Outils pour utilisateurs

Outils du site

Piste : 10-29 06-28 11-18 10-21 08-19 06-24 06-17 08-23
fr:rapports:2025:08-23

Table des matières

2025/08/23 (Neutriton : Gestionnaire de mot de passe : le retour)

Heure de début : 10h30 (toujours trop tôt +1 )

Présences:

  • Célo
  • Tharyrok
  • HgO

Météo

Moment informel durant lequel on exprime en peu de mots comment on se sent et si on a une attente forte pour la réunion. Ce n'est pas un moment de discussion mais d'expression individuelle et ce n'est pas obligatoire :-)

Fin: 17h

Attente(s) forte(s)

Si l'une ou l'autre personne exprime une attente forte, merci de vous en occuper en priorité ou de la noter dans le hub ou dans un point approprié.

Gestionnaire de mot de passe

Ce qu'il reste a faire

  • Tester Passbolt
  • Tester Nextcloud Password
  • Contacter Passbolt pour savoir si nous sommes éligible a une licence pour les pauvres ou les radins.
    • Fait c'est 30% moins cher bande de rat
    • C'est trop cher.

Nos besoins

Résumé de nos besoins lors de la dernière séance :

  • Avoir un outil facile d'accès pour d'autres hubs
    • Facilement installable et configurable
    • Ne pas avoir besoin de comprendre GPG et Git pour l'utiliser
    • Compatible avec un hypothétique sso
  • Avoir plusieurs niveaux d'accès
    • Par exemple, on n'a pas besoin de la même sécurité pour le mot de passe du site web ou pour les déchiffrement des serveurs
  • Gérer la fuite de mots de passe, facilité le renouvellement de tous les mots de passes
    • Avoir un mécanisme de rappel pour changer le mot de passe au bout d'un certain temps (mais ça peut aussi être une entrée dans un agenda)
  • Avoir du TOTP (jeton unique)
    • Certains sites web nécessittent une authentification 2FA, donc avec TOTP
  • Un outil disponible même quand Neutrinet est down
  • (Facultatif, c'est plutôt une envie) Envisager la possiblité de l'ouvrir a nos membres
  • Ne pas avoir deux outils de gestion de mots de passe en même temps
  • Un gros plus avec l'integration de haveibeenpwned.com

Possibles solutions

Passborld

Disqualifié car trop cher.

Nextcloud Password

HgO avait un peu testé, et c'est un peu trop simple. Par ailleurs, il n'y a pas de synchro hors ligne, il faut aussi un plugin en plus pour le TOTP. Il n'y a pas de client en dehors de l'interface web.

Aussi, le mot de passe copié dans le presse papier reste dans le presse papier. Il n'y a rien qui l'efface une fois qu'il a été collé, sauf si on écrase son press papier.

vaultwarden

Cela fait longtemps que du monde travaillait pour intégrer le SSO, il y a eu une première release tout récemment. Il y a encore des bugs, mais des il y a déjà du code fonctionnel.

C'était un élément bloquant pour nous.

https://github.com/dani-garcia/vaultwarden/wiki/Enabling-SSO-support-using-OpenId-Connect

La question, c'est où l'héberger, puisqu'il faut pouvoir y accéder durant une maintenance ?

Les clients ne gardent en mémoire les mots de passes un certain temps.

Mais on avait aussi parlé d'autres solutions. On pourrait garder le gopass ou avoir un keepass pour les mots de passes dont on a besoin lorsque les serveurs sont down.

Mots de passe importants:

  • Clés de chiffrement des proxmox
  • iDrac
  • root des proxmox

Pour le SSO, on n'est pas super pressé car de toute façon on doit encore installer la partie SSO dans Neutrinet.

On pourra migrer nos comptes par la suite. Ca demandera peut-être d'exporter les mots de passes et de les réimporter pour les réorganiser. Avec le SSO, il n'y a pas de mot de passe principal par exemple, donc ça change un peu.

La question : est-ce qu'on fait une instance ou deux instances ? (chez Mémé + Neutrinet)

On en avait déjà parlé à propos du SSO. L'idée serait d'avoir deux SSO. Donc a priori deux instances de Vaultwarden.

Pour la HA, ce sera plutôt un primary / secondary, parce qu'il y a des connexions websocket qui ne sont pas partageables entre deux instances.

Pour l'installer sans docker et sans docker-image-extract: https://gist.github.com/chalvorson/bc09648092a99792123b612f09fa8737

Ou build nous mêmes : https://github.com/dani-garcia/vaultwarden/wiki/Building-binary

La partie web est déjà pré-compilée. La partie serveur doit être compilée.

Sinon, on peut extraire le binaire via l'outil docker-image-extract: https://github.com/dani-garcia/vaultwarden/wiki/Pre-built-binaries

À voir ce qui est le plus simple avec Ansible. Il y a cargo build et docker-image-export dans Ansible. On peut donc récupérer le binaire avec Ansible.

https://docs.ansible.com/ansible/latest/collections/community/docker/docker_image_export_module.html https://docs.ansible.com/ansible/latest/collections/community/general/cargo_module.html

On va partir sur le module docker-image-export de Ansible.

Structure du vault

Maintenant qu'on a l'outil, il faut réfléchir à la structure.

Pour partager un mot de passe, cela se fait au niveau d'un collection. Donc si on veut donner des accès entre plusieurs hubs, il faut faire une collection par projet. Sinon, on fait une collection par hub.

On a besoin de mots de passe entre plusieurs hubs, par ex pour Hetzner ou OVH le hub admin doit pouvoir s'y connecter (facturation) et le hub infra aussi (maintenance). Ceci dit, pour ce cas de figure on pourrait créer des sous-compte par hub. Mais Kimsufi ne permet pas de faire ça.

Là, soit on duplique le mot de passe dans chaque hub, soit on le partage.

On a le même problème pour tout ce qui est grossiste / fournisseur de matériel. Il y a aussi lebureau.coop qui est dans ce cas a priori.

Ensuite on peut faire des folders pour retrouver une arborescence dans les mots de passe.

Une question qui est là depuis longtemps dans Neutrinet : comment on pense les hubs et l'intégration des nouveaux ? On pourrait imaginer structurer ça autour de tâches / projets. Quelqu'un qui vient pour faire de la facturation n'a accès qu'aux mots de passes liés à la facturation, mais pas à d'autres mots de passes du hub admin.

Ce Neutriton ne va pas résoudre la question, mais on peut faire une proposition lors de la réunion des hub.

A l'origine, les hub sont un pad de bram avec 30-40 tâches à faire dans Neutrinet qui ont été regroupées pour éviter la charge mentale trop grande des membres. Idées, on sépare la facturation des tâches infra.

Une question subsidiaire, c'est à partir de quand on donne accès à des choses à une personne de Neutrinet ? Actuellement, on donne les accès après que la personne soit venu en réunion quelques fois, sur base de la confiance.

La question, le problème n'est pas de donner l'accès mais de le retirer. Donner l'accès, aujourd'hui, est assez simple (contrairement à 2019 où il n'y avait rien).

On peut déjà commencer à re-structurer les choses dans le gopass.

La structure actuelle:

  • misc
    • les boites mail
    • occupations sans papiers (wifi, openwrt, etc.)
    • les clés des backups
    • une clé pour un plugin dokuwiki
    • utilisateurs du PBS (obsolète ?)
    • les pfsenses
    • la pki (pour le vpn, probablement obsolète?)
    • la clé gpg pour secure@neutrinet.be
    • une storage box chez hetzner (vieux reliqua)
  • serveurs (reste dans le gopass - mots de passe de secours à utiliser en cas d'urgence (mots de passes de secours car on a nos propres comptes))
    • les switchs
    • les idrac
    • les proxmox (root)
    • les clés de chiffrement
    • les PBS (reste celui de la maison de la paix)
    • le VPN du PAF lors de la rencontre FFDN (clairement obsolète)
  • services
    • ldap (pour la future VM ispng ?)
    • les storage S3
  • totp
    • pypi.org (déploiement des applications python3) → à fusionner avec le site web
  • websites

On se dit qu'il faudrait prévoir un folder pour les trucs temporaire, parce qu'il y a quelques one shots

On aurait les collections suivantes:

  • services
    • s3
    • mail
    • borg
    • ldap
    • sso
    • pbs (account service, cles chiffrement)
    • apps (si jamais on doit configurer des apps)
  • datacenter (baremetal, dans le gopass)
    • proxmox (root)
    • cryptsetup
    • idrac (compte admin)
    • pbs (root)
    • switchs (compte admin)
  • network
    • pfsense
    • switch (snmp)
    • idrac (snmp)
  • dev
    • websites
      • pypi.org
  • fournisseurs matériel (partagé avec hub admin et hub infra)
    • websites
  • websites (doit être remis pour chaque hub)
    • fournisseurs matériel
    • hébergement
    • dev
    • support
    • network
    • neutrinet
  • occupations
  • tempo
  • chez-meme

L'idée serait d'avoir une collection “fourre-tout” ou “tout venant”, label partagé pour les mots de passes partagés.

https://cyber.gouv.fr/sites/default/files/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf

Prochaine réunion

TODO:

  • Terminer de déplacer des mots de passe
  • Installer Vaultwarden
  • Importer les mots de passe dans Vaultwarden
  • test ajouter label/tag/wathever et associer a group

Prochain Neutriton : Authentik 13/09 à 10h30

Lieu : Célo

Garde-Pad: Tharyrok

Météo de fin

Moment informel durant lequel on exprime en peu de mots comment, à titre personnel, la réunion a été vécue que ce soit positif ou négatif. Si une ou plusieurs tension est née durant la réunion, il est peut-être nécessaire d'envisager l'une ou l'autre réunion pour y remédier.

,
fr/rapports/2025/08-23.txt · Dernière modification : de celo