Voici le wiki de l'équipe d'admin. sys. de Nos oignons !

Retours & contact

À l'heure actuelle, les retours sur le wiki sont les bienvenus sur un pad Riseup.

Si vous avez des remarques à nous communiquer en privé, nous sommes joignables sur adminsys@nos-oignons.net, avec la clef GPG suivante :

02C6 FBC9 8929 A4D2 8D33  E30F 9F29 C15D 42A8 B6F3

Structure du wiki

Histoire d'organiser un peu toutes les informations qu'on doit y mettre, voici quelques lignes sur comment est structuré ce wiki.

Machines

La partie Machines contient une page par machine utilisée ou gérée par Nos oignons.

Pour chaque machine que nous gérons, une sous-page relate son installation.

Services

La partie Services contient la liste des services mis en place par/pour Nos oignons.

Quand un service est générique, on utilise le terme général plutôt que le nom d'un logiciel. Typiquement, on n'installe qu'un seul serveur web sur une machine, donc on appelle le service Web plutôt que Nginx.

Chaque service doit être doté d'une sous-page qui relate son installation. Cette page doit être datée et n'a pas vocation a être mise à jour par la suite. Sauf dans le cas où on ajoute plus tard un plugin, où on peut faire une section ou une sous-page supplémentaire que l'on datera également.

Pour chaque service, c'est une bonne idée d'indiquer :

  • les machines qui le font tourner,
  • l'emplacement des fichiers de configuration,
  • l'emplacement des données,
  • les aspects particuliers de la configuration.

On ajoutera ensuite les procédures liées au service. Pour les plus fréquentes, en faisant un lien vers une page de la partie Procédures et pour les autres avec une section dédiée dans la page du service.

Procédures

La partie Procédures contient les procédures d'administration courante. Ce sont toutes les tâches que d'autres admin. pourraient avoir envie de réaliser.

Ces pages n'ont pas spécialement vocation à remplacer la documentation des différents logiciels. Indiquer les grandes lignes d'une opération et faire des liens vers les bonnes parties de la documentation du logiciel peut être suffisant dans beaucoup de cas.

L'idée est d'avoir les idées claires sur « Comment faire ? » face à un besoin précis.

Privé

Comme le nom l'indique bien, cette section est privée, et accessible uniquement sur authentification.

Fournisseurs

La partie Fournisseurs recense les différents fournisseurs de services ou de matériel avec lesquels l'équipe adminsys de Nos oignons doit traiter.

C'est bien d'y mettre au moins les contacts dont on dispose ou les modalités d'accès à un service particulier.

Membres

La partie Membres recense les membres de l'équipe admin. sys, à raison d'une page par membre. Pour chaque membre de l'équipe, le titre de sa page correspond à son identifiant de connexion usuel. Chaque fiche fournit les informations suivantes:

  • Adresse e-mail
  • Empreinte de clef GPG
  • Empreinte de clef SSH
  • Adresse(s) IP de connexion aux nœuds Tor

De plus, la section relative à la clef SSH de la personne contient un lien vers sa clef publique, qui est donc intégrée au wiki.

Processus de travail

Voici quelques mots sur les processus de travail de l'équipe admin. sys. :

Communication

Les membres de l'équipe d'admin. sys sont inscrit·e·s à deux listes chiffrées :

  • Une pour la communication à l'intérieur de l'équipe : adminsys@nos-oignons.net.
  • L'autre pour recevoir les messages (automatiques) envoyés par les machines : machines@nos-oignons.net.

La séparation des listes est à réévaluer début septembre 2013 : à quel point les messages de machines sont-ils lus ?

La communication temps réel se fait autour du canal IRC principal, #nos-oignons @ irc.oftc.net. Des canaux temporaires peuvent être créés lorsque le besoin s'en fait sentir.

Gestion des choses à faire

Les choses à faire sont gérées au moyen d'un gestionnaire de tickets, en l'occurrence Request Tracker. Idéalement, chaque ticket passe successivement par les quatre états suivants :

discussion_needed
Lors de l'ouverture d'un ticket, on discute d'un problème technique particulier, et des possibles solutions qu'on pourrait ou aimerait y apporter.
implementation_needed
Une fois qu'on est d'accord, un ou plusieurs membres se chargent d'appliquer la solution retenue à l'étape précédente (par exemple ajouter, supprimer ou reconfigurer un service).
review_needed
Quand l'implémentation est prête, celui ou celle qui l'a mise en œuvre lâche le ticket et demande une vérification du travail par une autre personne.
done
Si la revue de l'implémentation n'a donné lieu à aucune modification ou critique supplémentaires, le ticket est fermé. Sinon, son statut retourne à implementation_needed ou reste à review_needed.

Suivi des changements sur les machines

Le suivi au quotidien des modifications via Git et etckeeper. Ce dernier est configuré pour ne pas laisser installer de nouveau paquet avant d'avoir enregistré les dernières modifications. Il n'y a pas non plus d'enregistrement automatique par cron.

Les modifications dans /etc font l'objet d'un envoi de mail automatique, soit pour signaler qu'elles n'ont pas été commitées, soit pour faire part de ce qui l'a été. La liste des paquets installés est automatiquement mise à jour dans /etc/.package-list.

Base documentaire

Un wiki (celui que vous êtes en train de lire) consigne :

  • l'ensemble des informations sur l'état présent du réseau, des machines, des logiciels installés,
  • les procédures de maintenance (avec entre autre les problèmes rencontrés précédemment avec les procédures de diagnostic et de correction),
  • les récits d'installation.

Le wiki est stocké dans un dépôt Git et interprété par Ikiwiki.

Gestion des mots de passe

Les mots de passe sont gérés avec le logiciel Keyringer. Cela permet de garder sous forme chiffrée les mots de passe communs. Les fichiers sont stockés dans le même dépôt Git que le wiki, dans le répertoire .keyringer situé à la racine.

Documentation à compléter

Utiliser schleuder

Migration d'ekumen sur la plateforme HVM et GRUB

Manipuler les sauvegardes

Déployer un nœud Tor

Installation d'ekumen

Accueillir un nouveau membre du conseil d'administration

Créer un espace de stockage de fichiers

Liste de discussions

Web

Installation d'Nginx

DNS

Fermer les accès d'un ancien membre de l'équipe admin. sys