Gestation de LoGaton, le CHATON gascon!

Bonjour tout le monde,

Suite au #collectif:camp-chatons de cette été et à la demande concommitante de plusieurs connaissances, j’ai décidé d’activer la mise à bas d’un CHATON local, et que s’appelorio LoGaton (ce qui signifie « le chaton » en occitan) !

logoton200

Pour me sentir un peu moins seul (et peut-être poser quelques questions et espérer quelques réponses), j’ai décidé de vous raconter ici la gestation technique (et un peu administratif) de ce petit nouveau, qui, je l’espère, rejoindra la future portée de CHATONS !

Contexte

Après quelques années dans le Gers, j’ai migré non loin (à 6 km de la frontière départementale !) en Haute-Garonne. J’ai malgré tout gardé quelques liens avec le Gers et construit d’autres liens dans le Haut-Comminges.
Cela fait longtemps que j’aimerai créer un CHATON local mais les astres n’était pas alignés. Mais cette fois-ci, il y a quelques besoins exprimés par des connaissances :

Calendrier des événements locaux

Une demande récurrente depuis quelques années, la volonté d’avoir un calendrier à la Démosphère pour le Gers. Le collectif Demosphère ne répondant pas à nos demandes de mise en place d’un antenne gersoise, il m’a été demandé ce qu’il était possible de faire pour du court-terme. J’avais évoqué la possibilité de mettre en place une instance Mobilizon.

Passage au libre en local

Plusieurs personnes souhaitent maintenant quitter les GAFAMs et passer sur du 100% libre. L’idée d’avoir la possibilité de s’adresser à une personne/un collectif en réel les intéresse beaucoup et leur permettrai de franchir le cap.
On me demande des mails (avec toute la réserve que je peux y mettre connaissant la prise de tête que peuvent amener la gestion d’un serveur mail), des outils de sondage (aka Framadate), des outils de stockage (via un Nextcloud) et des outils de travail collaboratif (type Cryptad).
Dont acte.

YunoHost

Il y avait aussi ma volonté de monter en compétence sur YunoHost afin d’avoir une bonne base pour le déploiement de CLIC! dans mon éco-hameau ou lors d’événements/marchés locaux pour sa version « offline ».

Bon, bah, c’est parti

Les premiers achats

Histoire de ne pas partir d’une feuille blanche, j’ai décidé de rédiger le projet sur papier.
Bon, en fait, non. Comme l’idée du nom LoGaton était né durant mon trajet de train pour le Camps CHATONS #TrueStory, j 'ai décidé de prendre le nom de domaine et le serveur (pendant le Camps CHATONS #TrueStory)
Le nom de domaine a été pris chez Gandi, tandis que le serveur a été choisi chez Hetzner (en attendant le futur datacenter auscitain).
Ce serveur est équipé d’un processeur ntel Core i7-4770, de 2 SSD de 256 Go (qui recevront le système) et de 2 SSD de 512 Go (qui recevront les données) et de 32 Go de Ram (qui supporteront tout ça, j’espère).

L’installation

(affaire à suivre)
J’ai commencé par installer une Debian Bullseye via l’outil de déploiement d’image de Hetzner (la procédure sera sur le site), le RAID1 est configuré directement sur les deux disques de 256Go.
J’ai ensuite créer la grappe RAID1 en BTRFS sur les deux autres disques de 512Go qui recevront donc /var
Tout est décrit, vive les copier-coller ! Si je suis bien motivé, je pourrais même écrire le script. Si jamais.

Install de YunoHost

L’installation de YunoHost par le script s’est passé à merveille.
La configuration de YunoHost ne pose pas de soucis.

J’ai donc configuré le domaine LoGaton.fr et c’était parti.
À la création des sous-domaines, j’ai parfois eu l’impossibilité de créer le certificat Let’s Encrypt par l’interface d’administration. J’ai donc du passer par le terminal et utiliser la commande :

yunohost domain cert-install whatever.logaton.fr

J’ai pu constater sur cryptcheck.com que j’obtenais par défaut une note de D. :question: J’aimerai bien l’améliorer, si vous avez des pistes, je suis preneur !

L’outil de diagnostic m’a relevé quelques erreurs, certaines ont été résolues dans la foulée (quel bon outil !) et d’autres restent à traiter dans les prochaines nuits

  • :question: Il semble qu’apt (le gestionnaire de paquets) soit configuré pour utiliser le dépôt des rétroportages (backports).
  • Les ports 4443 et 10000 ne sont pas ouverts sur l’extérieur.
    • :question: apparemment, ce serait du côté Hetzner, mais le firewall m’a l’air OK. Si vous avez une idée ?
  • :question: Aucun DNS inverse n’est défini pour IPv6. Work to do, je suis preneur d’info pour m’éviter de Duckduckgiser ça :stuck_out_tongue:

Installation des apps

Après quelques tests et vérification d’apps, j’ai décidé de laisser en prod certaines d’entre elles pour démarrer. On verra d’autres lorsque des besoins seront exprimés et partagés.

Voici déjà pour les apps « d’administration » qui ne seront donc pas destinées à être ouvertes comme services mais seront utilisés pour l’administration de la solution :

YesWiki

J’utilise YesWiki comme site web principal, parce que je <3 (et que je veux le maîtriser encore mieux) (et que c’est la même base que CLIC!).
Pas impossible que je réfléchisse ultérieurement à la possibilité de le transformer en Ferme à Wikis mais pour l’instant, je mets ça de côté.

Garradin

Histoire de conserver les actes finanço-administratifs. Je ressaie Garradin en hommage à la présence de @bohwaz au Camp CHATONS (venez toustes la prochaine fois !).

Webmail RainLoop

Bon, je ne connaissais pas ce webmail, donc go for it.

Cachet

Pour afficher les statuts des applications.
J’ai échoué à installer le service 2-3 fois (erreur à la création de la base de données), mais c’est tombé en marche, après ma mise à jour vers la version 11.0.9.13 de YunoHost (corrélation ou causalité, je ne sais pas !).

Concernant les services proposés au public :

Annotation de PDF

via le logiciel SignaturePDF
Un bon moyen d’arrêter de nous embêter avec Acrobat Reader (ou Okular qui n’est pas forcément super user-friendly)
sur https://signons.logaton.fr

Jeu de mots

via SOTUM
Spéciale dédicace à ma Môman qui apprécie SOTUM
sur https://jouons.logaton.fr/sutom

Outils collaboratifs

via Cryptpad
J’apprécie les outils cryptpad et la possibilité d’avoir plusieurs outils proposés. Et c’est chiffré sur le serveur, je suis d’autant plus tranquille en tant que co-responsable de traitement de données personnelles (coucou @pyg @Sleto )
sur https://collaborons.logaton.fr/

Partage de frais

via I Hate Money
Un outil dont nous aurions souvent besoin à l’éco-hameau. Alors en attendant que notre YnH soit installé en local, autant profiter de celui-ci.
sur https://partageons.logaton.fr

Visio

via Jitsi Meet
Les beaux-parents s’étant éloignés, ils m’ont demandé quel logiciel utiliser pour faire de visios. Plutôt que les orienter vers un outil à installer, je pensais les envoyer sur une instance JitsiMeet. Bon, bah, comme ça, je sais où les envoyer !
:question: J’ai par contre un petit souci car, par défaut, il faut être inscrit et connecté pour être host d’une réunion et la modérer. J’aimerai rendre cela public et sans inscription, une idée de la procédure ?

Mobilizon

Demande ancienne de plusieurs associations/structures d’avoir un agenda partagé ou au moins un moyen de voir ce qui se passe sur le territoire. Suite au Camps Chatons de l’année dernière, j’avais été convaincu que cela répondait aussi de pas mal de besoins d’espace de partage d’infos pour des petits collectifs.
J’ai donc décider d’installer et de faire le focus sur Mobilizon (et de mettre les événements Mobilizon en avant sur la page d’accueil de LoGaton - coucou
:question: Malheureusement, j’ai systématiquement une erreur : Souci à l'installation de Mobilizon - Support apps - YunoHost Forum
Affaire à suivre.
J’ai aussi la possibilité minimaliste et à très court-terme de mettre en place un agenda via le YesWiki du site. On verra suivant la résolution (ou pas) du souci d’installation Mobilizon que j’investiguerai plus longuement un de ces soirs.

Structuration administrative

J’avais imaginé créer une association pouvant prendre en charge ce CHATON. Mais les ressources humaines étaient assez peu disponibles… J’ai donc décidé de lancer ça en mon nom, au plutôt au nom de ma structure professionnel, en me disant que cela pourrait répondre à des demandes particulières de facturation notamment. Cela me permet de me lancer tant que l’énergie est là.

Par contre, c’est clairement un service qui devra avoir sa propre gouvernance à court terme. J’espère que l’existence même de ce CHATON permettra à certain⋅e de s’y engager directement (et sans attendre un éventuel service qui n’existera qu’après maintes réunions préalables).
Il me sera nécessaire d’être attentif à ne pas personnaliser les différents outils et accès pour me permettre de partager le nécessaire sans partager mon compte personnel #ProTip
Et de permettre à toutes les bonnes volontés de s’impliquer dans LoGaton.
Ce n’est pas forcément la manière que je préconise habituellement, on verra si ça fonctionne mieux ou pas, et au moins, j’aurai appris !

Ma Tout Doux Liste

(oui, parce que ça prendra le temps que ça prendra)
Il me reste encore pas mal de choses à faire avant d’avoir quelque chose de présentable.
Mais parmi celles-ci, voici ce que j’ai noté (si vous voyez d’autres tâches, n’hésitez pas à me les dire !)

  • Présentation de LoGaton
    le site web de présentation de LoGaton est plein de peinture et de tests divers. Mais ça prend forme. Et merci au compte-rendu de @fabrice61 pour m’orienter un peu !
  • Documentation technique
  • Présentation des services
  • Guide d’utilisation des services
  • CGU
  • Mentions Légales
  • Politique de collecte des données personnelles
  • Qualité chiffrement -cryptcheck-
  • Mise en place d’une sauvegarde
    + archivage externalisé
  • créer les fiches properties cc #collectif:stats-chatons-org

Et c’est tout, pour le moment !

Merci de m’avoir écouté, n’hésitez pas à me conseiller pour que la gestation se passe au mieux et qu’on accouche d’un joli chaton gascon dans les prochaines semaines !
Je mettrai à jour ces listes et histoires au fur et à mesure de la gestation pour vous tenir au courant !

Adishtaz,
@Jeey
éleveur de chaton gascon

9 Likes

Bonjour @Jeey , chouette un chaton Gascon :smiley: !

J’ai regardé vite fait. Avec un autre outil, j’obtiens un joli A+ . Je ne connais pas du tout Ynh, mais il me semble qu’il y a une misconfiguration entre les redirections de logaton.fr vers le sous-domaine www.logaton.fr (ou vice versa) ? Car la redirection renvoie vers le répertoire www. Ainsi, www.logaton.fr n’a pas de certificat et utilise celui par défaut du domaine yunohost.org . Ça expliquerait la note de cryptcheck.com (qui teste par défaut www.example.com et example.com je crois ).

testssl.sh www.logaton.fr
...
 Testing server defaults (Server Hello) 

 TLS extensions (standard)    "renegotiation info/#65281" "server name/#0" "EC point formats/#11" "next protocol/#13172" "supported versions/#43" "key share/#51" "supported_groups/#10" "max fragment length/#1"
                              "application layer protocol negotiation/#16" "extended master secret/#23"
 Session Ticket RFC 5077 hint no -- no lifetime advertised
 SSL Session ID support       yes
 Session Resumption           Tickets no, ID: yes
 TLS clock skew               Random values, no fingerprinting possible 
 Certificate Compression      none
 Client Authentication        none
 Signature Algorithm          SHA256 with RSA
 Server key size              RSA 2048 bits (exponent is 65537)
 Server key usage             Digital Signature, Non Repudiation, Key Encipherment
 Server extended key usage    --
 Serial                       BDCFE9EE41FDE5C0D06EB66C3A0F6BEF729F46 (OK: length 19)
 Fingerprints                 SHA1 ED6C0CB9E834B21B06BDB0D7791C01E254101CF7
                              SHA256 0712500F49D52FBE3189E99409FF3586BE1B7E2E2A6A24753BDE27774117089E
 Common Name (CN)             yunohost.org 
 subjectAltName (SAN)         yunohost.org www.yunohost.org ns.yunohost.org xmpp-upload.yunohost.org 
 Trust (hostname)             certificate does not match supplied URI (same w/o SNI)
 Chain of trust               NOT ok (chain incomplete)
 EV cert (experimental)       no 
 Certificate Validity (UTC)   726 >= 60 days (2022-09-02 00:33 --> 2024-09-01 00:33)
                              > 398 days issued after 2020/09/01 is too long
 ETS/"eTLS", visibility info  not present
 Certificate Revocation List  --
 OCSP URI                     --
                              NOT ok -- neither CRL nor OCSP URI provided
 OCSP stapling                not offered
 OCSP must staple extension   --
 DNS CAA RR (experimental)    available - please check for match with "Issuer" below: issue=letsencrypt.org
 Certificate Transparency     --
 Certificates provided        1
 Issuer                       yunohost.org (yunohost)
 Intermediate Bad OCSP (exp.) Ok

Enfin, tu peux activer DNSSEC sur ton domaine avec Gandi et en un clic. Ce qui est une bonne pratique qui ne mange pas de pain.

1 Like

je n’ai effectivement pas créer manuellement de sous-domaine www.logaton.fr
Je vérifie si ça améliore le bouzin. Merci !

J’apprécie également les outils cryptpad. Mais êtes-vous sûr de la prochaine déclaration ? :smiley:

vaste débat. Mais mes capacités de détection sont en tout cas limitées par le chiffrement. Et ce chiffrement limite l’exposition de données personnelles (ce qui est un objectif du RGPD). Vive le chiffrement.

Pour le soucis avec mobilizon, je pense que c’est parce que cryptpad dépend de onlyoffice et qu’il ya un conflit entre onlyoffice et mobilizon.

https://wiki.arn-fai.net/benevoles:technique:yunohost_mutu#conflit_apt_entre_mobilizon_et_onlyoffice

1 Like