Bonjour à tous,
Ce matin j'ai été confronté à problème "d'infra" et j'ai eu une prise de conscience, du coups petit tour sur mon forum préféré pour avoir votre retour d'expérience en entreprise (j'insiste en entreprise et non en bricolage à la maison ;) ).
Contexte :
7h15 j'arrive tout détendu du… weekend et je découvre que la baie serveur est off. Petite inspection physique côté arrivé électrique, pas de problème. Je remonte jusqu'à l'onduleur et je découvre qu'il est tombé en marche dans son processus de reboot. Bref j'arrive à le remettre en charge et rebooter l'ensemble.
Petit à petit le réseau revient puis les serveurs mais forcément c'est le début de semaine et tout ne redémarre pas correctement et je dois me connecter aux hyperviseurs. Voilà le contexte est posé et passons à la prise de conscience.
Tout d'un coups je me rends compte d'un point faible : comment faire si je perd la mémoire ? Car oui j'ai beaucoup de truc en tête (certaines ip ou mots de passes…). Dernièrement j'ai mis en place un gestionnaire de mot de passe mais pas de chance il est sur l'infra qui était off. Donc pas d'infra, pas de mots de passes. Pareil si tout ceci était sur une solution dédié (glpi ou un pauvre tableur stocké sur un serveur).
Maintenant la question : comment rendre toutes ces informations accessible à un autre membre de l'entreprise tout en alliant maintenabilité et sécurité ?
Merci pour vos lumières.
# considérer la base de connaissance technique comme une infra critique ...
Posté par totof2000 . Évalué à 4. Dernière modification le 09 mai 2023 à 12:02.
… et la traiter comme telle.
En gros, ça veut dire la faire tourner sur une infra indépendante de ton infra actuelle (pas une VM sur les mêmes hyperviseurs, peut-être même un serveur dédié - ou chez un prestataire externe - mais attention aux SLA) que tu répliques sur un autre site. Et tout ce qui est nécessaire à l'accès à la doc (authentification, SSO, etc) doitr être géré de la même façon.
Après il faut penser à la doc de remise en service du service de gestion de doc technique :) Mais si les choses sont bien faites, il y aura peu d'informations à partager entre vous (dossier partagé sur un serveur bureautique, ou repo GIT, synchronisé régulièrement vers les postes de travail des collaborateurs ?
[^] # Re: considérer la base de connaissance technique comme une infra critique ...
Posté par Philippe M (site web personnel) . Évalué à 3.
J'y ai bien pensé mais c'est trop lourd pour notre petite structure.
C'est le serpent qui se mord la queue…
L'idée d'un espace de stockage accessible uniquement au service info synchronisé régulièrement est pas mal. Il faut croire que c'était trop simple :)
Merci de tes suggestions.
Born to Kill EndUser !
# retex retex retex
Posté par rycks . Évalué à 8.
C'est pour ça qu'il faut des anciens, qui ont de l'expérience ou des expériences.
Quelques pistes en vrac pour répondre à la question de la doc:
Chez nous depuis longtemps la doc est rédigée dans un dokuwiki lequel a la bonne idée de tout avoir sous forme de fichiers plats, résultat un coup de rsync + gpg et toutes les archives sont sur [mettez ici ce que vous voulez] …
Dans la procédure mensuelle : vérifier la date de la doc, imprimer une nouvelle version si besoin, vérifier les piles, charger la batterie etc.
Ça rejoint rapidement un truc de dingue qui porte le nom magique de PRA…
eric.linuxfr@sud-ouest.org
[^] # Re: retex retex retex
Posté par totof2000 . Évalué à 4.
Pour les mots de passe, soit le faire à la "old school" avec un stockage en coffre (mais la encore il faut gérer les accès du coffre), soit les mettre dans un fichier ou gestionnaire de secret (et là aussi il faut gérer les accès au fichier) … On peut envisager également d'utiliser des couples clé publiques/clés privées plutôt que les mots de passe pour pouvoir se connecter via ssh et redémarrer des services.
J'ajouterais également la gestion de la validité des mots de passes des sereurs/services "critiques" (avec changements réguliers), ou gestion des clés publiques sur les comptes de connection (gérer les clés des personnes qui entrent/sortent des effectifs de la boite).
[^] # Re: retex retex retex
Posté par cg . Évalué à 4.
Pareil : la doc imprimée (Redmine permet d'imprimer tout le wiki d'un seul clic), et chaque câbles et fibres étiquetées aux deux extrémités.
C'est pas bête le coup de la lampe de poche !
# euh..
Posté par tkr . Évalué à 2.
c'est amusant, c'est un sujet assez sensible…
mon voisin a perdu son disque dur externe, sa sauvegarde keepass était dessus
son pc portable a eu un probleme de disque dur, qui s'allumait plus
que faire pour récupérer ses passwords si le gestionnaire de mdp n'est plus accessible?
pour moi la réponse est simple :
je n'utilise aucun gestionnaire de mdp, j'en utiliserai jamais
le gestionnaire de mdp est aux comptes numériques, ce que le tel portable est aux banques : une dépendance non souhaitée.
c'est peut etre "mal penser" en contexte cybersécu, mais dépendre d'un tiers au lieu de ma simple personne physique, me met mal à l'aise avec l'idée
[^] # Re: euh..
Posté par totof2000 . Évalué à 5.
Dans ce cas il ne faut pas forcément se passer d'un gestionnaire de mots de passe, mais s'assurer, comme toute sauvegarde, que celle-ci est dupliquée suffisamment, et s'assurer que les sauvegardes sont bien lisibles.
dépendre d'une seule personne physique dans un contexte pro est plus mal que de dépendre d'un tiers ( accident, décès, vacances, indiqponibilité …). Dépendre d'un tiers n'est pas un mal en soi, il faut juste bien le choisir.
[^] # Re: euh..
Posté par Philippe M (site web personnel) . Évalué à 3.
Cela marche pour un usage perso.
Mais quand tu es dans une équipe de x personnes et des partenaires extérieur gérant toute une infra c'est pas la même chose.
Il faut que l'information soit disponible au bon moment, à jour et sécurisé car extrêmement critique.
Born to Kill EndUser !
[^] # Re: euh..
Posté par Philippe M (site web personnel) . Évalué à 5.
J'ajoute que le gestionnaire de mots de passes est important car il permet de s'affranchir de retenir les mots de passes et du coups de ne pas utiliser le même mdp par commodité (et manque de mémoire) pour plusieurs services. C'est encore plus efficace si tu utilise des mots de passes générés aléatoirement.
Born to Kill EndUser !
# Copie locale
Posté par lolop (site web personnel) . Évalué à 3.
Pour l'infra dans mon labo la doc est dans un dokuwiki, je fais régulièrement un rsync des données de celui-ci, et j'ai un docker qui me permet de lancer localement le dokuwiki avec la doc.
Concernant les mots de passes, du keepasscx… et une copie locale régulière du fichier.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.