Conference
1 month(s) ago
« Think the technology » : Intervention of Maxime Guedj
Our first conference of the school year
Sur cette page seront répertoriés, pour des raisons de transparence, des détails techniques internes à l'association en relation avec nos services.
(Cette page sera restructurée et mise à jour lorsque notre temps nous le permettra)
Notre infrastructure est encore très récente et il nous faudra du temps pour la stabiliser et éliminer ses potentiels bugs.
Nous vous prions de faire preuve de tolérance sur nos débuts et de signaler tout bug via notre formulaire de contact.
Toute interruption de service d'une durée supérieure à 10 minutes sera planifiée et annoncée dans un premier temps sur Mastodon.
Proxy DoH : OK
Raccourcisseur de liens : OK
Schémas : OK
Nitter : OK
Espace adhérent et gestion des emails/alias : OK
Service Git : OK
Du 25 janvier au 25 juillet 2019, nous étions hébergés chez OVH SAS avec l'offre VPS SSD 1 à 3.59 euros TTC (article expliquant ce choix).
Depuis le 25 juillet 2019, nous sommes gracieusement hébergés chez Proxgroup pour une durée indéterminée.
Nous avons aussi fait acquisition d'un nom de domaine (42l.fr) pour une durée d'un an depuis le 25 janvier 2019 auprès d'OVH.
Cette section listera toutes les requêtes concernant les données personnelles de nos utilisateurs (ex: divulgation d'informations, blocage ou suppression de comptes) auxquelles nous avons dû répondre pour des raisons légales.
Nous nous limiterons cependant aux informations que nous sommes légalement autorisés à publier.
À ce jour, l'association 42l n'a reçu aucune requête correspondant à ces critères.
Nous essayons d'anonymiser le plus possible toutes les données de nos adhérents.
Les noms d'utilisateur sont stockées sous forme de hash cryptographique.
Les mots de passe sont hachés par bcrypt (avec un coût de 10, que nous augmenterons dès que disposerons d'un serveur plus performant)
Les adresses email sont stockés de deux manières : sous forme de hash cryptographique (afin de permettre aux utilisateurs de récupérer leur mot de passe) et par chiffrement asymétrique avec une clé publique RSA (afin que nous puissions envoyer les confirmations d'adhésion ainsi que des newsletters aux utilisateurs ayant explicitement accepté d'en recevoir). La clé privée n'est pas stockée sur le serveur.
Toutes les opérations impliquant des fonctions de hachage utilisent au moins un sel statique stocké sur le serveur. Les mots de passe utilisent le sel dynamique de bcrypt.
L'association 42l utilise un CMS libre (licence AGPLv3) de gestion d'association nommé Garradin, principalement maintenu par BohwaZ.
Pour des raisons de sécurité, l'instance de Garradin est installée sur un serveur local n'ayant aucune connexion avec le serveur hébergeant nos services.
Nous travaillons sur la mise en place d'un rsync
régulier sur les volumes Docker contenant des données personnelles et des fichiers de configuration.
Cette section détaille la configuration déployée sur l'hôte. Pour des raisons de sécurité, les noms internes des conteneurs et des services donnés dans ce document peuvent ne pas correspondre aux noms réels.
Quelques informations manquent encore, veuillez nous en excuser et n'hésitez pas à nous solliciter pour toute question.
Le serveur tourne sous Debian Buster.
Considérez que nous disposons de tous les paquets préinstallés sur une installation minimale.
Le compte root
est désactivé. Seul un compte utilisateur est autorisé à se connecter via SSH.
Une clé est requise pour la connexion via SSH.
Les ports ouverts sont protégés par des dispostifs anti-spam pour lutter contre le déni de service et les attaques par force brute.
Nous essayons de nous plier aux standards de sécurité avec SSLLabs, CryptCheck et en incorporant des headers supplémentaires dans nos réponses HTTP.
Des mises à jour automatiques sont effectuées sur une base régulière à l'aide de unattended-upgrades
.
Autorité : Let's Encrypt
DNSSEC est activé sur notre domaine.
Nous utilisons des enregistrements SSHFP afin de nous assurer de l'authenticité de la clé publique SSH de notre serveur.
Nous utilisons un certificat wildcard.
Il est renouvelé périodiquement et automatiquement avec l'image certbot/dns-ovh
, qui utilise l'API d'OVH pour authentifier le nom de domaine.
alpine
avec le paquet nginx installé dessus, plus léger que l'image nginx:alpine
tvial/docker-mailserver
adaptée à nos besoins (modification de certains paramètres de configuration, ajout de paquets et mises à jour) afin de permettre l'interaction entre ce conteneur et le site web, depuis lequel les adhérents gèrent leurs comptes email. Cette image utilise une panoplie d'outils libres, notamment postfix et dovecot.debian:buster-slim
, fait tourner Rocket avec quelques paquets supplémentaires pour assurer la connexion avec le conteneur de mails.tomcat:9-jre8-alpine
et le dockerfile fjudith/draw.io
auquel nous avons retiré le support TLS, puisque nous utilisons le service à travers un reverse proxy. Cette image est plus légère que l'image officielle.openssl
et libsqlite3-0
pour les besoins de l'instance.libsqlite3-0
pour les besoins de l'instance.rs-short
Nom | Sous-domaine | RAM moyenne | Image |
---|---|---|---|
Reverse proxy nginx | *.42l.fr | 3 Mo | nginx-proxy |
Site principal | 42l.fr, www.42l.fr | 5 Mo | site-web |
BDD PostgreSQL | - | 8 Mo | postgres:alpine |
Fail2ban | - | 20 Mo | crazymax/fail2ban |
Service mail | mail.42l.fr | 250 Mo | docker-mailserver-fixed |
Proxy DoH | doh.42l.fr | 24 Mo | debian:buster-slim |
Cache DoH | - | 53 Mo | debian:buster-slim |
Service Liens | s.42l.fr | 8 Mo | rs-short |
Schémas | draw.42l.fr | 120 Mo | schemas |
Nitter | nitter.42l.fr | 45 Mo | nitter |
Git | git.42l.fr | 45 Mo | gitea/gitea |
Nextcloud | nextcloud.42l.fr | 130 Mo | nextcloud:apache |
debian:buster-slim
.Conference
1 month(s) ago
« Think the technology » : Intervention of Maxime Guedj
Our first conference of the school year
Information
2 month(s) ago
A new school year starts for 42l!
Brace yourselves, BigBlueButton is coming...
Information
4 month(s) ago
Introducing 42l Forms and summary on our situation
What are we going to do for this new year?
Services
6 month(s) ago
UX rework, online sale and new features for the mail service!
Summary of our last activities