Charte tech : Différence entre versions

De Wikinfini
Sauter à la navigation Sauter à la recherche
import>Olivier
(Aucune différence)

Version du 29 novembre 2004 à 01:55


Article 1. Constitution de l'?quipe technique d'Infini

   L'?quipe des techs d'Infini est regroup?e et communique sur la

liste de diffusion tech@infini.fr. Cette liste est constitu?e de:

a) personnes qui interviennent sur les machines quand elles peuvent, soit

    sur demande pr?cise d'un adh?rent, soit suite ? un d?bat sur la liste
    pour apporter une am?lioration directe ou indirecte aux services
    propos?s par Infini ? ses adh?rents, soit en urgence en cas de probl?me
    g?nant le fonctionnement technique normal de l'asso. Ces personnes ont
    droit de vote sur la liste tech.

b) personnes confirm?es qui n'interviennent pas sur les machines

    parce qu'elles ne le souhaitent pas, mais qui participent aux d?bats en
    apportant leur exp?rience. Ces personnes ont droit de vote sur la liste
    tech.

c) personnes qui n'interviennent pas, ou qui n'interviennent pas encore

    sur les machines mais qui souhaitent in fine s'investir dans la gestion
    technique. Ces membres sont plus des lecteurs que des conseillers, dans
    les ?changes de la liste auxquels ils peuvent toutefois participer. Ils
    n'ont cependant pas droit de vote sur la liste. Ils s'engagent ? ne pas
    diffuser, par aucun moyen, le contenu des ?changes de la liste.
   Les techs d?finis ci-dessus aux rubriques 'a' et 'b' ont le

__devoir__ de participer aux d?bats engag?s sur la liste tech. La non participation aux discussion provoque la non participations aux votes. Le vote tech est a but consultatif pour le CA. Si le debat fait apparaitre des dissensions trop grandes les parties exposent leur arguments au CA , et c'est le CA qui tranche.

    1. note de henriB : tr?s tr?s chiant ? mettre en place, on fera jamais ce conseil de discipline

faudrait trouver je sais pas, un truc syst?matique, genre r?engagement des techs tous les deux mois?##

   Les techs s'engagent ? tout mettre en oeuvre pour veiller au

respect de la confidentialit? et de la s?curit? des donn?es des adh?rents.

   Ne peuvent faire partie de l'?quipe technique au sens large (ie

les abonn?s ? la liste 'tech') que les personnes ayant accept? de respecter la pr?sente Charte et qui s'y sont engag?s par mail aupr?s de la liste ca@infini.fr.

   Toute intervention effectu?e sur un des serveur dans le respect

strict de cette Charte est plac?e sous la responsabilit? juridique du Conseil d'Administration de l'association.


Article 2. Les demandes des adh?rents

   La liste tech@infini.fr est l'adresse du contact que les adh?rents

de l'asso utilisent pour confier leurs demandes. (*)

   Les techs, outre le fait de r?fl?chir et de travailler ?

l'am?lioration des services propos?s par l'asso, r?pondent aux demandes des adh?rents, et ex?cutent ces demandes. Les demandes habituelles sont:

  - ajout/retrait d'un alias mail        (""**"")
  - ajout d'un alias web            (""**"")
  - ajout/configuration d'un nom de domaine    (""**"")
  - activation d'une base de donn?e
  - activation de statistiques web pour un site
   Aucun d?bat sur la liste tech n'est requis pour ex?cuter une

demande d?finie ci-dessus comme habituelle.

   Si la demande de l'adh?rent est inhabituelle au sens d?fini

ci-dessus, elle sera d?battue sur tech, voire transmise au CA si la demande est extravagante ou per?ue comme telle par un ou plusieurs des techs.

   La liste tech n'a pas pour vocation de r?pondre aux questions des

adh?rents concernant autre chose que la gestion de leur compte.

   Les techs d'Infini, dans leur communication avec les adh?rents et

sur les deux listes 'tech' et 'staff', se doivent d'?tre bienveillants et tol?rants, conform?ment aux statuts de l'association et aux r?gles g?n?rales de la Netiquette.



Article 3. Les interventions des techs

   Toute intervention, aussi minime soit-elle, doit etre port?e a la connaissance des

autres techs.

 - Par la liste tech@infini.fr pour les modification mineure
 - Par le wiki tech (http://www.infini.fr/admin/doc) pour les mises en place de nouveau services
 - Par Mantis ( https://blavet.infini.fr/mantis/ ) pour les evolutions technique de la configuration d'inifni.


Article 4. Initiation des adh?rents ? la technique

   Tout adh?rent doit avoir la possibilit? de s'initier ? la gestion

des machines. Dans la mesure o? il est ?vident que de solides connaissances en la mati?re associ?es ? une exp?rience certaine sont requises, il est propos? ? ces adh?rents:

  - d'installer une distribution Linux sur leur machine personnelle.
    A d?faut, il est mis ? leur disposition au local plusieurs machines
    sous Linux.
  - d'acqu?rir des connaissances par le biais des listes de diffusion et
    des forums d?di?s
  - de demander ? ?tre abonn? ? la liste 'tech' pour lire les ?changes
    sur la technique de l'asso (il est ici rappel? que la liste tech n'a
    pas vocation de r?pondre aux questions des adh?rents concernant autre
    chose que la gestion de leur compte).
  - de demander ? assister aux interventions sur le serveurs faites par
    les techs, soit au local, soit ? distance.
  - il n'est pas pr?vu de fournir ? ces adh?rents un acc?s SSH aux serveurs
    dans le but de se former ? la technique


Article 5. Acc?s SSH aux serveurs

   S'agissant des acc?s SSH aux serveurs (""***""), ils ne sont ouverts

que si les conditions suivantes sont v?rifi?es:

 - s'il s'agit d'un acc?s SSH demand? par un adh?rent pour g?rer son compte
   personnel:
   o il devra en faire la demande ? tech@infini.fr par un mail
     exposant les motivations et les raisons de la n?cessit?, ? ses yeux,
     d'un acc?s SSH. Les techs se r?servent le droit de refuser (par vote
     interne) l'ouverture de l'acc?s SSH si les interventions souhait?es
     par l'adh?rent lui sont r?alisables d'une autre mani?re.
   o l'adh?rent s'engage (par mail ? ca@infini.fr):
     - ? utiliser son acc?s SSH pour la seule gestion de son compte
     - ? n'acc?der en SSH, par aucun moyen, ? d'autres r?pertoires
        que son r?pertoire personnel
     - ? ne divulguer aucune information d'aucune sorte dont il aurait pu
       avoir connaissance au cours de ses sessions SSH
     - ? n'installer aucun applicatif sur son compte sans en avoir demand?
       l'examen et l'autorisation ? la liste tech (rappel: les abonn?s ? la
       liste tech qui le sont pour s'initier ? la technique n'ont pas droit
       de vote, cf point 1 de la Charte).
     - a utiliser une forme s?curis?e du protocole FTP en lieu et place du
       protocole FTP habituel non s?curis?.
   o En cas d'acceptation de l'ouverture de l'acc?s SSH:
     - les techs doivent en informer le C.A.
     - le mot de passe de l'adh?rent est chang?
     - l'adh?rent est ajout? dans la liste des utilisateurs n'ayant pas
       l'autorisation d'utiliser le protocole FTP pour transf?rer ses
       fichiers.
 - s'il s'agit d'un acc?s SSH destin? ? un abonn? de la liste tech dans
   le but d'effectuer des interventions sur les serveurs (car seuls les
   membres de la liste tech peuvent pr?tendre ? ce type d'acc?s SSH):
    o il est indispensable que cette personne ait acquis ou poss?de d?j?
      de solides connaissances en administration syst?me
    o le cas ?ch?ant, si les t?ches d?volues ? ce tech sont peu nombreuses
      et/ou sp?cifiques (""****""), il est d?cid? de ne pas transmettre au tech
      concern? les mots de passe "root" des serveurs (""*****""). Dans ce cas,
      un acc?s SSH est fourni, avec login et mot de passe individuels, avec
      l'attribution de droits root (""*****""). Le tech concern? s'engage alors
      aupr?s de ca@infini.fr ? se limiter sur les serveurs ? l'ex?cution
      des t?ches qui lui sont d?volues.
    o l'ouverture d'un acc?s SSH est obligatoirement soumise ? d?bat puis
      vote sur la liste tech, et son acceptation ?ventuelle est port?e ?
      la connaissance du CA


Article 6. Mots de passe root des serveurs

   S'agissant des mots de passe root, ceux-ci ne seront communiqu?s

aux techs que si _toutes_ les conditions suivantes sont v?rifi?es:

  - abonn? ? la liste tech depuis au moins 3 mois
  - tech poss?dant une solide exp?rience d'administration syst?me et r?seau
  - tech b?n?ficiant d?j? d'un acc?s SSH aux serveurs et ayant l'exp?rience
    de la configuration particuli?re des serveurs d'Infini, ayant ?galement
    l'exp?rience d'interventions r?guli?res sur les machines, sur des t?ches
    limit?es (cf 2?me partie du point 5)
  - validation par un vote des techs (selon la m?me proc?dure que pour un
    vote au sein du CA: il faut que la moiti? au moins des techs ayant le
    droit de vote + 1 expriment leur suffrage, vote valid? par une
    majorit? des 2/3 des suffrages exprim?s)
  - validation par un vote du C.A.
 NB:  toute d?rogation ? l'un des trois premiers points de ce 6?me article
      devra ?tre ent?rin?e par un vote des techs ? l'unanimit? des
      suffrages exprim?s (la moiti? des techs + 1 doivent avoir exprim?
      leur suffrage pour que le vote soit valide)


   Un tech poss?dant des droits "root" sur les serveurs s'engage dans

un mail envoy? ? ca@infini.fr qu'il ne divulguera ni son login ni son mot de passe (qu'il soit individuel, soit root), ni les informations dont il aurait pu avoir connaissance en ?ditant les divers fichiers des serveurs ? personne par aucun moyen que ce soit (sauf si la proc?dure ci-dessus est valid?e ? tous ses points) m?me si le tech quitte un jour l'?quipe technique. Dans ce dernier cas, l'ex-tech s'engage ? ne plus intervenir sur les machines, son acc?s SSH individuel est supprim?.

   Toute infraction aux conditions expos?es dans les point 5 et 6 de

cette charte entrainera imm?diatement la fermeture d?finitive de l'acc?s SSH (d?cision de la liste tech), voire la radiation de l'adh?rent (d?cision du CA, conform?ment aux statuts).



--=--


(*) Les adresses des instances techniques et administratives d'Infini devraient d'ailleurs figurer dans un mail de bienvenue lors de l'adh?sion. Ces adresses sont principalement tech et ca, staff ?tant plus pour "nous". Ces adresses devraient aussi figurer sur le site web d'Infini, mais sous la forme d'un GIF ou d'un JPG sans lien par exemple, pour limiter le spam, car la mod?ration de ces listes pour les adresses non-abonn?es, bien que facile techniquement, n'est pas forc?ment la meilleure des soluces....


(""**"") On sous-entend bien s?r que les aliases demand?s, que l'intitul? des domaines ? h?berger/configurer sont conformes aux statuts de l'association ainsi qu'aux r?gles d?ontologiques habituelles (on ne va pas accepter la cr?ation d'un alias gaetan.treguier@infini.fr pointant vers le compte abarthel, par exemple. Ni h?berger un domaine du genre porno-pas-cher.com. Ni cr?er un alias web www.porno-gratuit.infini.fr. Des babioles comme ?a, quoi...)


(""***"") Apr?s le flot de mails concernant ce sujet le mois dernier, je ne suis pas s?r qu'il faille ici tout redire sur le sujet, mais rappelons simplement qu'un acc?s SSH permet ? quelqu'un de se connecter sur les serveurs d'Infini en ligne de commande, et ex?cuter, selon des droits pr?cis, des commandes.

   Un adh?rent lambda qui se connecterait en SSH aurait th?oriquement

la possibilit? d'ex?cuter des commandes ayant la possibilit? de modifier le contenu de son compte uniquement, mais ?galement des commandes "habituelles" ayant potentiellement comme cons?quences une charge syst?me et r?seau tr?s importantes, et un retentissement temporaire sur le fonctionnement normal des machines durant l'ex?cution de ces commandes, et ceci sans la moindre intention malveillante.

   Un adh?rent _malveillant_ (et tr?s fort) b?n?ficiant d'un acc?s

SSH aurait la possibilit? th?orique: - de lancer des commandes lui conf?rant des droits "root" - d'installer sur son compte des "programmes" entra?nant des failles dans

  la s?curit? des serveurs

-> d'o? la n?cessit? imp?rative que l'adh?rent souhaitant un acc?s SSH s'engage ? respecter les points de la Charte le concernant.


(""****"") exemples: fermetures de comptes, cr?ation/migration de listes de diffusion, cr?ation de bases de donn?es, cr?ation d'aliases mail ou web, activation des statistiques web


(""*****"") Un contr?le total des serveurs n?cessite soit un acc?s physique aux machines, soit un acc?s SSH + les fameux mots de passe "root".