Motion #5284
closedDroit d'accès SPO
100%
Description
Bonsoir,
Depuis ma nomination en tant que Security and Privacy Officer (SPO), je lutte pour ainsi dire tous les jours pour obtenir les accès à l'infrastructure de manière à m'assurer que les données sont correctement sécurisées, et que le maximum est fait du côté de l'AG-DI pour éviter les problèmes.
Or, comme vous le savez sans doute, une migration est en cours, et la DI a décidé1 de repoussé la mise en place de mes accès à 2 semaines.
Ce n'est tout simplement pas acceptable :
- je n'ai aucun moyen de savoir où sont les données, ni comment elles sont sécurisées
- le PPS tourne sans SPO depuis un bon moment maintenant, dieu sait dans quel état est la sécurité
- l'AG-DI en était même à débattre de savoir si je pouvais ou non demander ces accès... alors que c'est le SPO qui définit justement les droits (au final, ils ont vu que oui, je peux).
Comment puis-je faire mon job sans accès ?
La raison invoquée par l'AG-DI :
- Oliver veut me faire une introduction complète à l'infrastructure, ce qui prendra pas mal de temps (ce que je comprends). Seulement, je sais me débrouiller pour trouver les informations, et je ne pense pas avoir de problème à découvrir comment ça marche. Ça fait partie de mon job.
- Ils ne veulent pas que je casse tout par erreur - détail : je suis administrateur système depuis 10 ans, je sais quand même faire en sorte de ne pas casser (et ils le savent).
- Me créer un utilisateur limité semble être super-compliqué - or, pour faire du puppet (système de configuration centralisé) depuis 5 ans, je peux dire que ça demande deux définitions pour créer un user et poser sa clef; l'accès VPN demande maximum 10 minutes à mettre en place.
Bref.
Quant à moi, aucune des raisons invoquées n'est recevable. J'ai plutôt l'impression d'être perçu comme un empêcheur de danser en rond qui pourrait mettre en péril leur situation et leur statuts de "roi".
Merci de faire le nécessaire pour que je puisse avoir accès rapidement à cette infrastructure.
Cordialement,
C. Jeanneret, SPO (sur le papier, mais pas dans les faits)
[1] http://projects.piratenpartei.ch/pad/show/3
Vote: Should we provide the SPO with root access today?
Yes: Exception, Cedric
No: LuckyLuke, Oli, Simon, Aaron
Abstain: Corvus
Vote: Should we provide the SPO with root access in two weeks?
Yes: Corvus, LuckyLuke, Oli, Aaron, Simon
No: Exception, Cedric
Abstain:
Oli: This would be probably take more time, at least an hour.
Vote: Should we give the SPO access with a limited accessed user?
Yes: Cedric,
No: Corvus, LukyLuke, Oli, Simon
Abstain: Aaron
Updated by Simon Rupf over 11 years ago
- Subject changed from Droit d'accès SPO to Droit d'accès SPO
- Priority changed from Immediate to Low
Zu diesem Antrag muss ich Stellung nehmen.
Als GL-Mitglied: Dieser Antrag gehört in die Geschäftsleitung und nicht ans Präsidium. Der SPO ist nach unserer Änderung der Kompetenzen klar der GL unterstellt. <ironie>Sollte das Präsidium diesen Antrag anders als durch verschieben an die GL behandeln, sollte sich die GL vielleicht erkenntlich zeigen, auch dafür, dass ihr das Präsidium bereits letzte Woche mehrfach «geholfen» hat und dem Präsidium einmal etwas Arbeit abnehmen und z.B. einige Pressemitteilungen ohne Präsidium oder AG PR zu informieren an diverse Zeitungen versenden.
Überhaupt habe ich in der letzten Woche den Eindruck gewonnen, dass sich niemand um die Strukturen, Pflichtenhefte oder die Statuten schert. Es wäre somit wohl klüger, wenn wir diese gleich ganz abschaffen, da ja sowieso jeder macht was er will.</ironie> :(
Als AG DI-Mitglied: Sowohl durch diesen Antrag, wie auch durch verschiedene Mails und Cédrics (In-)aktivität in den letzten Wochen hat sich für die AG DI der Eindruck ergeben, dass Cédric nicht über so grosses technisches Verständnis verfügt, wie er das behauptet.
Cédric hat seit seiner Wahl nur etwa die Hälfte der AG DI Sitzungen besucht und keine erkennbare Absicht gezeigt, sich aktiv an der AG DI zu beteiligen. Auch diesen Sonntag hat er zu dem konkreten Angebot meinerseits, er könne uns mit dem Zugriff ja auch bei der Migration unterstützen keine Reaktion gezeigt. Der SPO sollte ein aktives Mitglied der AG DI sein. Cédric hat dazu offenbar keine Lust, sondern zündet die AG Mitglieder lieber mit seinem Halbwissen auf der DI-Mailingliste an und «tritt Ärsche» ohne sich selber die Hände dreckig machen zu wollen.
So hat Cédric z.B. erzählt, dass wir keine Mailserver-Probleme gehabt hätten, wenn wir einen zweiten MX eingetragen hätten. Die zwei Probleme die wir nach der Migration hatten, wären dadurch jedoch nicht gelöst worden. Das eine war der nirgendwo dokumentierte Hostname smtp, den wohl einige Mitglieder zum Mailversand genutzt haben und das andere ist ein Problem mit Dovecot (also dem IMAP- und POP3-Server) welcher anscheinend das Verzeichnis-Hashing nicht immer gleich interpretiert, was zu doppelten Mailboxen geführt hat. Beides wäre durch einen zweiten MX-Eintrag nicht gelöst worden.
Und dann wird auch im oben stehenden Text behauptet, man könne mit Puppet in wenigen Minuten einen neuen Benutzer erstellen und verteilen. Ich kenne Puppet selber nur flüchtig, aber was ich davon bisher gesehen habe, lässt mich an dieser Aussage stark zweifeln. Soweit ich das verstehe, müsste man den Key ins Puppet-Repository ablegen, die entsprechende Konfiguration um den Key ergänzen und danach Puppet auf allen Servern ausrollen. Und da haben wir das VPN noch gar nicht angesprochen.
Kurz: Wenn wir wirklich eine derart technisch fragwürdige Person an unsere Server lassen wollen, tut meiner Meinung nach die AG DI sehr gut daran, diese vorher gründlich einzuführen. Alles andere wäre unverantwortlich. Schliesslich ist es ja dann nicht Cédric der Aufräumen muss, wenn etwas schief geht.
Updated by Simon Rupf over 11 years ago
- Subject changed from Droit d'accès SPO to Droit d'accès SPO
Updated by spale over 11 years ago
- Subject changed from Droit d'accès SPO to Droit d'accès SPO
- Status changed from New to Not Considered
- Target version set to Präsidiumssitzung - 28.05.2013
- % Done changed from 0 to 100
Problematik wurde im Vorstand behandelt. Motion fällt aus.