Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révisionLes deux révisions suivantes |
technique:tips:todo_adminsys [2021/01/26 22:55] – qduchemi | technique:tips:todo_adminsys [2021/11/25 00:19] – ↷ Liens modifiés en raison d'un déplacement. qduchemi |
---|
* https://alice.picasoft.net:8006 pour Alice | * https://alice.picasoft.net:8006 pour Alice |
* https://bob.picasoft.net:8006 pour Bob | * https://bob.picasoft.net:8006 pour Bob |
| * https://caribou.picasoft.net:8006 pour Caribou |
| |
Les identifiants sont sur le [[technique:tips:password_store:start|pass]]. | Les identifiants sont sur le [[technique:adminsys:secu:password_store:start|pass]] (utilisateur `root`). |
| |
### Mise à jour des hyperviseurs | ### Mise à jour des hyperviseurs |
Une méthode : | Une méthode : |
| |
* On prend les [[technique:adminserv:graph_services|graphes des services]] pour savoir ce qui tourne | * On prend les [[technique:graph_services|graphes des services]] pour savoir ce qui tourne |
* On choisit un service à mettre à jour | * On choisit un service à mettre à jour |
* Si une nouvelle version est sortie, on met à jour les fichiers sur le [[technique:docker:picasoft:dockerfiles|dépôt dockerfiles]] | * Si une nouvelle version est sortie, on met à jour les fichiers sur le [[technique:docker:picasoft:dockerfiles|dépôt dockerfiles]] |
* Dans tous les cas, on construit la nouvelle image et on la pousse sur le registre ([[technique:docker:picasoft:update|voir doc de mise à jour]]) | * Dans tous les cas, on construit la nouvelle image et on la pousse sur le registre ([[technique:docker:picasoft:update|voir doc de mise à jour]]) |
* Et on le relance ! | * Et on le relance ! |
| |
| <bootnote> |
| Astuce : on peut utiliser le [[technique:adminsys:secu:services_updates|bot des mises à jour]] qui poste des messages sur Mattermost à chaque nouvelle *release* d'un service. Sur Mattermost, on tapera : |
| ``` |
| in:team-technique from:maj_bot |
| ``` |
| |
| dans la recherche pour trouver les plus récents messages de ce bot. |
| </bootnote> |
| |
### Vérifier le serveur mail | ### Vérifier le serveur mail |
| |
Le brave serveur mail est un service délicat. De temps en temps, c'est très utile de [[technique:internal_serv:mail:maintenance:logs|vérifier ses logs]]. | Le brave serveur mail est un service délicat. De temps en temps, c'est très utile de : |
| |
| * [[technique:adminsys:mail:maintenance:logs|Vérifier ses logs]] |
| * [[technique:adminsys:mail:maintenance:dmarc_reports|Vérifier les rapports DMARC]] |
| |
On pourra ainsi détecter rapidement un problème de blacklist. Il n'est pas prévu de faire ça automatiquement. | On pourra ainsi détecter rapidement un problème de blacklist. Il n'est pas prévu de faire ça automatiquement. |
Il existe deux types de backups : | Il existe deux types de backups : |
| |
* Les backups de machines virtuelles, gérés par Proxmox, comme [[technique:infrastructure:machines_virtuelles:backup|expliqué ici]]. | * Les backups de machines virtuelles, gérés par Proxmox, comme [[technique:infrastructure:backup|expliqué ici]]. |
* Les backups des bases de données, gérés par un script ad-hoc, comme [[technique:adminsys:backup:db:start|expliqué ici]]. | * Les backups des bases de données, gérés par un script ad-hoc, comme [[technique:adminsys:backup:db:start|expliqué ici]]. |
| |
Tout est [[technique:docker:admin:socket-certs|expliqué ici]]. Les certificats générés sont valables un an, il faut les vérifier à un moment... | Tout est [[technique:docker:admin:socket-certs|expliqué ici]]. Les certificats générés sont valables un an, il faut les vérifier à un moment... |
| |
<bootnote>Un bon moyen de vérifier, c'est de regarder la date des [[technique:adminserv:graph_services|graphes des services]]. Si ce n'est pas hier, alors il y a un souci, et c'est probablement un certificat expiré.</bootnote> | <bootnote>Un bon moyen de vérifier, c'est de regarder la date des [[technique:graph_services|graphes des services]]. Si ce n'est pas hier, alors il y a un souci, et c'est probablement un certificat expiré.</bootnote> |
| |
### Vérifier que la zone DNS va bien | ### Vérifier que la zone DNS va bien |
| |
Avec l'incroyable outil Zonemaster, comme expliqué sur [[technique:internal_serv:dns:check_zone|cette page]]. | Avec l'incroyable outil Zonemaster, comme expliqué sur [[technique:adminsys:dns:check_zone|cette page]]. |
| |
### Vérifier les permissions d'accès | ### Vérifier les permissions d'accès |
On regardera donc de temps en temps : | On regardera donc de temps en temps : |
| |
* Le [[technique:internal_serv:ldap:start|LDAP]] et les comptes existants. | * Le [[technique:adminsys:ldap:start|LDAP]] et les comptes existants. |
* Le [Gitlab](https://gitlab.utc.fr/picasoft/) et les membres du groupe `Picasoft`. | * Le [Gitlab](https://gitlab.utc.fr/picasoft/) et les membres du groupe `Picasoft`. |
* Le [[technique:tips:password_store:start|pass]] et les clés pour lesquelles sont chiffrées les identifiants. | * Le [[technique:adminsys:secu:password_store:start|pass]] et les clés pour lesquelles sont chiffrées les identifiants. |
| |
### Renouvellement des mots de passe critiques | ### Renouvellement des mots de passe critiques |
[[asso:administratif:registre|Le règlement intérieur]] prévoit que l'on change tous nos identifiants critiques chaque semestre. Concrètement, ce sont les mots de passe `root` des machines, les mots de passes d'administration des services... | [[asso:administratif:registre|Le règlement intérieur]] prévoit que l'on change tous nos identifiants critiques chaque semestre. Concrètement, ce sont les mots de passe `root` des machines, les mots de passes d'administration des services... |
| |
Ils se trouvent tous dans le [[technique:tips:password_store:start|pass de Picasoft]]. | Ils se trouvent tous dans le [[technique:adminsys:secu:password_store:start|pass de Picasoft]]. |
| |
L'idée est de déterminer les mots de passe critiques, les changer (`passwd`, fichier de conf...), puis les mettre à jour dans le pass. | L'idée est de déterminer les mots de passe critiques, les changer (`passwd`, fichier de conf...), puis les mettre à jour dans le pass. |