web, activation des statistiques web | ou web, activation des statistiques web | ||
( | (""*****"") Un contrôle total des serveurs nécessite soit un accès | ||
physique aux machines, soit un | physique aux machines, soit un accès SSH + les fameux mots de passe | ||
"root". |
Version du 18 novembre 2006 à 04:49
Article 1. Constitution de l'équipe technique d'Infini
L'équipe des techs d'Infini est regroupée et communique sur la
liste de diffusion tech@infini.fr. Cette liste est constituée de:
a) personnes qui interviennent sur les machines quand elles peuvent, soit sur demande précise d'un adhérent, soit suite à un débat sur la liste pour apporter une amélioration directe ou indirecte aux services proposés par Infini à ses adhérents, soit en urgence en cas de problème gênant le fonctionnement technique normal de l'asso. Ces personnes ont droit de vote sur la liste tech. b) personnes confirmées qui n'interviennent pas sur les machines parce qu'elles ne le souhaitent pas, mais qui participent aux débats en apportant leur expérience. Ces personnes ont droit de vote sur la liste tech. c) personnes qui n'interviennent pas, ou qui n'interviennent pas encore sur les machines mais qui souhaitent in fine s'investir dans la gestion technique. Ces membres sont plus des lecteurs que des conseillers, dans les échanges de la liste auxquels ils peuvent toutefois participer. Ils n'ont cependant pas droit de vote sur la liste. Ils s'engagent à ne pas diffuser, par aucun moyen, le contenu des échanges de la liste.
Les techs définis ci-dessus aux rubriques 'a' et 'b' ont le
__devoir__ de participer aux débats engagés sur la liste tech. La non participation aux discussion provoque la non participations aux votes. Le vote tech est a but consultatif pour le CA. Si le debat fait apparaitre des dissensions trop grandes les parties exposent leur arguments au CA , et c'est le CA qui tranche.
- note de henriB : très très chiant à mettre en place, on fera jamais ce conseil de discipline
faudrait trouver je sais pas, un truc systématique, genre réengagement des techs tous les deux mois?##
Les techs s'engagent à tout mettre en oeuvre pour veiller au
respect de la confidentialité et de la sécurité des données des adhérents.
Ne peuvent faire partie de l'équipe technique au sens large (ie
les abonnés à la liste 'tech') que les personnes ayant accepté de respecter la présente Charte et qui s'y sont engagés par mail auprès de la liste ca@infini.fr.
Toute intervention effectuée sur un des serveur dans le respect
strict de cette Charte est placée sous la responsabilité juridique du Conseil d'Administration de l'association.
Article 2. Les demandes des adhérents
La liste tech@infini.fr est l'adresse du contact que les adhérents
de l'asso utilisent pour confier leurs demandes. (*)
Les techs, outre le fait de réfléchir et de travailler à
l'amélioration des services proposés par l'asso, répondent aux demandes des adhérents, et exécutent ces demandes. Les demandes habituelles sont:
- ajout/retrait d'un alias mail (""**"") - ajout d'un alias web (""**"") - ajout/configuration d'un nom de domaine (""**"") - activation d'une base de donnée - activation de statistiques web pour un site
Aucun débat sur la liste tech n'est requis pour exécuter une
demande définie ci-dessus comme habituelle.
Si la demande de l'adhérent est inhabituelle au sens défini
ci-dessus, elle sera débattue sur tech, voire transmise au CA si la demande est extravagante ou perçue comme telle par un ou plusieurs des techs.
La liste tech n'a pas pour vocation de répondre aux questions des
adhérents concernant autre chose que la gestion de leur compte.
Les techs d'Infini, dans leur communication avec les adhérents et
sur les deux listes 'tech' et 'staff', se doivent d'être bienveillants et tolérants, conformément aux statuts de l'association et aux règles générales de la Netiquette.
Article 3. Les interventions des techs
Toute intervention, aussi minime soit-elle, doit etre portée a la connaissance des
autres techs.
- Par la liste tech@infini.fr pour les modification mineure - Par le wiki tech (http://www.infini.fr/admin/doc) pour les mises en place de nouveau services - Par Mantis ( https://blavet.infini.fr/mantis/ ) pour les evolutions technique de la configuration d'inifni.
Article 4. Initiation des adhérents à la technique
Tout adhérent doit avoir la possibilité de s'initier à la gestion
des machines. Dans la mesure où il est évident que de solides connaissances en la matière associées à une expérience certaine sont requises, il est proposé à ces adhérents:
- d'installer une distribution Linux sur leur machine personnelle. A défaut, il est mis à leur disposition au local plusieurs machines sous Linux.
- d'acquérir des connaissances par le biais des listes de diffusion et des forums dédiés
- de demander à être abonné à la liste 'tech' pour lire les échanges sur la technique de l'asso (il est ici rappelé que la liste tech n'a pas vocation de répondre aux questions des adhérents concernant autre chose que la gestion de leur compte).
- de demander à assister aux interventions sur le serveurs faites par les techs, soit au local, soit à distance.
- il n'est pas prévu de fournir à ces adhérents un accès SSH aux serveurs dans le but de se former à la technique
Article 5. Accès SSH aux serveurs
S'agissant des accès SSH aux serveurs (""***""), ils ne sont ouverts
que si les conditions suivantes sont vérifiées:
- s'il s'agit d'un accès SSH demandé par un adhérent pour gérer son compte personnel:
o il devra en faire la demande à tech@infini.fr par un mail exposant les motivations et les raisons de la nécessité, à ses yeux, d'un accès SSH. Les techs se réservent le droit de refuser (par vote interne) l'ouverture de l'accès SSH si les interventions souhaitées par l'adhérent lui sont réalisables d'une autre manière.
o l'adhérent s'engage (par mail à ca@infini.fr): - à utiliser son accès SSH pour la seule gestion de son compte - à n'accéder en SSH, par aucun moyen, à d'autres répertoires que son répertoire personnel - à ne divulguer aucune information d'aucune sorte dont il aurait pu avoir connaissance au cours de ses sessions SSH - à n'installer aucun applicatif sur son compte sans en avoir demandé l'examen et l'autorisation à la liste tech (rappel: les abonnés à la liste tech qui le sont pour s'initier à la technique n'ont pas droit de vote, cf point 1 de la Charte). - a utiliser une forme sécurisée du protocole FTP en lieu et place du protocole FTP habituel non sécurisé.
o En cas d'acceptation de l'ouverture de l'accès SSH: - les techs doivent en informer le C.A. - le mot de passe de l'adhérent est changé - l'adhérent est ajouté dans la liste des utilisateurs n'ayant pas l'autorisation d'utiliser le protocole FTP pour transférer ses fichiers.
- s'il s'agit d'un accès SSH destiné à un abonné de la liste tech dans le but d'effectuer des interventions sur les serveurs (car seuls les membres de la liste tech peuvent prétendre à ce type d'accès SSH):
o il est indispensable que cette personne ait acquis ou possède déjà de solides connaissances en administration système
o le cas échéant, si les tâches dévolues à ce tech sont peu nombreuses et/ou spécifiques (""****""), il est décidé de ne pas transmettre au tech concerné les mots de passe "root" des serveurs (""*****""). Dans ce cas, un accès SSH est fourni, avec login et mot de passe individuels, avec l'attribution de droits root (""*****""). Le tech concerné s'engage alors auprès de ca@infini.fr à se limiter sur les serveurs à l'exécution des tâches qui lui sont dévolues.
o l'ouverture d'un accès SSH est obligatoirement soumise à débat puis vote sur la liste tech, et son acceptation éventuelle est portée à la connaissance du CA
Article 6. Mots de passe root des serveurs
S'agissant des mots de passe root, ceux-ci ne seront communiqués
aux techs que si _toutes_ les conditions suivantes sont vérifiées:
- abonné à la liste tech depuis au moins 3 mois
- tech possédant une solide expérience d'administration système et réseau
- tech bénéficiant déjà d'un accès SSH aux serveurs et ayant l'expérience de la configuration particulière des serveurs d'Infini, ayant également l'expérience d'interventions régulières sur les machines, sur des tâches limitées (cf 2ème partie du point 5)
- validation par un vote des techs (selon la même procédure que pour un vote au sein du CA: il faut que la moitié au moins des techs ayant le droit de vote + 1 expriment leur suffrage, vote validé par une majorité des 2/3 des suffrages exprimés)
- validation par un vote du C.A.
NB: toute dérogation à l'un des trois premiers points de ce 6ème article devra être entérinée par un vote des techs à l'unanimité des suffrages exprimés (la moitié des techs + 1 doivent avoir exprimé leur suffrage pour que le vote soit valide)
Un tech possédant des droits "root" sur les serveurs s'engage dansun mail envoyé à ca@infini.fr qu'il ne divulguera ni son login ni
son mot de passe (qu'il soit individuel, soit root), ni les informations dont il aurait pu avoir connaissance en éditant les divers fichiers des serveurs à personne par aucun moyen que ce soit (sauf si la procédure ci-dessus est validée à tous ses points) même si le tech quitte un jour l'équipe technique. Dans ce dernier cas, l'ex-tech s'engage à ne plus intervenir sur les machines, son accès SSH individuel est supprimé.
Toute infraction aux conditions exposées dans les point 5 et 6 de
cette charte entrainera immédiatement la fermeture définitive de l'accès SSH (décision de la liste tech), voire la radiation de l'adhérent (décision du CA, conformément aux statuts).
--=--
(*) Les adresses des instances techniques et administratives
d'Infini devraient d'ailleurs figurer dans un mail de bienvenue lors
de l'adhésion. Ces adresses sont principalement tech et ca, staff
étant plus pour "nous". Ces adresses devraient aussi figurer sur le
site web d'Infini, mais sous la forme d'un GIF ou d'un JPG sans lien
par exemple, pour limiter le spam, car la modération de ces listes
pour les adresses non-abonnées, bien que facile techniquement, n'est
pas forcément la meilleure des soluces....
(""**"") On sous-entend bien sûr que les aliases demandés, que l'intitulé des domaines à héberger/configurer sont conformes aux statuts de l'association ainsi qu'aux règles déontologiques habituelles (on ne va pas accepter la création d'un alias gaetan.treguier@infini.fr pointant vers le compte abarthel, par exemple. Ni héberger un domaine du genre porno-pas-cher.com. Ni créer un alias web www.porno-gratuit.infini.fr. Des babioles comme ça, quoi...)
(""***"") Après le flot de mails concernant ce sujet le mois dernier, je ne suis pas sûr qu'il faille ici tout redire sur le sujet, mais rappelons simplement qu'un accès SSH permet à quelqu'un de se connecter sur les serveurs d'Infini en ligne de commande, et exécuter, selon des droits précis, des commandes.
Un adhérent lambda qui se connecterait en SSH aurait théoriquement
la possibilité d'exécuter des commandes ayant la possibilité de modifier le contenu de son compte uniquement, mais également des commandes "habituelles" ayant potentiellement comme conséquences une charge système et réseau très importantes, et un retentissement temporaire sur le fonctionnement normal des machines durant l'exécution de ces commandes, et ceci sans la moindre intention malveillante.
Un adhérent _malveillant_ (et très fort) bénéficiant d'un accès
SSH aurait la possibilité théorique: - de lancer des commandes lui conférant des droits "root" - d'installer sur son compte des "programmes" entraînant des failles dans
la sécurité des serveurs
-> d'où la nécessité impérative que l'adhérent souhaitant un accès SSH s'engage à respecter les points de la Charte le concernant.
(""****"") exemples: fermetures de comptes, création/migration de listes de diffusion, création de bases de données, création d'aliases mail ou web, activation des statistiques web
(""*****"") Un contrôle total des serveurs nécessite soit un accès
physique aux machines, soit un accès SSH + les fameux mots de passe
"root".