IT/Protokolle/2013-09-09
An alle Teilnehmer der Bundes IT Sitzung:
Jeder Teilnehmer schaltet sich bitte Stumm (Am Telefon: *1) Im TO Punkt "Sonstiges" erhalten auch Gäste die Möglichkeit eigene Punkte einzubringen. Mitglieder der BundesIT schalten sich ebenfalls Stumm Jedes Mitglied hat die Möglichkeit bevor ein TO Punkt geschlossen wird seine Punkte dazu zu plazieren. Der TO Bereich "Berichte der Teams und Projekte" wird zu Beginn der Sitzung von den entsprechenden Teams gefüllt, wenn sie zu Ihren Projekten und Teamaufgaben etwas vorstellen möchten. Hinweis für unsere Gäste: Wir würden uns freuen wenn sich Gäste ebenfalls im unter dem Punkt "Anwesenheit" mit eintragen würden. Dort gibt es einen Bereich "Gäste".
- Einwahl via Mumble:
- Server: mumble.piratenpartei-nrw.de
- Raum: "Zweig der innerparteiliche Arbeit" -> "Bund" -> "da IT" -> "BundesIT Telko"
- Einwahl via Hessenasterisk:
- Festnetz: 069 175 36 743 (Sipgate)
- sip:500@sip.piratenpartei-hessen.de
- Raum: 9002#
- Uhrzeit: 2100 CET oder CEST
Als Gast bitte selber stummschalten, solange man nichts sagen möchte, um unnötige Hintergrundgeräusche zu reduzieren. Falls das eigene Telefon dafür keine Funktion bietet, ist dies auch mittels der Tastenkombination *1
möglich. Mit derselben kann man sich auch wieder auf laut stellen.
Ebenso sollte die Verwendung von Freisprechfunktionen vermieden werden, da diese Echos erzeugen.
Innerhalb der Konferenz kann man mit der *-Taste ein Menü abrufen. Die Menübefehle sind im Einzelnen:
- 1 schaltet das eigenen Mikrofon stumm oder wieder aktiv
- 4444448 stellt den eigenen Lautsprecher leiser
- 6666668 stellt den eigenen Lautsprecher lauter
- 7777778 dämpft das eigene Mikrofon
- 9999998 verstärkt das eigene Mikrofon
Inhaltsverzeichnis
- 1 Bundes IT Sitzung vom 09.09.2013
- 1.1 Versammlungsort
- 1.2 Tagesordnung
- 1.3 Begrüßung
- 1.4 Neue Mitglieder
- 1.5 Neues der Sprecher
- 1.6 Berichte der Teams und Projekte
- 1.7 Changes bis zur nächsten TelKo
- 1.8 Sonstige Berichte der Teams und Projekte
- 1.9 OTRS
- 1.10 Piratenpad
- 1.11 ID-Server
- 1.12 Proxy-cluster extern
- 1.13 SSL
- 1.14 Datenschutzschulungen
- 1.15 Doku
- 1.16 BundesIT Blog
- 1.17 weiteres
Bundes IT Sitzung vom 09.09.2013
Versammlungsort
HE:Telefonkonferenz (069 17536743), Raum 9002#
Tagesordnung
- TOP 1 - Begrüßung
- TOP 2 - Neue Mitglieder
- TOP 3 - Neues der Sprecher
- TOP 4 - Berichte der Teams u Projekte
- TOP 5 - Changes bis zur nächsten TelKo
- TOP 6 - Sonstiges
- Beginn 21
- 15 Uhr
- Ende
- 22:24 Uhr
- Sitzungsleiter
- Jamasi
- Protokollführer
- gemeinsam
- Nächstes Treffen
- 23.09.2013
Anwesenheit
- [Benutzer:tbe|Thomas "tbe" Berger]
- Stefanie "Steffi" Schöllhammer
- Michael
- Jamasi
- Stefan "Gared" Müller (nur im Pad)
Entschuldigt
Gäste
Begrüßung
Neue Mitglieder
Igor Lankin, igor _@_ lankin.de
- Aus Karlsruhe, Senior Software Entwickler bei der 1&1 Internet AG
- http://www.xing.com/profile/Igor_Lankin
- Ich bin Softwareentwickler, kann aber auch zur Administration/Automatisierung beitragen. Linux, Bash, Puppet-Grundlagen sind auf jeden Fall vorhanden ;)
- Sprachen: PHP, C#, Java, Ruby, HTML/CSS, Javascript/CoffeeScript
- Ich bin bis zum 19.09. im Urlaub :)
- http://wiki.piratenpartei.de/Benutzer:Iigorr
Mentor: Ike
Dafür:
- [Benutzer:tbe|Thomas "tbe" Berger]
- Stefanie "Steffi" Schöllhammer
- Jamasi
Dagegen
Enthaltung
Neues der Sprecher
- Stellenausschreibung IT-Support (50%Bund / 50%BE)
Berichte der Teams und Projekte
- Sven: aktuelles zum DSV-Verfahren: http://wiki.piratenpartei.de/Verwaltungssoftware/CRM/D_Datenschutzverpflichtungen
- Die Daten, wer welche DSV abgegeben hat, sind jetzt im Sage
- Wir (per Steffi/Sven) können die bald (ca. September) abfragen (Yippie!)
- Steffi wartet noch auf Zugang, voraussichtlich spätestens nächste Woche
Infrastruktur
- Storage steht und läuft stabil.
Aktuell: Update oder Austausch der Virtualisierungslösung voraussichtlich mit downtime wegen Storage Einbau.
- Update und Austausch der Virt-Lösung ist wegen Wahlkampf/Zeitmangel liegen geblieben
- IPv4/v6 dual stack falls möglich
- IPv6 noch nicht depolyed
- Gecko hat den neuen Mailserver vorbereitet (neues Debian + dovecot).
- sollte soweit fertig sein
- Test-Systeme für PAD Server sind übergeben
- Nach der Installation der PAD Software wird ein Template für die neuen Produktivsysteme angelegt
- Erstes Template für etherpad-lite ist erstellt
- Migrationsplanung steht noch
- Chrit installiert einen neuen Static-Updater, nachdem die wichtigeren Sachen erledigt sind
- XVP für Reboot und Konsolen-Zugriff auf VMs durch verantwortliche eingerichtet
- Zugangsdaten werden verteilt, sobald bedarf besteht
- Netztrennung: NFS-Netzwerk auf XenServer Pools eingerichtet
- Kommunikation nur zwischen VMs und NFS-Storage möglich, keine Verbindung zwischen VMs
- Twinax zu 8/8 da (Update 19.8)
- 7/8 sind seit 17.8. installiert
- Notwendig für 10GBit Anbindung
- nichts neues
Status Storage
- Aufräumaktion wird bei Migration aufs neue Storage fertig gestellt
- Kann hoffentlich noch vor der Wahl beginnen
- Mail migriert, Webservice folgt
- nichts neues
- Migration E-Mail Storage vollständig
- Mailman steht aus
- Neuaufbau E-Mail Server in Arbeit
- Platz wird eng (Mailarchive vom Mailman) (21.8 +8GB)
- Austausch sollte möglich sein, am besten nachts am Wochende testen.
Web
- Aufbau von web MW/FE 05/06 Start in Kürze
- wurden aufgebaut
- Apache Traffic Server wird aktuell getestet (noch intern, dann am Pad).
- Tester für Varnish wird noch gesucht.
- wir brauchen Verstärkung!
Wiki
- Update Mediawiki Zeitplan?
- wird auf neuer infrastruktur (wiki03) hochgezogen.
- deadline für update mit allen erweiterungen (danach update ohne beta- und experimentelle-erweiterungen)
- deadline: ende Oktober
- Geplant: September/Oktober (je nachdem, wie gut die Tests laufen)
- Vergleichstest apache/nginx durchführen
- keine Zeit dafür gehabt. Hilfe beim Testen willkommen
- int-wiki wurde aktualisiert und funktioniert
- plan fuer security-update
- evtl. gleich nach der Telko
- plan fuer security-update
- wir brauchen trotzdem noch ein script, was user (+deren edits/userpages) löscht.
- Meldung aus der IT? (evtl. Iigorr)
Datenbanken
- Wir suchen jemanden, der hier hilft (MySQL) und nicht core ist. (gefunden: Warten auf Rückmeldung von BGS wegen Felix DSV) - falls keine Rückmeldung, Verweis an Sven, der ihn belehren wird als verantwortliche Stelle. - Gibt da leider das kleine Problem das Felix erst am 26.09 18 wird. Felix bitte mal Sven kontaktieren.
- Laufen stabil (auf altem System, wo sie auch bleiben sollen, aber mehr Platz brauchen)
- Migration der Virtualisierungsumgebung wegen Ressourcen etwas problematisch
Changes bis zur nächsten TelKo
- alle neuen Systeme stabil einsatzbereit machen.
- (evt. Migration des Mailservers)
- evt. Migration Mailman
- Patches müssen noch für Debian7 angepasst werden.
- weitere Proxmox hosts auf Citrix XenServer migrieren
- neues Testwiki
Sonstige Berichte der Teams und Projekte
Monitoring
- Neuaufbau: Log-Server, Nagios/Icinga
- Valentin hat erste "beta" des Servers eingerichtet
Backup System
- Neues Bacula basierendes Backup System eingerichtet
- In Zukunft keine Image-Level Backups mehr
- Crypted Backups möglich
- Wer vor der Migration seiner Systeme bereits Bedarf für ein Backup mit Bacula hat, bitte bei tbe melden
- Status-Page ( nur intern erreichbar! ) http://10.11.18.9/bacula-web/
Verfahrensrichtlinien
- Sven braucht dringend von Seiten der IT jemanden, der mit ihm die Verfahrensrichtlinien angeht. Freiwillige???
- Steffi (als Verteiler) evtl. Chaotika?
- https://it.piratenpad.de/78
Berechtigungen
- Idee: Aktive weiter auch in Systempflege einarbeiten und einbinden
- Ziel: Leute müssen nicht unbedingt auf neue Systeme warten
- Beispiel: gecko soll wieder sudo kriegen um ordentlich arbeiten zu können
- tbe benötigt aktuelle Liste der Mitarbeiter mit Zugriffsberechtigungen
- https://it.piratenpad.de/migration-todo-tbe ab Zeile 8
OTRS
- Stand altes OTRS?
- DB ist eingespielt, Apache muss noch fertig konfiguriert werden. perl-pakete (markus)
- Verantwortlicher (=???) nicht da, altes OTRS läuft nicht
- DB ist eingespielt, Apache muss noch fertig konfiguriert werden. perl-pakete (markus)
- Auto-Replies Ticket:
- scheinen zu laufen.
- spammails direkt rejecten und keine Tickets+Autoreply erzeugen!
- Problem besteht noch
- Gesperrte Tickets sollten nach Zeit X wieder freigegeben werden.
- X= immer um 6 Uhr
Checklisten nach Störung/Wartung
- nagios/icinga (neu aufzubauen)
- Zusätzlich: dedizierter Log-Server
- auf neuer Hardware
Change-Management benötigt. Fallout beachten
- Grundkonfiguration Change Mangement
- Last Changes im MOTD wie mail
- Anleitung dafür ins Dokuwiki
- /etc/ ins git + gitlab + tripwire?
- Configänderungen nur via puppet-master + git?
- auf neuer Hardware
- Wer fühlt sich verantwortlich und kann das voranbringen?
- Roots
Piratenpad
- EP Lite läuft so weit
- EP-Server läuft auch; Template wurde erstellt
- Aus den Templates werden in nächster Zeit die produktiven Server erstellt
- Archivierung von Pads steht aus
- ist funktionsfähig und kann produktiv geschalten werden
- Archivierte Pads werden direkt auf dem Server gespeichert und gebackuped
- webspace für piratenpad startseite (statisch)
- auf webinfrastruktur wurde mir ein ftp-zugang versprochen...
- Etherpad Groups Ansprechpartner: lebrinkma (ät) gmail.com
- altes Etherpad läuft jetzt weitestgehend nur noch mit HTTPS (außer Export-Links)
ID-Server
- Status-Tracking über https://it.piratenpad.de/PiratenID
- Export-Server ist noch nicht fertig gestellt s.o.
- Jan Schejbal fragt bei Markus nach Ergebnis:
- Markus wartet auf die VM. Falls diese existiert die Zugangsdaten bitte dringend an Markus schicken.
- https://github.com/janschejbal/piratenid/blob/master/export/README.txt#L136
- Etwas RAM (ca. 2.5x soviel wie nötig ist um die ganzen PiratenID-Daten im Speicher zu halten, ggf. Swap), ansonsten sehr anspruchslos
- Volle Krypto
- Jan Schejbal fragt bei Markus nach Ergebnis:
- DSB will fertiges System vor Inbetriebnahme abnehmen
- Status CRM ist fertig, warten auf Server-Infos an Hendrik
- Export-Server ist noch nicht fertig gestellt s.o.
- Wer kann Hendrik kontaktieren und nach einem Stand fragen?
Proxy-cluster extern
- Planung des Aufbaus läuft
- Finden geeigeter externer Server: Liste?
- NRW hat mitgeteilt man würde helfen
- Div. "private" Piraten würden / Frage Daschu/IPs
- Geeignete Software präzisieren
- apache traffic server
- cdn images/dateien
- Ausführende:
- bmstettin/tbe
- Wenn die neue Infrastruktur fertig/nutzbar ist
- Akutes Manpower-Problem!
SSL
- WICHTIG: SSL für bestimmte Seiten erzwingen (siehe Mail auf tech-hq)
- Bezüglich Ciphersuites, config etc. sollten wir die SSLlabs best practices umsetzen, inkl. "Forward Secrecy"
- Darauf und auf anderen Quellen basierender Vorschlag von Jan Schejbal: https://jan.piratenpad.de/ciphers
- Aktuelle Versionen der Serversoftware nötig (pound -> ATS, nach der Wahl)
- Mixed Content auf piratenpartei.de (im Theme!)
- scheint behoben zu sein
- SSL/TLS bei eingehenden Mails: Wird unterstützt
- SSL/TLS bei ausgehenden Mails: Sollte nach dem neuen Konzept präferiert sein, dann testen mit: http://www.checktls.com/perl/TestSender.pl
SSL-Zertifikate
- StartSSL-Validation für Corp ist ausgelaufen, müsste erneuert werden
- Info was für den renew gebraucht wird liegen seit heute vor (26.8.)
- nix neues
OCSP
Es gibt/gab Probleme mit OCSP - ab und zu kommt eine "unknown"-Response, die bei Firefox zu einer Fehlermeldung führt. Aktuell nicht reproduzierbar, hoffentlich behoben. Fehler liegt eindeutig am Responder von StartSSL, nichts was wir tun könnten. Sollte es wieder passieren, muss derjenige, der den Kontakt mit StartSSL abwickelt (=chrit), sich an certmaster [at] startcom [dot] org wenden. Debug mit OpenSSL:
openssl ocsp -text -issuer intermediate.pem -url http://ocsp.startssl.com/sub/class2/server/ca -header "HOST" "ocsp.startssl.com" -CAfile root-und-intermediate.pem -VAfile root-und-intermediate.pem -cert unser-zertifikat.pem -respout output-response.ocsp
"Response verify OK" sollte bei korrekter Eingabe IMMER auftauchen. Worum es geht ist ob "good" oder "unknown" hinter "unser-zertifikat.pem" auftaucht (die output-response.ocsp einer solchen "unknown"-Antwort ggf. dem Certmaster schicken, könnte helfen den kaputten Responder zu finden)
Datenschutzschulungen
Doku
- immerwährende Aufgabe (es gibt da immer etwas zu verbessern, also ran an die Doku)
- Vorschläge zur Vereinfachung/Aufarbeitung?
Helfer
Wer mithelfen will und nicht recht weiß, was gemacht werden soll/kann. Bitte nachhaken.
BundesIT Blog
- evt. kleiner Blog im Piraten-Kleider Layout, oder einem anderen Theme
- regelmäßig neues aus dem Maschienenraum
- übersichtlichere Ankündungen von Maintaince usw.
alt: https://wiki.piratenpartei.de/IT/Blog
weiteres
- BPT Bremen - FeWo --> siehe ML