« Charte tech » : différence entre les versions

De wiki.infini
import>Olivier
Aucun résumé des modifications
 
import>Olivier
Aucun résumé des modifications
Ligne 1 : Ligne 1 :




====    Article 1.  Constitution de l'?quipe technique d'Infini ====
   
    L'?quipe des techs d'Infini est regroup?e et communique sur la
liste de diffusion tech@infini.fr. Cette liste est constitu?e de:


a) personnes qui interviennent sur les machines quand elles peuvent, soit
 
     sur demande pr?cise d'un adh?rent, soit suite ? un d?bat sur la liste
 
     pour apporter une am?lioration directe ou indirecte aux services
 
     propos?s par Infini ? ses adh?rents, soit en urgence en cas de probl?me
 
     g?nant le fonctionnement technique normal de l'asso. Ces personnes ont
 
====    Article 1.  Constitution de l'équipe technique d'Infini ====
 
    L'équipe des techs d'Infini est regroupée et communique sur la
liste de diffusion tech@infini.fr. Cette liste est constituée de:
 
        a) personnes qui interviennent sur les machines quand elles peuvent, soit
     sur demande précise d'un adhérent, soit suite à un débat sur la liste
     pour apporter une amélioration directe ou indirecte aux services
     proposés par Infini à ses adhérents, soit en urgence en cas de problème
     gênant le fonctionnement technique normal de l'asso. Ces personnes ont
     droit de vote sur la liste tech.
     droit de vote sur la liste tech.
b) personnes confirm?es qui n'interviennent pas sur les machines
        b) personnes confirmées qui n'interviennent pas sur les machines
     parce qu'elles ne le souhaitent pas, mais qui participent aux d?bats en
     parce qu'elles ne le souhaitent pas, mais qui participent aux débats en
     apportant leur exp?rience. Ces personnes ont droit de vote sur la liste
     apportant leur expérience. Ces personnes ont droit de vote sur la liste
     tech.
     tech.
c) personnes qui n'interviennent pas, ou qui n'interviennent pas encore
        c) personnes qui n'interviennent pas, ou qui n'interviennent pas encore
     sur les machines mais qui souhaitent in fine s'investir dans la gestion
     sur les machines mais qui souhaitent in fine s'investir dans la gestion
     technique. Ces membres sont plus des lecteurs que des conseillers, dans
     technique. Ces membres sont plus des lecteurs que des conseillers, dans
     les ?changes de la liste auxquels ils peuvent toutefois participer. Ils
     les échanges de la liste auxquels ils peuvent toutefois participer. Ils
     n'ont cependant pas droit de vote sur la liste. Ils s'engagent ? ne pas
     n'ont cependant pas droit de vote sur la liste. Ils s'engagent à ne pas
     diffuser, par aucun moyen, le contenu des ?changes de la liste.
     diffuser, par aucun moyen, le contenu des échanges de la liste.


     Les techs d?finis ci-dessus aux rubriques 'a' et 'b' ont le
     Les techs définis ci-dessus aux rubriques 'a' et 'b' ont le
__devoir__ de participer aux d?bats engag?s sur la liste tech. La non participation aux discussion provoque la non participations aux votes. Le vote tech est a but consultatif pour le CA. Si le debat fait apparaitre des dissensions trop grandes les parties exposent leur arguments au CA , et c'est le CA qui tranche.
__devoir__ de participer aux débats engagés sur la liste tech. La non participation aux discussion provoque la non participations aux votes. Le vote tech est a but consultatif pour le CA. Si le debat fait apparaitre des dissensions trop grandes les parties exposent leur arguments au CA , et c'est le CA qui tranche.
## note de henriB : tr?s tr?s chiant ? mettre en place, on fera jamais ce conseil de discipline
## note de henriB : très très chiant à mettre en place, on fera jamais ce conseil de discipline
faudrait trouver je sais pas, un truc syst?matique, genre r?engagement des techs tous les deux mois?##
faudrait trouver je sais pas, un truc systématique, genre réengagement des techs tous les deux mois?##
     Les techs s'engagent ? tout mettre en oeuvre pour veiller au
     Les techs s'engagent à tout mettre en oeuvre pour veiller au
respect de la confidentialit? et de la s?curit? des donn?es des
respect de la confidentialité et de la sécurité des données des
adh?rents.
adhérents.


     Ne peuvent faire partie de l'?quipe technique au sens large (ie
     Ne peuvent faire partie de l'équipe technique au sens large (ie
les abonn?s ? la liste 'tech') que les personnes ayant accept? de
les abonnés à la liste 'tech') que les personnes ayant accepté de
respecter la pr?sente Charte et qui s'y sont engag?s par mail aupr?s
respecter la présente Charte et qui s'y sont engagés par mail auprès
de la liste ca@infini.fr.
de la liste ca@infini.fr.


     Toute intervention effectu?e sur un des serveur dans le respect
     Toute intervention effectuée sur un des serveur dans le respect
strict de cette Charte est plac?e sous la responsabilit? juridique du
strict de cette Charte est placée sous la responsabilité juridique du
Conseil d'Administration de l'association.
Conseil d'Administration de l'association.






====    Article 2. Les demandes des adh?rents ====
====    Article 2. Les demandes des adhérents ====






     La liste tech@infini.fr est l'adresse du contact que les adh?rents
     La liste tech@infini.fr est l'adresse du contact que les adhérents
de l'asso utilisent pour confier leurs demandes. (*)
de l'asso utilisent pour confier leurs demandes. (*)


     Les techs, outre le fait de r?fl?chir et de travailler ?
     Les techs, outre le fait de réfléchir et de travailler à
l'am?lioration des services propos?s par l'asso, r?pondent aux
l'amélioration des services proposés par l'asso, répondent aux
demandes des adh?rents, et ex?cutent ces demandes. Les demandes
demandes des adhérents, et exécutent ces demandes. Les demandes
habituelles sont:
habituelles sont:


   - ajout/retrait d'un alias mail        (""**"")
   - ajout/retrait d'un alias mail        (""**"")
   - ajout d'un alias web            (""**"")
   - ajout d'un alias web            (""**"")
   - ajout/configuration d'un nom de domaine    (""**"")
   - ajout/configuration d'un nom de domaine    (""**"")
   - activation d'une base de donn?e
   - activation d'une base de donnée
   - activation de statistiques web pour un site
   - activation de statistiques web pour un site


     Aucun d?bat sur la liste tech n'est requis pour ex?cuter une
     Aucun débat sur la liste tech n'est requis pour exécuter une
demande d?finie ci-dessus comme habituelle.
demande définie ci-dessus comme habituelle.


     Si la demande de l'adh?rent est inhabituelle au sens d?fini
     Si la demande de l'adhérent est inhabituelle au sens défini
ci-dessus, elle sera d?battue sur tech, voire transmise au CA si la
ci-dessus, elle sera débattue sur tech, voire transmise au CA si la
demande est extravagante ou per?ue comme telle par un ou plusieurs
demande est extravagante ou perçue comme telle par un ou plusieurs
des techs.
des techs.


     La liste tech n'a pas pour vocation de r?pondre aux questions des
     La liste tech n'a pas pour vocation de répondre aux questions des
adh?rents concernant autre chose que la gestion de leur compte.
adhérents concernant autre chose que la gestion de leur compte.


     Les techs d'Infini, dans leur communication avec les adh?rents et
     Les techs d'Infini, dans leur communication avec les adhérents et
sur les deux listes 'tech' et 'staff', se doivent d'?tre
sur les deux listes 'tech' et 'staff', se doivent d'être
bienveillants et tol?rants, conform?ment aux statuts de l'association
bienveillants et tolérants, conformément aux statuts de l'association
et aux r?gles g?n?rales de la Netiquette.
et aux règles générales de la Netiquette.








====    Article 3. Les interventions des techs ====  
====    Article 3. Les interventions des techs ====




     Toute intervention, aussi minime soit-elle, doit etre port?e a la connaissance des
     Toute intervention, aussi minime soit-elle, doit etre portée a la connaissance des
autres techs.
autres techs.
   - Par la liste tech@infini.fr pour les modification mineure
   - Par la liste tech@infini.fr pour les modification mineure
Ligne 90 : Ligne 96 :




====    Article 4. Initiation des adh?rents ? la technique ====
====    Article 4. Initiation des adhérents à la technique ====






     Tout adh?rent doit avoir la possibilit? de s'initier ? la gestion
     Tout adhérent doit avoir la possibilité de s'initier à la gestion
des machines. Dans la mesure o? il est ?vident que de solides
des machines. Dans la mesure il est évident que de solides
connaissances en la mati?re associ?es ? une exp?rience certaine sont
connaissances en la matière associées à une expérience certaine sont
requises, il est propos? ? ces adh?rents:
requises, il est proposé à ces adhérents:


   - d'installer une distribution Linux sur leur machine personnelle.
   - d'installer une distribution Linux sur leur machine personnelle.
     A d?faut, il est mis ? leur disposition au local plusieurs machines
     A défaut, il est mis à leur disposition au local plusieurs machines
     sous Linux.
     sous Linux.


   - d'acqu?rir des connaissances par le biais des listes de diffusion et
   - d'acquérir des connaissances par le biais des listes de diffusion et
     des forums d?di?s
     des forums dédiés


   - de demander ? ?tre abonn? ? la liste 'tech' pour lire les ?changes
   - de demander à être abonné à la liste 'tech' pour lire les échanges
     sur la technique de l'asso (il est ici rappel? que la liste tech n'a
     sur la technique de l'asso (il est ici rappelé que la liste tech n'a
     pas vocation de r?pondre aux questions des adh?rents concernant autre
     pas vocation de répondre aux questions des adhérents concernant autre
     chose que la gestion de leur compte).
     chose que la gestion de leur compte).


   - de demander ? assister aux interventions sur le serveurs faites par
   - de demander à assister aux interventions sur le serveurs faites par
     les techs, soit au local, soit ? distance.
     les techs, soit au local, soit à distance.


   - il n'est pas pr?vu de fournir ? ces adh?rents un acc?s SSH aux serveurs
   - il n'est pas prévu de fournir à ces adhérents un accès SSH aux serveurs
     dans le but de se former ? la technique
     dans le but de se former à la technique






====  Article 5. Acc?s SSH aux serveurs ====
====  Article 5. Accès SSH aux serveurs ====




     S'agissant des acc?s SSH aux serveurs (""***""), ils ne sont ouverts
     S'agissant des accès SSH aux serveurs (""***""), ils ne sont ouverts
que si les conditions suivantes sont v?rifi?es:
que si les conditions suivantes sont vérifiées:


   - s'il s'agit d'un acc?s SSH demand? par un adh?rent pour g?rer son compte
   - s'il s'agit d'un accès SSH demandé par un adhérent pour gérer son compte
     personnel:
     personnel:


     o il devra en faire la demande ? tech@infini.fr par un mail
     o il devra en faire la demande à tech@infini.fr par un mail
       exposant les motivations et les raisons de la n?cessit?, ? ses yeux,
       exposant les motivations et les raisons de la nécessité, à ses yeux,
       d'un acc?s SSH. Les techs se r?servent le droit de refuser (par vote
       d'un accès SSH. Les techs se réservent le droit de refuser (par vote
       interne) l'ouverture de l'acc?s SSH si les interventions souhait?es
       interne) l'ouverture de l'accès SSH si les interventions souhaitées
       par l'adh?rent lui sont r?alisables d'une autre mani?re.
       par l'adhérent lui sont réalisables d'une autre manière.


     o l'adh?rent s'engage (par mail ? ca@infini.fr):
     o l'adhérent s'engage (par mail à ca@infini.fr):
       - ? utiliser son acc?s SSH pour la seule gestion de son compte
       - à utiliser son accès SSH pour la seule gestion de son compte
       - ? n'acc?der en SSH, par aucun moyen, ? d'autres r?pertoires
       - à n'accéder en SSH, par aucun moyen, à d'autres répertoires
         que son r?pertoire personnel
         que son répertoire personnel
       - ? ne divulguer aucune information d'aucune sorte dont il aurait pu
       - à ne divulguer aucune information d'aucune sorte dont il aurait pu
         avoir connaissance au cours de ses sessions SSH
         avoir connaissance au cours de ses sessions SSH
       - ? n'installer aucun applicatif sur son compte sans en avoir demand?
       - à n'installer aucun applicatif sur son compte sans en avoir demandé
         l'examen et l'autorisation ? la liste tech (rappel: les abonn?s ? la
         l'examen et l'autorisation à la liste tech (rappel: les abonnés à la
         liste tech qui le sont pour s'initier ? la technique n'ont pas droit
         liste tech qui le sont pour s'initier à la technique n'ont pas droit
         de vote, cf point 1 de la Charte).
         de vote, cf point 1 de la Charte).
       - a utiliser une forme s?curis?e du protocole FTP en lieu et place du
       - a utiliser une forme sécurisée du protocole FTP en lieu et place du
         protocole FTP habituel non s?curis?.
         protocole FTP habituel non sécurisé.


     o En cas d'acceptation de l'ouverture de l'acc?s SSH:
     o En cas d'acceptation de l'ouverture de l'accès SSH:
       - les techs doivent en informer le C.A.
       - les techs doivent en informer le C.A.
       - le mot de passe de l'adh?rent est chang?
       - le mot de passe de l'adhérent est changé
       - l'adh?rent est ajout? dans la liste des utilisateurs n'ayant pas
       - l'adhérent est ajouté dans la liste des utilisateurs n'ayant pas
         l'autorisation d'utiliser le protocole FTP pour transf?rer ses
         l'autorisation d'utiliser le protocole FTP pour transférer ses
         fichiers.
         fichiers.


   - s'il s'agit d'un acc?s SSH destin? ? un abonn? de la liste tech dans
   - s'il s'agit d'un accès SSH destiné à un abonné de la liste tech dans
     le but d'effectuer des interventions sur les serveurs (car seuls les
     le but d'effectuer des interventions sur les serveurs (car seuls les
     membres de la liste tech peuvent pr?tendre ? ce type d'acc?s SSH):
     membres de la liste tech peuvent prétendre à ce type d'accès SSH):


     o il est indispensable que cette personne ait acquis ou poss?de d?j?
     o il est indispensable que cette personne ait acquis ou possède déjà
       de solides connaissances en administration syst?me
       de solides connaissances en administration système


     o le cas ?ch?ant, si les t?ches d?volues ? ce tech sont peu nombreuses
     o le cas échéant, si les tâches dévolues à ce tech sont peu nombreuses
       et/ou sp?cifiques (""****""), il est d?cid? de ne pas transmettre au tech
       et/ou spécifiques (""****""), il est décidé de ne pas transmettre au tech
       concern? les mots de passe "root" des serveurs (""*****""). Dans ce cas,
       concerné les mots de passe "root" des serveurs (""*****""). Dans ce cas,
       un acc?s SSH est fourni, avec login et mot de passe individuels, avec
       un accès SSH est fourni, avec login et mot de passe individuels, avec
       l'attribution de droits root (""*****""). Le tech concern? s'engage alors
       l'attribution de droits root (""*****""). Le tech concerné s'engage alors
       aupr?s de ca@infini.fr ? se limiter sur les serveurs ? l'ex?cution
       auprès de ca@infini.fr à se limiter sur les serveurs à l'exécution
       des t?ches qui lui sont d?volues.
       des tâches qui lui sont dévolues.


     o l'ouverture d'un acc?s SSH est obligatoirement soumise ? d?bat puis
     o l'ouverture d'un accès SSH est obligatoirement soumise à débat puis
       vote sur la liste tech, et son acceptation ?ventuelle est port?e ?
       vote sur la liste tech, et son acceptation éventuelle est portée à
       la connaissance du CA
       la connaissance du CA


Ligne 178 : Ligne 184 :




     S'agissant des mots de passe root, ceux-ci ne seront communiqu?s
     S'agissant des mots de passe root, ceux-ci ne seront communiqués
aux techs que si _toutes_ les conditions suivantes sont v?rifi?es:
aux techs que si _toutes_ les conditions suivantes sont vérifiées:


   - abonn? ? la liste tech depuis au moins 3 mois
   - abonné à la liste tech depuis au moins 3 mois


   - tech poss?dant une solide exp?rience d'administration syst?me et r?seau
   - tech possédant une solide expérience d'administration système et réseau


   - tech b?n?ficiant d?j? d'un acc?s SSH aux serveurs et ayant l'exp?rience
   - tech bénéficiant déjà d'un accès SSH aux serveurs et ayant l'expérience
     de la configuration particuli?re des serveurs d'Infini, ayant ?galement
     de la configuration particulière des serveurs d'Infini, ayant également
     l'exp?rience d'interventions r?guli?res sur les machines, sur des t?ches
     l'expérience d'interventions régulières sur les machines, sur des tâches
     limit?es (cf 2?me partie du point 5)
     limitées (cf 2ème partie du point 5)


   - validation par un vote des techs (selon la m?me proc?dure que pour un
   - validation par un vote des techs (selon la même procédure que pour un
     vote au sein du CA: il faut que la moiti? au moins des techs ayant le
     vote au sein du CA: il faut que la moitié au moins des techs ayant le
     droit de vote + 1 expriment leur suffrage, vote valid? par une
     droit de vote + 1 expriment leur suffrage, vote validé par une
     majorit? des 2/3 des suffrages exprim?s)
     majorité des 2/3 des suffrages exprimés)


   - validation par un vote du C.A.
   - validation par un vote du C.A.


   NB:  toute d?rogation ? l'un des trois premiers points de ce 6?me article
   NB:  toute dérogation à l'un des trois premiers points de ce 6ème article
       devra ?tre ent?rin?e par un vote des techs ? l'unanimit? des
       devra être entérinée par un vote des techs à l'unanimité des
       suffrages exprim?s (la moiti? des techs + 1 doivent avoir exprim?
       suffrages exprimés (la moitié des techs + 1 doivent avoir exprimé
       leur suffrage pour que le vote soit valide)
       leur suffrage pour que le vote soit valide)




     Un tech poss?dant des droits "root" sur les serveurs s'engage dans
     Un tech possédant des droits "root" sur les serveurs s'engage dansun mail envoyé à ca@infini.fr qu'il ne divulguera  ni son login ni
un mail envoy? ? ca@infini.fr qu'il ne divulguera  ni son login ni
son mot de passe (qu'il soit individuel, soit root), ni les
son mot de passe (qu'il soit individuel, soit root), ni les
informations dont il aurait pu avoir connaissance en ?ditant les
informations dont il aurait pu avoir connaissance en éditant les
divers fichiers des serveurs ? personne par aucun moyen que ce soit
divers fichiers des serveurs à personne par aucun moyen que ce soit
(sauf si la proc?dure ci-dessus est valid?e ? tous ses points) m?me
(sauf si la procédure ci-dessus est validée à tous ses points) même
si le tech quitte un jour l'?quipe technique. Dans ce dernier cas,
si le tech quitte un jour l'équipe technique. Dans ce dernier cas,
l'ex-tech s'engage ? ne plus intervenir sur les machines, son acc?s
l'ex-tech s'engage à ne plus intervenir sur les machines, son accès
SSH individuel est supprim?.
SSH individuel est supprimé.


     Toute infraction aux conditions expos?es dans les point 5 et 6 de
     Toute infraction aux conditions exposées dans les point 5 et 6 de
cette charte entrainera imm?diatement la fermeture d?finitive de
cette charte entrainera immédiatement la fermeture définitive de
l'acc?s SSH (d?cision de la liste tech), voire la radiation de
l'accès SSH (décision de la liste tech), voire la radiation de
l'adh?rent (d?cision du CA, conform?ment aux statuts).
l'adhérent (décision du CA, conformément aux statuts).




Ligne 225 : Ligne 230 :
(*)  Les adresses des instances techniques et administratives
(*)  Les adresses des instances techniques et administratives
d'Infini devraient d'ailleurs figurer dans un mail de bienvenue lors
d'Infini devraient d'ailleurs figurer dans un mail de bienvenue lors
de l'adh?sion. Ces adresses sont principalement tech et ca, staff
de l'adhésion. Ces adresses sont principalement tech et ca, staff
?tant plus pour "nous". Ces adresses devraient aussi figurer sur le
étant plus pour "nous". Ces adresses devraient aussi figurer sur le
site web d'Infini, mais sous la forme d'un GIF ou d'un JPG sans lien
site web d'Infini, mais sous la forme d'un GIF ou d'un JPG sans lien
par exemple, pour limiter le spam, car la mod?ration de ces listes
par exemple, pour limiter le spam, car la modération de ces listes
pour les adresses non-abonn?es, bien que facile techniquement, n'est
pour les adresses non-abonnées, bien que facile techniquement, n'est
pas forc?ment la meilleure des soluces....
pas forcément la meilleure des soluces....


----
----


(""**"") On sous-entend bien s?r que les aliases demand?s, que l'intitul?
(""**"") On sous-entend bien sûr que les aliases demandés, que l'intitulé
des domaines ? h?berger/configurer sont conformes aux statuts de
des domaines à héberger/configurer sont conformes aux statuts de
l'association ainsi qu'aux r?gles d?ontologiques habituelles (on ne
l'association ainsi qu'aux règles déontologiques habituelles (on ne
va pas accepter la cr?ation d'un alias gaetan.treguier@infini.fr
va pas accepter la création d'un alias gaetan.treguier@infini.fr
pointant vers le compte abarthel, par exemple. Ni h?berger un domaine
pointant vers le compte abarthel, par exemple. Ni héberger un domaine
du genre porno-pas-cher.com. Ni cr?er un alias web
du genre porno-pas-cher.com. Ni créer un alias web
www.porno-gratuit.infini.fr. Des babioles comme ?a, quoi...)
www.porno-gratuit.infini.fr. Des babioles comme ça, quoi...)


----
----


(""***"") Apr?s le flot de mails concernant ce sujet le mois dernier, je
(""***"") Après le flot de mails concernant ce sujet le mois dernier, je
ne suis pas s?r qu'il faille ici tout redire sur le sujet, mais
ne suis pas sûr qu'il faille ici tout redire sur le sujet, mais
rappelons simplement qu'un acc?s SSH permet ? quelqu'un de se
rappelons simplement qu'un accès SSH permet à quelqu'un de se
connecter sur les serveurs d'Infini en ligne de commande, et
connecter sur les serveurs d'Infini en ligne de commande, et
ex?cuter, selon des droits pr?cis, des commandes.
exécuter, selon des droits précis, des commandes.


     Un adh?rent lambda qui se connecterait en SSH aurait th?oriquement
     Un adhérent lambda qui se connecterait en SSH aurait théoriquement
la possibilit? d'ex?cuter des commandes ayant la possibilit? de
la possibilité d'exécuter des commandes ayant la possibilité de
modifier le contenu de son compte uniquement, mais ?galement des
modifier le contenu de son compte uniquement, mais également des
commandes "habituelles" ayant potentiellement comme cons?quences une
commandes "habituelles" ayant potentiellement comme conséquences une
charge syst?me et r?seau tr?s importantes, et un retentissement
charge système et réseau très importantes, et un retentissement
temporaire sur le fonctionnement normal des machines durant
temporaire sur le fonctionnement normal des machines durant
l'ex?cution de ces commandes, et ceci sans la moindre intention
l'exécution de ces commandes, et ceci sans la moindre intention
malveillante.
malveillante.


     Un adh?rent _malveillant_ (et tr?s fort) b?n?ficiant d'un acc?s
     Un adhérent _malveillant_ (et très fort) bénéficiant d'un accès
SSH aurait la possibilit? th?orique:
SSH aurait la possibilité théorique:
- de lancer des commandes lui conf?rant des droits "root"
- de lancer des commandes lui conférant des droits "root"
- d'installer sur son compte des "programmes" entra?nant des failles dans
- d'installer sur son compte des "programmes" entraînant des failles dans
   la s?curit? des serveurs
   la sécurité des serveurs
-> d'o? la n?cessit? imp?rative que l'adh?rent souhaitant un acc?s
-> d'la nécessité impérative que l'adhérent souhaitant un accès
SSH s'engage ? respecter les points de la Charte le concernant.
SSH s'engage à respecter les points de la Charte le concernant.


----
----


(""****"") exemples: fermetures de comptes, cr?ation/migration de listes
(""****"") exemples: fermetures de comptes, création/migration de listes
de diffusion, cr?ation de bases de donn?es, cr?ation d'aliases mail
de diffusion, création de bases de données, création d'aliases mail
ou web, activation des statistiques web
ou web, activation des statistiques web




(""*****"") Un contr?le total des serveurs n?cessite soit un acc?s
(""*****"") Un contrôle total des serveurs nécessite soit un accès
physique aux machines, soit un acc?s SSH + les fameux mots de passe
physique aux machines, soit un accès SSH + les fameux mots de passe
"root".
"root".

Version du 18 novembre 2006 à 04:49





Article 1. Constitution de l'équipe technique d'Infini

   L'équipe des techs d'Infini est regroupée et communique sur la

liste de diffusion tech@infini.fr. Cette liste est constituée de:

       a) personnes qui interviennent sur les machines quand elles peuvent, soit
    sur demande précise d'un adhérent, soit suite à un débat sur la liste
    pour apporter une amélioration directe ou indirecte aux services
    proposés par Infini à ses adhérents, soit en urgence en cas de problème
    gênant le fonctionnement technique normal de l'asso. Ces personnes ont
    droit de vote sur la liste tech.
       b) personnes confirmées qui n'interviennent pas sur les machines
    parce qu'elles ne le souhaitent pas, mais qui participent aux débats en
    apportant leur expérience. Ces personnes ont droit de vote sur la liste
    tech.
       c) personnes qui n'interviennent pas, ou qui n'interviennent pas encore
    sur les machines mais qui souhaitent in fine s'investir dans la gestion
    technique. Ces membres sont plus des lecteurs que des conseillers, dans
    les échanges de la liste auxquels ils peuvent toutefois participer. Ils
    n'ont cependant pas droit de vote sur la liste. Ils s'engagent à ne pas
    diffuser, par aucun moyen, le contenu des échanges de la liste.
   Les techs définis ci-dessus aux rubriques 'a' et 'b' ont le

__devoir__ de participer aux débats engagés sur la liste tech. La non participation aux discussion provoque la non participations aux votes. Le vote tech est a but consultatif pour le CA. Si le debat fait apparaitre des dissensions trop grandes les parties exposent leur arguments au CA , et c'est le CA qui tranche.

    1. note de henriB : très très chiant à mettre en place, on fera jamais ce conseil de discipline

faudrait trouver je sais pas, un truc systématique, genre réengagement des techs tous les deux mois?##

   Les techs s'engagent à tout mettre en oeuvre pour veiller au

respect de la confidentialité et de la sécurité des données des adhérents.

   Ne peuvent faire partie de l'équipe technique au sens large (ie

les abonnés à la liste 'tech') que les personnes ayant accepté de respecter la présente Charte et qui s'y sont engagés par mail auprès de la liste ca@infini.fr.

   Toute intervention effectuée sur un des serveur dans le respect

strict de cette Charte est placée sous la responsabilité juridique du Conseil d'Administration de l'association.


Article 2. Les demandes des adhérents

   La liste tech@infini.fr est l'adresse du contact que les adhérents

de l'asso utilisent pour confier leurs demandes. (*)

   Les techs, outre le fait de réfléchir et de travailler à

l'amélioration des services proposés par l'asso, répondent aux demandes des adhérents, et exécutent ces demandes. Les demandes habituelles sont:

  - ajout/retrait d'un alias mail        (""**"")
  - ajout d'un alias web            (""**"")
  - ajout/configuration d'un nom de domaine    (""**"")
  - activation d'une base de donnée
  - activation de statistiques web pour un site
   Aucun débat sur la liste tech n'est requis pour exécuter une

demande définie ci-dessus comme habituelle.

   Si la demande de l'adhérent est inhabituelle au sens défini

ci-dessus, elle sera débattue sur tech, voire transmise au CA si la demande est extravagante ou perçue comme telle par un ou plusieurs des techs.

   La liste tech n'a pas pour vocation de répondre aux questions des

adhérents concernant autre chose que la gestion de leur compte.

   Les techs d'Infini, dans leur communication avec les adhérents et

sur les deux listes 'tech' et 'staff', se doivent d'être bienveillants et tolérants, conformément aux statuts de l'association et aux règles générales de la Netiquette.



Article 3. Les interventions des techs

   Toute intervention, aussi minime soit-elle, doit etre portée a la connaissance des

autres techs.

 - Par la liste tech@infini.fr pour les modification mineure
 - Par le wiki tech (http://www.infini.fr/admin/doc) pour les mises en place de nouveau services
 - Par Mantis ( https://blavet.infini.fr/mantis/ ) pour les evolutions technique de la configuration d'inifni.


Article 4. Initiation des adhérents à la technique

   Tout adhérent doit avoir la possibilité de s'initier à la gestion

des machines. Dans la mesure où il est évident que de solides connaissances en la matière associées à une expérience certaine sont requises, il est proposé à ces adhérents:

  - d'installer une distribution Linux sur leur machine personnelle.
    A défaut, il est mis à leur disposition au local plusieurs machines
    sous Linux.
  - d'acquérir des connaissances par le biais des listes de diffusion et
    des forums dédiés
  - de demander à être abonné à la liste 'tech' pour lire les échanges
    sur la technique de l'asso (il est ici rappelé que la liste tech n'a
    pas vocation de répondre aux questions des adhérents concernant autre
    chose que la gestion de leur compte).
  - de demander à assister aux interventions sur le serveurs faites par
    les techs, soit au local, soit à distance.
  - il n'est pas prévu de fournir à ces adhérents un accès SSH aux serveurs
    dans le but de se former à la technique


Article 5. Accès SSH aux serveurs

   S'agissant des accès SSH aux serveurs (""***""), ils ne sont ouverts

que si les conditions suivantes sont vérifiées:

 - s'il s'agit d'un accès SSH demandé par un adhérent pour gérer son compte
   personnel:
   o il devra en faire la demande à tech@infini.fr par un mail
     exposant les motivations et les raisons de la nécessité, à ses yeux,
     d'un accès SSH. Les techs se réservent le droit de refuser (par vote
     interne) l'ouverture de l'accès SSH si les interventions souhaitées
     par l'adhérent lui sont réalisables d'une autre manière.
   o l'adhérent s'engage (par mail à ca@infini.fr):
     - à utiliser son accès SSH pour la seule gestion de son compte
     - à n'accéder en SSH, par aucun moyen, à d'autres répertoires
        que son répertoire personnel
     - à ne divulguer aucune information d'aucune sorte dont il aurait pu
       avoir connaissance au cours de ses sessions SSH
     - à n'installer aucun applicatif sur son compte sans en avoir demandé
       l'examen et l'autorisation à la liste tech (rappel: les abonnés à la
       liste tech qui le sont pour s'initier à la technique n'ont pas droit
       de vote, cf point 1 de la Charte).
     - a utiliser une forme sécurisée du protocole FTP en lieu et place du
       protocole FTP habituel non sécurisé.
   o En cas d'acceptation de l'ouverture de l'accès SSH:
     - les techs doivent en informer le C.A.
     - le mot de passe de l'adhérent est changé
     - l'adhérent est ajouté dans la liste des utilisateurs n'ayant pas
       l'autorisation d'utiliser le protocole FTP pour transférer ses
       fichiers.
 - s'il s'agit d'un accès SSH destiné à un abonné de la liste tech dans
   le but d'effectuer des interventions sur les serveurs (car seuls les
   membres de la liste tech peuvent prétendre à ce type d'accès SSH):
    o il est indispensable que cette personne ait acquis ou possède déjà
      de solides connaissances en administration système
    o le cas échéant, si les tâches dévolues à ce tech sont peu nombreuses
      et/ou spécifiques (""****""), il est décidé de ne pas transmettre au tech
      concerné les mots de passe "root" des serveurs (""*****""). Dans ce cas,
      un accès SSH est fourni, avec login et mot de passe individuels, avec
      l'attribution de droits root (""*****""). Le tech concerné s'engage alors
      auprès de ca@infini.fr à se limiter sur les serveurs à l'exécution
      des tâches qui lui sont dévolues.
    o l'ouverture d'un accès SSH est obligatoirement soumise à débat puis
      vote sur la liste tech, et son acceptation éventuelle est portée à
      la connaissance du CA


Article 6. Mots de passe root des serveurs

   S'agissant des mots de passe root, ceux-ci ne seront communiqués

aux techs que si _toutes_ les conditions suivantes sont vérifiées:

  - abonné à la liste tech depuis au moins 3 mois
  - tech possédant une solide expérience d'administration système et réseau
  - tech bénéficiant déjà d'un accès SSH aux serveurs et ayant l'expérience
    de la configuration particulière des serveurs d'Infini, ayant également
    l'expérience d'interventions régulières sur les machines, sur des tâches
    limitées (cf 2ème partie du point 5)
  - validation par un vote des techs (selon la même procédure que pour un
    vote au sein du CA: il faut que la moitié au moins des techs ayant le
    droit de vote + 1 expriment leur suffrage, vote validé par une
    majorité des 2/3 des suffrages exprimés)
  - validation par un vote du C.A.
 NB:  toute dérogation à l'un des trois premiers points de ce 6ème article
      devra être entérinée par un vote des techs à l'unanimité des
      suffrages exprimés (la moitié des techs + 1 doivent avoir exprimé
      leur suffrage pour que le vote soit valide)


   Un tech possédant des droits "root" sur les serveurs s'engage dansun mail envoyé à ca@infini.fr qu'il ne divulguera  ni son login ni

son mot de passe (qu'il soit individuel, soit root), ni les informations dont il aurait pu avoir connaissance en éditant les divers fichiers des serveurs à personne par aucun moyen que ce soit (sauf si la procédure ci-dessus est validée à tous ses points) même si le tech quitte un jour l'équipe technique. Dans ce dernier cas, l'ex-tech s'engage à ne plus intervenir sur les machines, son accès SSH individuel est supprimé.

   Toute infraction aux conditions exposées dans les point 5 et 6 de

cette charte entrainera immédiatement la fermeture définitive de l'accès SSH (décision de la liste tech), voire la radiation de l'adhérent (décision du CA, conformément aux statuts).



--=--


(*) Les adresses des instances techniques et administratives d'Infini devraient d'ailleurs figurer dans un mail de bienvenue lors de l'adhésion. Ces adresses sont principalement tech et ca, staff étant plus pour "nous". Ces adresses devraient aussi figurer sur le site web d'Infini, mais sous la forme d'un GIF ou d'un JPG sans lien par exemple, pour limiter le spam, car la modération de ces listes pour les adresses non-abonnées, bien que facile techniquement, n'est pas forcément la meilleure des soluces....


(""**"") On sous-entend bien sûr que les aliases demandés, que l'intitulé des domaines à héberger/configurer sont conformes aux statuts de l'association ainsi qu'aux règles déontologiques habituelles (on ne va pas accepter la création d'un alias gaetan.treguier@infini.fr pointant vers le compte abarthel, par exemple. Ni héberger un domaine du genre porno-pas-cher.com. Ni créer un alias web www.porno-gratuit.infini.fr. Des babioles comme ça, quoi...)


(""***"") Après le flot de mails concernant ce sujet le mois dernier, je ne suis pas sûr qu'il faille ici tout redire sur le sujet, mais rappelons simplement qu'un accès SSH permet à quelqu'un de se connecter sur les serveurs d'Infini en ligne de commande, et exécuter, selon des droits précis, des commandes.

   Un adhérent lambda qui se connecterait en SSH aurait théoriquement

la possibilité d'exécuter des commandes ayant la possibilité de modifier le contenu de son compte uniquement, mais également des commandes "habituelles" ayant potentiellement comme conséquences une charge système et réseau très importantes, et un retentissement temporaire sur le fonctionnement normal des machines durant l'exécution de ces commandes, et ceci sans la moindre intention malveillante.

   Un adhérent _malveillant_ (et très fort) bénéficiant d'un accès

SSH aurait la possibilité théorique: - de lancer des commandes lui conférant des droits "root" - d'installer sur son compte des "programmes" entraînant des failles dans

  la sécurité des serveurs

-> d'où la nécessité impérative que l'adhérent souhaitant un accès SSH s'engage à respecter les points de la Charte le concernant.


(""****"") exemples: fermetures de comptes, création/migration de listes de diffusion, création de bases de données, création d'aliases mail ou web, activation des statistiques web


(""*****"") Un contrôle total des serveurs nécessite soit un accès physique aux machines, soit un accès SSH + les fameux mots de passe "root".