16 views
Adminathon 2024-08-14 ===================== :::info Von 19:03 Uhr bis 20:17 Uhr Pad: https://md.ha.si/2024-08-14-labor-Adminathon# ::: Themen ------ ### GameJam im Labor * Verwiesen vom Bootstrap * Deadline: Im Oktober (21.10.-27.10.) * Anfrage CodingChris: Website für Einreichungen der Projekte - können hier ggf. die Labor-Admins helfen und da was basteln? Eventuell eine Lösung via pretalx? * Was benötigen wir hier genau? * CodingChris: "Primär muss man einen Titel, kleine Beschreibung, paar Tags (Genre, etc.) eingeben und dann eine ZIP mit seinem Game hochladen." * [ ] NextCloud mit evt. Formular könnte eine Idee sein. NextCloud -> App install -> Forms. Mythozz schaut sich das mal an. -> Zunächst ist ein NextCloud-Upgrade notwendig * Datei-Upload kommt bald: https://github.com/nextcloud/forms/pull/2040 (im nächsten Forms-Update) -> Eine neue Version steht noch nicht zur Verfügung. -> Eine Alpha-Version der nächsten Version steht zur Verfügung. -> Wir stellen uns als Alpha/Beta-Tester zur Verfügung. * https://github.com/nextcloud/forms/tags ### Software Development User Group - 2. Samstag im Monat, ab September, Ansprechpartner: CodingChris - mdbooks wird als Dokumentation benötigt - GitHub-Pages aus dem GitHub-Laborspace können hier verwendet werden (sonst Codeberg pages) - CodingChris informieren (Mythozz) ### Diskspace-Alerting * ca. am 08.06. ist das Volume vom Mailserver voll gewesen. Ist zwei Tage später erst aufgefallen, da wir noch kein Alerting eingerichtet haben. * [ ] Reporting soll eingerichtet werden (Alarm ab 80 % bis 90 %) * Via Prometheus-Alerting (kilobyte22) * :) ### Ansible - NetSysFire: "ich habe vor unsere ansible common role mit meiner eigenen base_server role zu mergen. momentan ist das einzige was common macht ein paar pakete zu installieren. mein base_server macht sehr, sehr viel mehr. von user management, was ein wanted feature ist hab ich so raus gehört, zu sshd hardening, firewall, diverse customizations (informativeres tty banner, bashrc und vimrc die mehr sinn machen u.a)." - User-Management (via SSH User Group) - [ ] Firewall (alles außer ssh port wäre zu by default, man muss rules schreiben) - Möchten wir einen dedizierten Ansible-User haben? - Eine gemeinsame Ansible-Session soll stattfinden (NetSysFire, 1o11, fridtjof, kilobyte22) ansible common role - Hat stattgefunden. An der Firewall wurde gebastelt. - Im nächsten Schritt sollen alle offenen Punkte durchgegangen werden. - :) :) #### Zugriff - Wie sind hier die Zugriffe geregelt, um einen Account zu erhalten? - Soll noch nicht ins On-/Offboarding-Formular aufgenommen werden, bis die Umsetzung von SSO abgeschlossen wurde. - :) ### Laborvideos - Die Laborvideos belegen aktuell 7 GB Speicherplatz. In die NextCloud oder auf media.ccc.de verschieben - https://wiki.das-labor.org/w/Videoliste - [ ] Links fixen (fridtjof) - :) :) :) :) :) - [ ] Wir holen die Einwilligungen der Speaker:innen ein, ob die Videos - a) auf media.ccc.de veröffentlicht werden dürfen oder - b) nur auf das-labor.org - Butterkeks - Spalte der "Zustimmung" soll der Videoliste hinzugefügt werden - Die bisherigen Leute sollen nicht alle angeschrieben, sondern nur bei Kontakt angesprochen werden - :) :) ### Matrix - Offener PR: [Change matrix auto join room to space](https://github.com/das-labor/infrastructure/pull/6) - kilo und Mythozz haben gereviewed - Der Mitglieder-Space ist invite only, hier funktioniert das nicht. Public geht dagegen. #### Moderation - Sobald technische Details notwendig werden, ist dieser Punkt wieder relevant - [ ] fridtjof erstellt den Bot. (https://github.com/the-draupnir-project/Draupnir) - :) :) :) :) :) :) :) ### Datenschutz - Die IP-Adressen, Logs werden auf dem Server für unbestimmte Zeit geloggt, was nicht DSGVO-Konform ist. Es stellt sich die Frage, ob wir überhaupt diese Datenspeicherung benötigen. - Siehe https://wiki.das-labor.org/w/LaborWiki:Datenschutz - Webserver-logs gibt es keine - Einzelne Anwendungen haben aber auch logs - (non exhaustive) - Matrix - Pretix? - Mailman - .... - Mete hat auch sehr lange Debug-Logs - [ ] Matrix-Logging soll optimiert werden - fridtjof und 1o11 schauen sich das an - Ist ein:e Datenschutzbeauftrage:r erforderlich? Falls ja, ist diese:r auf der Webseite aufzuführen. - Via nginx für die Webseite - :) :) :) :) :) :) :) :) :) ### flickr - Rückmeldung lambda: >"Ich hab tatsächlich den Account wiederbekommen. Die Gruppe habe ich umbenannt und das Labor Logo und den Hinweis auf „Bochums Hackerspace“ aus der Beschreibung entfernt. Ich sehe keinen Grund, die Gruppe zu löschen. Die Fotos könnt ihr genauso gut oder schlecht wie ich über flickr runterladen." - [ ] Flickr-Bilder herunterladen und über NextCloud bereitstellen (Mythozz) - :) :) :) ### Labortelefon - 1 Telefon hängt jetzt im Keller. TODO: - [ ] Setup externe Nummer im Keller - [ ] Interaktionen miteinander testen - [ ] Intercom-Funktion - :) :) :) :) :) :) ### Status Server-Umzug - Seit dem Umzug fehlen noch: - etwas mehr deployment-automation (webserver) - Immer noch TODO. Hauptsächlich aufnahme der Dockersetups ins Ansible-Deployment - Backups: Borgmatic auf Hetzner Storagebox - 1 Subaccount pro Server (Segmentierung Schreibzugriff) - Ansible-Rolle wird weiterentwickelt - Gibt jetzt Borgmatic 2; sollte verwendet werden - Monitoring ist auch geplant (prometheus-grafana) - grob umgesetzt (node-exporter auf jedem host) (kilobyte22) - Das Alerting zum Monitoring fehlt noch - hat jetzt einen spamfilter, scheint relativ zu funktionieren - ist aktuell sehr gnadenvoll eingestellt, um im Zweifel Mails hereinzulassen - Allerdings: - Generell Logs näher beobachten. - https://github.com/google/mtail ist dafür praktisch - [ ] Outlook sollte getestet werden. Testaccounts bei Anbietern generell? - :) :) :) :) :) :) :) :) :) :) :) :) - Bei uns landen ab und zu ML-Mails bei Laborpostfächern im Spamordner - [ ] Nutzung von podman für die Container? (1o11 und fridtjof) - 1o11 hat ein paar Testapplikationen ### Lokale Infrastruktur - KVM - der Tunnel ist aber erneut nicht erreichbar. -> kilobyte22 schaut sich das zusammen mit NetSysFire weiterhin an - Ideen Sammlung (externes Pad): https://md.ha.si/VqpS6R27RNe6r0XFmrpYtQ# - Netzwerk - [ ] kilobyte22 erstellt ein Konzept für neue dezentrale Switche (in Lounge und Bastelraum; 24-Port), damit nicht alle Leitungen in den Keller geführt werden müssen - :) - Zuerst alte Daten sichern! - Festplatte kaufen, sichern und in den Vorstandsschrank - Platzdiskussion: Rack nimmt recht viel Platz ein - [ ] Plan: Schubladen, Ablagen für bessere Nutzung --> fridtjof und butterkeks schauen sich das mal vor Ort an und erstellt ein Konzept/ermittelt die Kosten - :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) - ![](https://md.ha.si/uploads/5f33fdaea9d5c271c2f471836.png) - [ ] Fernwartung Labor-Netzwerk - WireGuard-Tunnel funktioniert/existiert aktuell nicht. - Home-Assistant vLAN, kilobyte22 kümmert sich - Aufteilung Labornetz in DMZ und Client-Space (was benötigt Remotezugang und was nicht; zum Ausschluss des Client-Netzes), kilobyte22 hat mit der Aufteilung begonnen (Client-Space (Lasercutter, Drucker, evt. Telefon) läuft auf vlan3, DMZ für Services, VMs laufen auf vlan1, VPN auf vlan2. - [ ] Ports sollen in das andere (DMZ-)Netz umgezogen werden. Wurde umgesetzt - muss aber noch getestet werden. - :) - [ ] Bestandsaufnahme + Dokumentation - Access Points montieren - 3D gedruckte Adapter (Butterkeks) - :) :) :) :) :) :) :) :) - [ ] Patchplan soll aktualisiert werden, stimmt aktuell nicht (kilobyte22) - :) :) :) :) :) :) :) :) - Ripe Atlas Probe (Messpunkt) aufsetzen? Wir würden hier kostenlose Uptime-Daten erhalten. Keine Kosten (auch nicht für HW) (fridtjof) - [ ] Umsetzung: "Your application 32633 is in the waiting list - out of stock 0323" -> Der Antrag wurde gestellt. - Hoher Stromverbrauch: KVM kann bald wählen gehen. Neuer Server? - [ ] Es wird ein Konzept zur Vorstellung auf dem Bootstrap benötigt. (kilobyte22) ### Stromsparen/Infrastruktur - Wie hoch ist der Stromverbrauch der Infrastruktur vor Ort? - Ein Dashboard über den Stromverbrauch [von den Switches] wäre super; momentane Messung der PoE-Switches + Access-Points hat ~27 W ergeben -> kilobyte22 misst hier nochmal - Voraussetzungen Digitaler Stromzähler: - "Alle Messstellen werden bis 2032 mindestens mit modernen Messeinrichtungen ausgestattet. Darüber hinaus gilt die Verbrauchsgrenze von 6.000 kWh pro Jahr bzw. die Erzeugungsgrenze von sieben kW Leistung: Messstellen, die über einer dieser Grenzen liegen, erhalten ein intelligentes Messsystem." - Projekt Powermeter: https://wiki.das-labor.org/w/Powermeter - Stromsparen durch eventuelle 48 Port-PoE-Switch-Dauerleihgabe von kilobyte22 möglich -> Der Stromverbrauch muss noch von kilobyte22 ermittelt werden -> zusammen mit fridtjof - Shelly 3EM: Ist jetzt mit UV-Umbau Bootstrap-Thema ### Labor-Automatisierung - CAN-Bushacksession (kilobyte22, Arno DL2SSB, fridtjof) - Es geht voran. Aktuell eine Beagle-Bone-Lösung. Es gibt einen neuen CANd. Es soll ein Einschubträger gebaut werden (Arno DL2SSB). - Das CAN-Gateway wird von kilobyte22 neu gebaut - Aktuell sind 61 % des Projekts fertig - Powercommander neu designen, wenn das CAN-Gateway neu ist (einschließlich Backup-Platine). - Der Schaltplan für den Powercommander soll angepasst werden (kilobyte22 und gruetzkopf) - Der Rewrite-CANd läuft besser als erwartet und auch das Zeitzonenskript läuft - Butterkeks hat temporär 3 smarte Steckdosen zur Verfügung gestellt (messen den Stromverbrauch und sind im "labassistant.local:8123/" verfügbar [ESPHome]) - [ ] kilobyte22 hat von dr4go den Quellcode zu Hauptschalter und den Schaltplan vom Powercommander erhalten. Soll noch ins Labor-Git gepusht werden. - :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) ### Domains & DNS - Wunschliste: Hexonet aber mit Lastschrift :D - DNS bei 🔥🔥🔥Glauca Digital🔥🔥🔥 - Wiederholte Downtimes --> Unsere Dienste daher nicht verfügbar - Keine Kommunikation zu Störungen (Statusboard oder andere Kanäle) - Beobachten und in kommenden Terminen nochmal diskutieren ob ein erneuter Wechsel sinnvoll ist. Keine großen Probleme. Ein Wechsel ist weiterhin sinnvoll (sollte günstig sein und Lastschrift anbieten). Fridtjof schaut sich mal weitere Anbieter an. - deSEC (https://desec.io/) -> fridtjof hat testweise einen Account für admin@ erstellt. Wir warten noch auf Feature-Updates seitens deSEC. - [Organisationsaccounts als Feature scheinen sich bei deSEC zu bewegen](https://github.com/desec-io/desec-stack/issues/858#issuecomment-1930713172) ### On-/Offboarding bei Ein/-Austritt von Mitgliedern - On-/Offboarding - [ ] Umgang fehlenden Accounts - [ ] NextCloud-Accounts -> Nutzung als Identity-Provider? Wir möchten ein SSO. Siehe SSO. - [x] MediaWiki-Account -> Ist nicht an die Mitgliedschaft gebunden -> nicht relevant für das Onboarding - [ ] Dokuwiki -> Ist dagegen nur intern -> Mitgliedschaft -> Onboarding ### Single-Sign-On (SSO) - [ ] Umgang fehlenden Accounts - [ ] NextCloud-Accounts -> Onboarding? - [ ] Nutzung als Identity-Provider? Wir möchten ein SSO. - Wie soll das designt zu werden? Hier wird ein Entwurf benötigt. - Umsetzung wäre z.B. via NextCloud oder via KeyCloak möglich. - Dies soll in einem separaten Treffen vermerkt werden. - :) :) :) :) ### Dokuwiki - https://www.dokuwiki.org - aufsetzen für interne Dokumentationen - Bootstrap-Beschluss: - Zusätzliches Dokuwiki für interne Dokumente, die nicht im #Neuland stehen sollen. Weil MediaWiki keine Zugriffsrechte geben kann. - Das Dokuwiki soll auch von außen erreichbar sein, aber mit Login für Mitglieder - Ist in der Migrationsplanung eingetragen (1o11) - An die NextCloud hängen? Authentifizierung via NextCloud? (siehe SSO) - Also Docker-Container; besser via git pull vom Dokuwiki. - [ ] NetSysFire macht sich hierzu Gedanken - Detaillierte Use Case sollen definiert werden (wegen Extensions (z.B. Server-Doku, Interne Prozesse und Tabellen)) - :) ### Wiki-Rundmail und User-Agreement: DSGVO - [ ] Ist noch offen (Fridtjof) -> abhängig von Nutzungsbedingungen/Terms of Service/Haftungsklausel - :) ### Umzug von GitHub zu Codeberg? - [X] 1o11 claimt schon mal prophylaktisch das "Labor" bei Codeberg - [ ] Der Owner soll geshared werden. - Alle, die möchten, sollten einen Account bei Codeberg anlegen ### Labortage 2024 - [x] Muss noch auf https://wiki.das-labor.org/w/Aktuelle_Labortage umgebogen werden: https://das-labor.org/labortage (kilobyte24) - [x] Eine allgemeine Labortage-Seite erstellen und auf diese umleiten (kilobyte22) - [ ] Existierende Einwilligungsdokumente digitalisieren und in der Wolke ablegen. (Mythozz) - :) ### Mediawiki - [ ] Update auf 1.43.x LTS um Nutzernamen umbenennen zu können (Feature seit 1.40.x, wir haben 1.39.x) (Ende 2024).