An alle Teilnehmer der Bundes IT Sitzung:

Jeder Teilnehmer schaltet sich bitte Stumm (Am Telefon: *1) Im TO Punkt "Sonstiges" erhalten auch Gäste die Möglichkeit eigene Punkte einzubringen. Mitglieder der BundesIT schalten sich ebenfalls Stumm Jedes Mitglied hat die Möglichkeit bevor ein TO Punkt geschlossen wird seine Punkte dazu zu plazieren. Der TO Bereich "Berichte der Teams und Projekte" wird zu Beginn der Sitzung von den entsprechenden Teams gefüllt, wenn sie zu Ihren Projekten und Teamaufgaben etwas vorstellen möchten. Hinweis für unsere Gäste: Wir würden uns freuen wenn sich Gäste ebenfalls im unter dem Punkt "Anwesenheit" mit eintragen würden. Dort gibt es einen Bereich "Gäste". Vorlage:ITKonf

Bundes IT Sitzung vom 09.09.2013

Versammlungsort

HE:Telefonkonferenz (069 17536743), Raum 9002#

Tagesordnung

• TOP 1 - Begrüßung
• TOP 2 - Neue Mitglieder
• TOP 3 - Neues der Sprecher
• TOP 4 - Berichte der Teams u Projekte
• TOP 5 - Changes bis zur nächsten TelKo
• TOP 6 - Sonstiges

Beginn 21

15 Uhr

Ende

22:24 Uhr

Sitzungsleiter

Jamasi

Protokollführer

gemeinsam

Nächstes Treffen

23.09.2013

Anwesenheit

• [Benutzer:tbe|Thomas "tbe" Berger]
• Stefanie "Steffi" Schöllhammer
• Michael
• Jamasi
• Stefan "Gared" Müller (nur im Pad)

Entschuldigt

Gäste

• Timo Widdau

Begrüßung

Neue Mitglieder

Igor Lankin, igor _@_ lankin.de

• Aus Karlsruhe, Senior Software Entwickler bei der 1&1 Internet AG
• http://www.xing.com/profile/Igor_Lankin
• Ich bin Softwareentwickler, kann aber auch zur Administration/Automatisierung beitragen. Linux, Bash, Puppet-Grundlagen sind auf jeden Fall vorhanden ;)
• Sprachen: PHP, C#, Java, Ruby, HTML/CSS, Javascript/CoffeeScript
• Ich bin bis zum 19.09. im Urlaub :)
• http://wiki.piratenpartei.de/Benutzer:Iigorr

Mentor: Ike

Dafür:

• [Benutzer:tbe|Thomas "tbe" Berger]
• Stefanie "Steffi" Schöllhammer
• Jamasi

Dagegen

Enthaltung

• Michael

Neues der Sprecher

• Stellenausschreibung IT-Support (50%Bund / 50%BE)
  • läuft noch bis Samstag http://vorstand.piratenpartei.de/2013/08/31/stellenausschreibung-it-support-administration-befristet/

Berichte der Teams und Projekte

• Sven: aktuelles zum DSV-Verfahren: http://wiki.piratenpartei.de/Verwaltungssoftware/CRM/D_Datenschutzverpflichtungen
  • Die Daten, wer welche DSV abgegeben hat, sind jetzt im Sage
  • Wir (per Steffi/Sven) können die bald (ca. September) abfragen (Yippie!)
    • Steffi wartet noch auf Zugang, voraussichtlich spätestens nächste Woche

Infrastruktur

• Storage steht und läuft stabil.

Aktuell: Update oder Austausch der Virtualisierungslösung voraussichtlich mit downtime wegen Storage Einbau.

• Update und Austausch der Virt-Lösung ist wegen Wahlkampf/Zeitmangel liegen geblieben
• IPv4/v6 dual stack falls möglich
  • IPv6 noch nicht depolyed
• Gecko hat den neuen Mailserver vorbereitet (neues Debian + dovecot).
  • sollte soweit fertig sein
• Test-Systeme für PAD Server sind übergeben
  • Nach der Installation der PAD Software wird ein Template für die neuen Produktivsysteme angelegt
  • Erstes Template für etherpad-lite ist erstellt
  • Migrationsplanung steht noch
• Chrit installiert einen neuen Static-Updater, nachdem die wichtigeren Sachen erledigt sind
• XVP für Reboot und Konsolen-Zugriff auf VMs durch verantwortliche eingerichtet
  • Zugangsdaten werden verteilt, sobald bedarf besteht
• Netztrennung: NFS-Netzwerk auf XenServer Pools eingerichtet
  • Kommunikation nur zwischen VMs und NFS-Storage möglich, keine Verbindung zwischen VMs
• Twinax zu 8/8 da (Update 19.8)
  • 7/8 sind seit 17.8. installiert
  • Notwendig für 10GBit Anbindung

nichts neues

Status Storage

• Aufräumaktion wird bei Migration aufs neue Storage fertig gestellt
  • Kann hoffentlich noch vor der Wahl beginnen
  • Mail migriert, Webservice folgt

nichts neues

Email

• Migration E-Mail Storage vollständig
• Mailman steht aus
• Neuaufbau E-Mail Server in Arbeit
• Platz wird eng (Mailarchive vom Mailman) (21.8 +8GB)
  • Austausch sollte möglich sein, am besten nachts am Wochende testen.

Web

• Aufbau von web MW/FE 05/06 Start in Kürze
  • wurden aufgebaut
• Apache Traffic Server wird aktuell getestet (noch intern, dann am Pad).
• Tester für Varnish wird noch gesucht.
• wir brauchen Verstärkung!

Wiki

• Update Mediawiki Zeitplan?
  • wird auf neuer infrastruktur (wiki03) hochgezogen.
  • deadline für update mit allen erweiterungen (danach update ohne beta- und experimentelle-erweiterungen)
    • deadline: ende Oktober
  • Geplant: September/Oktober (je nachdem, wie gut die Tests laufen)
• Vergleichstest apache/nginx durchführen
  • keine Zeit dafür gehabt. Hilfe beim Testen willkommen
  • int-wiki wurde aktualisiert und funktioniert
    • plan fuer security-update
      • evtl. gleich nach der Telko
  • wir brauchen trotzdem noch ein script, was user (+deren edits/userpages) löscht.
    • Meldung aus der IT? (evtl. Iigorr)

Datenbanken

• Wir suchen jemanden, der hier hilft (MySQL) und nicht core ist. (gefunden: Warten auf Rückmeldung von BGS wegen Felix DSV) - falls keine Rückmeldung, Verweis an Sven, der ihn belehren wird als verantwortliche Stelle. - Gibt da leider das kleine Problem das Felix erst am 26.09 18 wird. Felix bitte mal Sven kontaktieren.
• Laufen stabil (auf altem System, wo sie auch bleiben sollen, aber mehr Platz brauchen)
  • Migration der Virtualisierungsumgebung wegen Ressourcen etwas problematisch

Changes bis zur nächsten TelKo

• alle neuen Systeme stabil einsatzbereit machen.
• (evt. Migration des Mailservers)
• evt. Migration Mailman
  • Patches müssen noch für Debian7 angepasst werden.
• weitere Proxmox hosts auf Citrix XenServer migrieren
  • neues Testwiki

Sonstige Berichte der Teams und Projekte

Monitoring

• Neuaufbau: Log-Server, Nagios/Icinga
• Valentin hat erste "beta" des Servers eingerichtet

Backup System

• Neues Bacula basierendes Backup System eingerichtet
• In Zukunft keine Image-Level Backups mehr
• Crypted Backups möglich
• Wer vor der Migration seiner Systeme bereits Bedarf für ein Backup mit Bacula hat, bitte bei tbe melden
  • Status-Page ( nur intern erreichbar! ) http://10.11.18.9/bacula-web/

Verfahrensrichtlinien

• Sven braucht dringend von Seiten der IT jemanden, der mit ihm die Verfahrensrichtlinien angeht. Freiwillige???
  • Steffi (als Verteiler) evtl. Chaotika?
  • https://it.piratenpad.de/78

Berechtigungen

• Idee: Aktive weiter auch in Systempflege einarbeiten und einbinden
• Ziel: Leute müssen nicht unbedingt auf neue Systeme warten
• Beispiel: gecko soll wieder sudo kriegen um ordentlich arbeiten zu können
• tbe benötigt aktuelle Liste der Mitarbeiter mit Zugriffsberechtigungen
  • https://it.piratenpad.de/migration-todo-tbe ab Zeile 8

OTRS

• Stand altes OTRS?
  • DB ist eingespielt, Apache muss noch fertig konfiguriert werden. perl-pakete (markus)
    • Verantwortlicher (=???) nicht da, altes OTRS läuft nicht
• Auto-Replies Ticket:
  • scheinen zu laufen.
• spammails direkt rejecten und keine Tickets+Autoreply erzeugen!
  • Problem besteht noch
• Gesperrte Tickets sollten nach Zeit X wieder freigegeben werden.
  • X= immer um 6 Uhr

Checklisten nach Störung/Wartung

• nagios/icinga (neu aufzubauen)
• Zusätzlich: dedizierter Log-Server

auf neuer Hardware

Change-Management benötigt. Fallout beachten

• • Grundkonfiguration Change Mangement
• Last Changes im MOTD wie mail
  • Anleitung dafür ins Dokuwiki
• /etc/ ins git + gitlab + tripwire?
• Configänderungen nur via puppet-master + git?

auf neuer Hardware

• Wer fühlt sich verantwortlich und kann das voranbringen?
  • Roots

Piratenpad

• EP Lite läuft so weit
• EP-Server läuft auch; Template wurde erstellt
• Aus den Templates werden in nächster Zeit die produktiven Server erstellt
• Archivierung von Pads steht aus
  • ist funktionsfähig und kann produktiv geschalten werden
  • Archivierte Pads werden direkt auf dem Server gespeichert und gebackuped
• webspace für piratenpad startseite (statisch)
  • auf webinfrastruktur wurde mir ein ftp-zugang versprochen...
• Etherpad Groups Ansprechpartner: lebrinkma (ät) gmail.com
• altes Etherpad läuft jetzt weitestgehend nur noch mit HTTPS (außer Export-Links)

ID-Server

• Status-Tracking über https://it.piratenpad.de/PiratenID
  • Export-Server ist noch nicht fertig gestellt s.o.
    • Jan Schejbal fragt bei Markus nach Ergebnis:
      • Markus wartet auf die VM. Falls diese existiert die Zugangsdaten bitte dringend an Markus schicken.
      • https://github.com/janschejbal/piratenid/blob/master/export/README.txt#L136
      • Etwas RAM (ca. 2.5x soviel wie nötig ist um die ganzen PiratenID-Daten im Speicher zu halten, ggf. Swap), ansonsten sehr anspruchslos
      • Volle Krypto
  • DSB will fertiges System vor Inbetriebnahme abnehmen
  • Status CRM ist fertig, warten auf Server-Infos an Hendrik
• Wer kann Hendrik kontaktieren und nach einem Stand fragen?

Proxy-cluster extern

• Planung des Aufbaus läuft
• Finden geeigeter externer Server: Liste?
  • NRW hat mitgeteilt man würde helfen
  • Div. "private" Piraten würden / Frage Daschu/IPs
• Geeignete Software präzisieren
  • apache traffic server
  • cdn images/dateien
• Ausführende:
  • bmstettin/tbe
  • Wenn die neue Infrastruktur fertig/nutzbar ist
  • Akutes Manpower-Problem!

SSL

• WICHTIG: SSL für bestimmte Seiten erzwingen (siehe Mail auf tech-hq)
• Bezüglich Ciphersuites, config etc. sollten wir die SSLlabs best practices umsetzen, inkl. "Forward Secrecy"
  • Darauf und auf anderen Quellen basierender Vorschlag von Jan Schejbal: https://jan.piratenpad.de/ciphers
  • Aktuelle Versionen der Serversoftware nötig (pound -> ATS, nach der Wahl)
• Mixed Content auf piratenpartei.de (im Theme!)
  • scheint behoben zu sein
• SSL/TLS bei eingehenden Mails: Wird unterstützt
• SSL/TLS bei ausgehenden Mails: Sollte nach dem neuen Konzept präferiert sein, dann testen mit: http://www.checktls.com/perl/TestSender.pl

SSL-Zertifikate

• StartSSL-Validation für Corp ist ausgelaufen, müsste erneuert werden
  • Info was für den renew gebraucht wird liegen seit heute vor (26.8.)
  • nix neues

OCSP

Es gibt/gab Probleme mit OCSP - ab und zu kommt eine "unknown"-Response, die bei Firefox zu einer Fehlermeldung führt. Aktuell nicht reproduzierbar, hoffentlich behoben. Fehler liegt eindeutig am Responder von StartSSL, nichts was wir tun könnten. Sollte es wieder passieren, muss derjenige, der den Kontakt mit StartSSL abwickelt (=chrit), sich an certmaster [at] startcom [dot] org wenden. Debug mit OpenSSL:

openssl ocsp -text
  -issuer intermediate.pem
  -url http://ocsp.startssl.com/sub/class2/server/ca
  -header "HOST" "ocsp.startssl.com"
  -CAfile root-und-intermediate.pem
  -VAfile root-und-intermediate.pem
  -cert unser-zertifikat.pem
  -respout output-response.ocsp

"Response verify OK" sollte bei korrekter Eingabe IMMER auftauchen. Worum es geht ist ob "good" oder "unknown" hinter "unser-zertifikat.pem" auftaucht (die output-response.ocsp einer solchen "unknown"-Antwort ggf. dem Certmaster schicken, könnte helfen den kaputten Responder zu finden)

Datenschutzschulungen

• Zur Info: http://wiki.piratenbrandenburg.de/Bundesdatenschutzbeauftragter/Schulungen

Doku

• immerwährende Aufgabe (es gibt da immer etwas zu verbessern, also ran an die Doku)
• Vorschläge zur Vereinfachung/Aufarbeitung?

Helfer

Wer mithelfen will und nicht recht weiß, was gemacht werden soll/kann. Bitte nachhaken.

BundesIT Blog

• evt. kleiner Blog im Piraten-Kleider Layout, oder einem anderen Theme
• regelmäßig neues aus dem Maschienenraum
• übersichtlichere Ankündungen von Maintaince usw.

alt: https://wiki.piratenpartei.de/IT/Blog

weiteres

• BPT Bremen - FeWo --> siehe ML