L’association Raoull (https://raoull.org/) souhaite candidater pour la prochaine portée de C.H.A.T.O.N.S.
Raoull est une association basée sur Lille, qui depuis fin 2018 s’organise dans l’objectif de proposer des services en ligne respectueux de ses utilisateurs, à destination des particuliers et des associations.
Nous sommes une dizaine de membres actifs qui nous réunissons chaque semaine pour manger des frites et construire le World Wide Welsh (c’est aussi une réunion de travail !), et mensuellement pour notre Assemblée Régulière. En complément, nous participons aux Cafés du libre, la permanence associative libriste qui a lieu chaque dernier mardi du mois à Lille, pendant laquelle nous nous tenons à disposition du grand public pour un moment d’échange et d’entraide sur les problématiques liées au numérique.
Les premiers services proposés sont l’hébergement d’outils interne pour des associations locales. En hébergeant des petits serveurs que nous administrons, ces associations hébergent leurs propres applications tout en contribuant à une infrastructure multi site gérée par Raoull.
Nous avons un accès complet (super-utilisateur, physique et distant) aux machines physiques. Pour limiter la consommation de ressources et d’énergie, nous utilisons des machines reconditionnées, dont la puissance est modeste et dimensionnée au mieux à nos besoins.
Nous proposons également un service public Mumble, en attendant d’autres services à venir prochainement. Nous préparons ainsi le déploiement de services de publication fédérés (ie Mobilizon, Pixelfed, Castopod) qui arriveront probablement à partir de l’année prochaine.
Bonjour Ambrine,
Merci ! C’est une réalisation de Guillaume, qui est un peu le graphiste de l’asso. La mascotte au centre du logo est un clin d’œil au chanteur Raoul de Godewarsvelde, originaire de Lille et personnage emblématique de notre région.
Merci pour tous les échanges et retours sur notre candidature.
Nous avons essayé d’y répondre au mieux et avons apporté de nombreuses améliorations sur les supports suivants :
Le Site web :
Améliorations de l’ergonomie et de l’accessibilité (descriptifs d’images…)
Meilleure mise en avant des CGU dans la présentation des services
Meilleure présentation de notre association
Informations complémentaires sur notre collaboration avec les structures locales qui hébergent nos machines et que nous accompagnons pour leur propre auto-hébergement
Communication sur nos futurs services et notre feuille de route
La documentation et le wiki :
Le wiki est désormais hébergé sur notre infrastructure. (Seuls nos DNS restent sur une infrastructure tierce).
Nous nous sommes efforcé·e·s de documenter notre infrastructure de manière transparente et exhaustive. En particulier nous avons décrit clairement nos services, nos machines, notre sauvegarde et les principes de sécurité mis en œuvre.
La topologie présente des schémas sur la situation en novembre et d’ici fin décembre, l’infrastructure évoluant beaucoup pour la mise en place de notre infrastructure multi-site dite du « World Wide Welsh ». Une présentation en 10 illustrations est d’ailleurs disponible pour détailler notre projet.
Nous restons bien évidemment disponibles pour vous fournir toute information complémentaire sur notre projet.
Pensez quand même à en avoir une copie quelques part au cas où toutes votre infra est down
En effet,
On en a justement reparlé vendredi lors d’une petite intervention planifiée où le wiki était brièvement inaccessible…
Notre infrastructure multi site pourrait nous mettre à l’abri de quelques situations gênantes, mais il faut quand même prévoir certains scénarios du pire.
Une copie hors de notre infrastructure serait rassurante/peut nous faire gagner du temps, ou au moins les procédures minimales accessibles pour relancer l’infra et les sauvegardes. De même qu’il faut garder une possibilité d’accéder aux mots de passe essentiels…
Pour les mots de passe, à Deuxfleurs, on utilise password store synchronisé avec un dépôt git privé. Les mots de passes sont stockés chiffrés avec nos clés PGP respectives dans le repo. On décrit notre workflow pass dans notre doc. J’ai découvert récemment que c’était aussi le choix qu’a fait FDNdans leur documentation (la page nécessite un compte FDN).
Avantage : tout le monde a une copie locale des secrets (mot de passe & co) et je juge le niveau de sécurité satisfaisant.
Inconvénient : le setup est compliqué pour un admin sys et inaccessible aux autres personnes de la structure.
On a utilisé une solution à base de fichier kdbx (KeePass) synchronisé sur les PCs des admins avec Syncthing. Système qui avait l’intérêt de pouvoir être mis en place relativement facilement au début de l’aventure sans disposer de repo central, et qui fonctionne…
Solution cependant parfois sous-optimale qui impose une rigueur de synchronisation, de connaître le mot de passe du trousseau ou de le stocker dans un autre trousseau personnel. Ensemble probablement critiquable et qui pourrait changer prochainement…
Ahaha c’est marrant, c’était typiquement l’alternative que j’avais en tête à notre password store. Il faut croire que l’herbe chez le voisin est toujours plus verte xD. Un autre truc que j’aimerais explorer, ce sont les hardware keys, comme les Yubikey ou les Solokeys. Il s’avère que j’ai la deuxième, et j’avoue qu’il y a des workflows où c’est terriblement simple à utiliser (je pense à WebAuthn / Passkey), au point que c’est plus simple qu’un mot de passe traditionnel.
pass, c’est le setup qu’on avait aussi à Picasoft, mais petit à petit tout le monde a voulu jeter GPG aux enfers, et rendre les mots de passe plus accessibles aux personnes non-techniques.
Aujourd’hui on a un Bitwarden (enfin, vaultwarden). Fonctionnalité importante : le client Android et l’extension web gardent tous les mots de passe en cache, donc en cas de serveur down, on garde accès aux mots de passe !
Pour les adeptes de la CLI, rbw fait bien le taf en accès read-only.
