« Charte tech » : différence entre les versions

De wiki.infini
import>Olivier
Aucun résumé des modifications
m (2 révisions importées)

Version du 12 février 2020 à 18:51





Article 1. Constitution de l'équipe technique d'Infini

   L'équipe des techs d'Infini est regroupée et communique sur la

liste de diffusion tech@infini.fr. Cette liste est constituée de:

       a) personnes qui interviennent sur les machines quand elles peuvent, soit
    sur demande précise d'un adhérent, soit suite à un débat sur la liste
    pour apporter une amélioration directe ou indirecte aux services
    proposés par Infini à ses adhérents, soit en urgence en cas de problème
    gênant le fonctionnement technique normal de l'asso. Ces personnes ont
    droit de vote sur la liste tech.
       b) personnes confirmées qui n'interviennent pas sur les machines
    parce qu'elles ne le souhaitent pas, mais qui participent aux débats en
    apportant leur expérience. Ces personnes ont droit de vote sur la liste
    tech.
       c) personnes qui n'interviennent pas, ou qui n'interviennent pas encore
    sur les machines mais qui souhaitent in fine s'investir dans la gestion
    technique. Ces membres sont plus des lecteurs que des conseillers, dans
    les échanges de la liste auxquels ils peuvent toutefois participer. Ils
    n'ont cependant pas droit de vote sur la liste. Ils s'engagent à ne pas
    diffuser, par aucun moyen, le contenu des échanges de la liste.
   Les techs définis ci-dessus aux rubriques 'a' et 'b' ont le

__devoir__ de participer aux débats engagés sur la liste tech. La non participation aux discussion provoque la non participations aux votes. Le vote tech est a but consultatif pour le CA. Si le debat fait apparaitre des dissensions trop grandes les parties exposent leur arguments au CA , et c'est le CA qui tranche.

    1. note de henriB : très très chiant à mettre en place, on fera jamais ce conseil de discipline

faudrait trouver je sais pas, un truc systématique, genre réengagement des techs tous les deux mois?##

   Les techs s'engagent à tout mettre en oeuvre pour veiller au

respect de la confidentialité et de la sécurité des données des adhérents.

   Ne peuvent faire partie de l'équipe technique au sens large (ie

les abonnés à la liste 'tech') que les personnes ayant accepté de respecter la présente Charte et qui s'y sont engagés par mail auprès de la liste ca@infini.fr.

   Toute intervention effectuée sur un des serveur dans le respect

strict de cette Charte est placée sous la responsabilité juridique du Conseil d'Administration de l'association.


Article 2. Les demandes des adhérents

   La liste tech@infini.fr est l'adresse du contact que les adhérents

de l'asso utilisent pour confier leurs demandes. (*)

   Les techs, outre le fait de réfléchir et de travailler à

l'amélioration des services proposés par l'asso, répondent aux demandes des adhérents, et exécutent ces demandes. Les demandes habituelles sont:

  - ajout/retrait d'un alias mail        (""**"")
  - ajout d'un alias web            (""**"")
  - ajout/configuration d'un nom de domaine    (""**"")
  - activation d'une base de donnée
  - activation de statistiques web pour un site
   Aucun débat sur la liste tech n'est requis pour exécuter une

demande définie ci-dessus comme habituelle.

   Si la demande de l'adhérent est inhabituelle au sens défini

ci-dessus, elle sera débattue sur tech, voire transmise au CA si la demande est extravagante ou perçue comme telle par un ou plusieurs des techs.

   La liste tech n'a pas pour vocation de répondre aux questions des

adhérents concernant autre chose que la gestion de leur compte.

   Les techs d'Infini, dans leur communication avec les adhérents et

sur les deux listes 'tech' et 'staff', se doivent d'être bienveillants et tolérants, conformément aux statuts de l'association et aux règles générales de la Netiquette.



Article 3. Les interventions des techs

   Toute intervention, aussi minime soit-elle, doit etre portée a la connaissance des

autres techs.

 - Par la liste tech@infini.fr pour les modification mineure
 - Par le wiki tech (http://www.infini.fr/admin/doc) pour les mises en place de nouveau services
 - Par Mantis ( https://blavet.infini.fr/mantis/ ) pour les evolutions technique de la configuration d'inifni.


Article 4. Initiation des adhérents à la technique

   Tout adhérent doit avoir la possibilité de s'initier à la gestion

des machines. Dans la mesure où il est évident que de solides connaissances en la matière associées à une expérience certaine sont requises, il est proposé à ces adhérents:

  - d'installer une distribution Linux sur leur machine personnelle.
    A défaut, il est mis à leur disposition au local plusieurs machines
    sous Linux.
  - d'acquérir des connaissances par le biais des listes de diffusion et
    des forums dédiés
  - de demander à être abonné à la liste 'tech' pour lire les échanges
    sur la technique de l'asso (il est ici rappelé que la liste tech n'a
    pas vocation de répondre aux questions des adhérents concernant autre
    chose que la gestion de leur compte).
  - de demander à assister aux interventions sur le serveurs faites par
    les techs, soit au local, soit à distance.
  - il n'est pas prévu de fournir à ces adhérents un accès SSH aux serveurs
    dans le but de se former à la technique


Article 5. Accès SSH aux serveurs

   S'agissant des accès SSH aux serveurs (""***""), ils ne sont ouverts

que si les conditions suivantes sont vérifiées:

 - s'il s'agit d'un accès SSH demandé par un adhérent pour gérer son compte
   personnel:
   o il devra en faire la demande à tech@infini.fr par un mail
     exposant les motivations et les raisons de la nécessité, à ses yeux,
     d'un accès SSH. Les techs se réservent le droit de refuser (par vote
     interne) l'ouverture de l'accès SSH si les interventions souhaitées
     par l'adhérent lui sont réalisables d'une autre manière.
   o l'adhérent s'engage (par mail à ca@infini.fr):
     - à utiliser son accès SSH pour la seule gestion de son compte
     - à n'accéder en SSH, par aucun moyen, à d'autres répertoires
        que son répertoire personnel
     - à ne divulguer aucune information d'aucune sorte dont il aurait pu
       avoir connaissance au cours de ses sessions SSH
     - à n'installer aucun applicatif sur son compte sans en avoir demandé
       l'examen et l'autorisation à la liste tech (rappel: les abonnés à la
       liste tech qui le sont pour s'initier à la technique n'ont pas droit
       de vote, cf point 1 de la Charte).
     - a utiliser une forme sécurisée du protocole FTP en lieu et place du
       protocole FTP habituel non sécurisé.
   o En cas d'acceptation de l'ouverture de l'accès SSH:
     - les techs doivent en informer le C.A.
     - le mot de passe de l'adhérent est changé
     - l'adhérent est ajouté dans la liste des utilisateurs n'ayant pas
       l'autorisation d'utiliser le protocole FTP pour transférer ses
       fichiers.
 - s'il s'agit d'un accès SSH destiné à un abonné de la liste tech dans
   le but d'effectuer des interventions sur les serveurs (car seuls les
   membres de la liste tech peuvent prétendre à ce type d'accès SSH):
    o il est indispensable que cette personne ait acquis ou possède déjà
      de solides connaissances en administration système
    o le cas échéant, si les tâches dévolues à ce tech sont peu nombreuses
      et/ou spécifiques (""****""), il est décidé de ne pas transmettre au tech
      concerné les mots de passe "root" des serveurs (""*****""). Dans ce cas,
      un accès SSH est fourni, avec login et mot de passe individuels, avec
      l'attribution de droits root (""*****""). Le tech concerné s'engage alors
      auprès de ca@infini.fr à se limiter sur les serveurs à l'exécution
      des tâches qui lui sont dévolues.
    o l'ouverture d'un accès SSH est obligatoirement soumise à débat puis
      vote sur la liste tech, et son acceptation éventuelle est portée à
      la connaissance du CA


Article 6. Mots de passe root des serveurs

   S'agissant des mots de passe root, ceux-ci ne seront communiqués

aux techs que si _toutes_ les conditions suivantes sont vérifiées:

  - abonné à la liste tech depuis au moins 3 mois
  - tech possédant une solide expérience d'administration système et réseau
  - tech bénéficiant déjà d'un accès SSH aux serveurs et ayant l'expérience
    de la configuration particulière des serveurs d'Infini, ayant également
    l'expérience d'interventions régulières sur les machines, sur des tâches
    limitées (cf 2ème partie du point 5)
  - validation par un vote des techs (selon la même procédure que pour un
    vote au sein du CA: il faut que la moitié au moins des techs ayant le
    droit de vote + 1 expriment leur suffrage, vote validé par une
    majorité des 2/3 des suffrages exprimés)
  - validation par un vote du C.A.
 NB:  toute dérogation à l'un des trois premiers points de ce 6ème article
      devra être entérinée par un vote des techs à l'unanimité des
      suffrages exprimés (la moitié des techs + 1 doivent avoir exprimé
      leur suffrage pour que le vote soit valide)


   Un tech possédant des droits "root" sur les serveurs s'engage dansun mail envoyé à ca@infini.fr qu'il ne divulguera  ni son login ni

son mot de passe (qu'il soit individuel, soit root), ni les informations dont il aurait pu avoir connaissance en éditant les divers fichiers des serveurs à personne par aucun moyen que ce soit (sauf si la procédure ci-dessus est validée à tous ses points) même si le tech quitte un jour l'équipe technique. Dans ce dernier cas, l'ex-tech s'engage à ne plus intervenir sur les machines, son accès SSH individuel est supprimé.

   Toute infraction aux conditions exposées dans les point 5 et 6 de

cette charte entrainera immédiatement la fermeture définitive de l'accès SSH (décision de la liste tech), voire la radiation de l'adhérent (décision du CA, conformément aux statuts).



--=--


(*) Les adresses des instances techniques et administratives d'Infini devraient d'ailleurs figurer dans un mail de bienvenue lors de l'adhésion. Ces adresses sont principalement tech et ca, staff étant plus pour "nous". Ces adresses devraient aussi figurer sur le site web d'Infini, mais sous la forme d'un GIF ou d'un JPG sans lien par exemple, pour limiter le spam, car la modération de ces listes pour les adresses non-abonnées, bien que facile techniquement, n'est pas forcément la meilleure des soluces....


(""**"") On sous-entend bien sûr que les aliases demandés, que l'intitulé des domaines à héberger/configurer sont conformes aux statuts de l'association ainsi qu'aux règles déontologiques habituelles (on ne va pas accepter la création d'un alias gaetan.treguier@infini.fr pointant vers le compte abarthel, par exemple. Ni héberger un domaine du genre porno-pas-cher.com. Ni créer un alias web www.porno-gratuit.infini.fr. Des babioles comme ça, quoi...)


(""***"") Après le flot de mails concernant ce sujet le mois dernier, je ne suis pas sûr qu'il faille ici tout redire sur le sujet, mais rappelons simplement qu'un accès SSH permet à quelqu'un de se connecter sur les serveurs d'Infini en ligne de commande, et exécuter, selon des droits précis, des commandes.

   Un adhérent lambda qui se connecterait en SSH aurait théoriquement

la possibilité d'exécuter des commandes ayant la possibilité de modifier le contenu de son compte uniquement, mais également des commandes "habituelles" ayant potentiellement comme conséquences une charge système et réseau très importantes, et un retentissement temporaire sur le fonctionnement normal des machines durant l'exécution de ces commandes, et ceci sans la moindre intention malveillante.

   Un adhérent _malveillant_ (et très fort) bénéficiant d'un accès

SSH aurait la possibilité théorique: - de lancer des commandes lui conférant des droits "root" - d'installer sur son compte des "programmes" entraînant des failles dans

  la sécurité des serveurs

-> d'où la nécessité impérative que l'adhérent souhaitant un accès SSH s'engage à respecter les points de la Charte le concernant.


(""****"") exemples: fermetures de comptes, création/migration de listes de diffusion, création de bases de données, création d'aliases mail ou web, activation des statistiques web


(""*****"") Un contrôle total des serveurs nécessite soit un accès physique aux machines, soit un accès SSH + les fameux mots de passe "root".