Rendez-vous sur Arrakis

Une vie de CHATONS, ça ressemble à quoi ?

Avec les copains geeks, on fait tourner sur mon serveur un CHATONS depuis 6 mois environ. Mais non, pas un “chaton” 🐱, un CHATONS, initiative lancée par Framasoft pour décentraliser le web et permettre à chacun de proposer des services.

logo chatons

Nous nous orientons principalement sur l'hébergement de mails, avec un accent sur la confidentialité puisque le webmail est accessible via un service caché tor. Il y a aussi des salons de discussion et des pastebins chiffrés. Deux domaines sont gérés : 3hg.fr et ouaf.xyz selon le degré de sérieux souhaité. Un domaine sobre et un domaine pour les chatons qui veulent passer incognito :P

À ce jour, il y a 121 comptes. 121 !!! oO

À ceux qui hésitent à lancer leur propre service CHATONS, voici quel investissement cela demande (en gros).

Au début :
Il faut mettre en place le serveur. C'est le plus long et le plus fastidieux. Selon les choix que vous faites, entre du tout prêt (YUNOHOST) ou quelque chose de plus pointu correspondant à ce que vous souhaitez proposer (chiffrement du disque, hébergement du nom de domaine, accès chiffré…), il faut compter entre une semaine et un mois. Ça dépend aussi de votre aisance avec ces notions.

Quotidiennement :
Tous les jours, autant que possible, il faut essayer de réaliser ces tâches :

Bien sûr, parfois c'est plus, parfois c'est moins, mais vous vous en doutez ;)

De temps en temps :
Vérifier que la zone DNS se porte bien, puisque j'ai choisi de l'héberger afin de respecter encore plus la vie privée des utilisateurs. Les demandes de résolution vers les domaines du CHATONS font autorité chez moi. Il y a eu un peu de cafouillage au début, mais le travail de 22decembre est maintenant rodé, et il suffit de regarder environ tous les mois sur dnsviz que DNSSEC est bien correct.

Faire des sauvegardes supplémentaires au cas où, tous les mois aussi pour les mails.

Les mises à jour de sécurité sont à réaliser aussi vite que possible. Tous les 6 mois, une nouvelle version d'OpenBSD est publiée et je me donne l'objectif de le faire au plus vite, sans tout casser non plus ;). Il faut entre 15 et 30 minutes pour ça, tout dépend.

Performances

Actuellement, seulement 1,1G d'espace disque est utilisé. Merci aux utilisateurs qui récupèrent directement leurs mails sur leur ordinateur. À ce rythme, on a vraiment de la marge.
La charge du système est très faible et le service mail ne consomme quasiment aucun temps de calcul de mon petit serveur. Même le filtre spamassassin se fait oublier. J'ai un serveur très modeste, et en regardant la charge système, c'est comme si le démon mail+antispam n'existait pas. :)
Il faut dire que le parefeu rejette pas mal de bruit (avec BlockZones et vilain), tout comme spamd, ce qui préserve le serveur.

Et alors?

À l'heure où la neutralité du net est encore mise à mal, notamment aux USA, je suis ravi que nous nous soyons lancé à l'aventure, puisque ça marche bigrement bien :)

Tout ce blabla pour dire merci à ceux qui nous font confiance et nous aident généreusement à maintenir ce service, notamment via liberapay ou par de gentils messages.
L'aventure n'est pas prête de s'arrêter :D

image de NPH content

le 19/12/2017 à 23:50:59, Clèm a dit :

Salut,

Billet intéressant étant donné que ça fait depuis le lancement de Chatons que j'ai en tête de rejoindre le collectif et je me demandais l'investissement que ça prend. Je dois dire que ça me rassure. Ça fait depuis 2009 que je fournis des services en ligne selon ce modèle et en lisant un peu les détails de vos installations, ça me fait dire que mes serveurs remplissent largement les conditions.
Question technique, quelle est votre bande passante ? J'ai 20Mb en Upload et pas sûr que ça soit suffisant.

le 20/12/2017 à 07:35:26, Thomas a dit :

Bonjour,
J'avais dans l'idée de faire également un CHATONS, mais je dois faire face à 2 éventuels obstacles :
- je n'ai que 1Mb/s de bande passante en émission (ça passe pour du mail, pas trop pour du web)
- je n'ai aucun formulaire d'inscription donc elles doivent se faire à la demande de façon manuelle.

Est-ce que ces 2 points sont vraiment gênant selon vous ?

le 20/12/2017 à 12:23:49, Clèm a dit :

@Thomas : Pendant plusieurs années je fournissais quelques services avec inscriptions via un formulaire. Un service populaire comme l'était XMPP m'a assez rapidement amené à avoir 3000 comptes. Cette popularité venait notamment que j'étais reconnu par la XSF que j'étais listé sur toutes les listes publiques et intégré par défaut dans les clients (Gajim par exemple). Les autres services, comme le mail ou l'hébergement web, sont toujours restés plus modestes, je pense notamment à cause du nom de domaine par défaut que je proposais. Les utilisateurs les plus actifs étaient ceux qui venaient avec leur nom de domaine. À ce moment là, j'avais la FTTH avec un débit montant à 20Mb exactement (FTTH de Orange) et je suis rarement arrivé à saturation.
Aujourd'hui, j'ai changé de système. J'ai un LDAP pour gestion centralisée de tous les services (ce qui demande un peu de boulot pour intégrer ça dans les logiciels qui ne le gèrent pas par défaut, mais ça vaut le coup). Depuis lors, la création de compte, bien qu'étant accessible via un formulaire, n'est plus automatique. C'est un gros frein pour la grande majorité des utilisateurs qui sont habitués à créer un compte immédiatement utilisable. Le nombre d'inscription a chuté de plusieurs par jour à quelques unes par mois. C'est une des principales raison pour laquelle je n'ai pas fait la demande pour être un CHATONS. Je pense qu'avoir un formulaire et que tout soit automatique est essentiel. Étant donné que l'on devient une vitrine pour le grand public, il me paraît important de montrer que l'on peut être une alternative sérieuse.
Je suis passé à un peu moins de 5Mb en montant depuis que j'ai déménagé (je suis passé de FTTH à FTTLA chez Bouygues Telecom) et un réseau moins stable (chez Bouygues Telecom, il y a toujours plusieurs pourcents de paquets perdu, contre 0% chez Orange). Avec la charge de mon serveur, ça commençait à ne plus être agréable les moments pics d'utilisation. La situation s'est légèrement améliorée depuis (moins d'utilisateurs actifs, je suis passé à 2 à 0.5% de paquets perdus et les latences ne dépassent plus la seconde et un débit légèrement meilleurs à près de 10Mb). 1Mb en upload, si tu te cantonnes au mail et que tu imposes une limite raisonnable aux pièces jointes, ça devrait passer si tu n'as pas trop de monde. Pense que tu fourniras très certainement un webmail, donc accessible via le web. Par contre, je te déconseille de proposer de l'hébergement web. Les images (et je ne parlent même pas des médias type vidéo et audio) mettront trop de temps à se charger.
Un truc à garder en tête et qui est peut-être la principale information à retenir de ce billet, c'est que ça demande un travail quotidien. Le mail est critique. Il ne faut pas laisser un utilisateur sans accès à sa boite mail pendant plusieurs jours. Certains de mes utilisateurs ont mon numéro de mobile, dès que mon serveur tombe en rade, je reçois des messages et coups de téléphone dans l'heure. Dans ces cas là, c'est important d'avoir un smartphone avec 3g et ConnectBot pour se connecter en ssh tenter de résoudre le problème lorsqu'on est en déplacement, dans le train, etc.

le 20/12/2017 à 13:28:21, zpartakov a dit :

@Thomas :

pour les inscriptions, il y a l'excellent open-source limesurvey

le 20/12/2017 à 14:29:22, thuban a dit :

@Clèm : Niveau bande passante, je n'ai que l'ADSL, avec un débit montant maximum de 100ko/s (vraiment quand tout va bien)… C'est très peu, je sais. C'est parfois un poil lent pour certains, mais peu importe puisque le mail est un moyen de communication désynchronisé.

@Thomas : Pour la bande passante, ça ne me semble pas gênant du tout. Je fait tourner mes sites/mails/sauvegardes et tout un tas d'autres trucs sur le même serveur que le CHATONS.
Pour l'inscription, il existe des trucs automatiques. Je n'en ai pas voulu, simplement pour des raisons de sécurité. J'ai donc fait un formulaire qui m'envoie un mail lorsque quelqu'un demande à s'inscrire et lui propose un lien unique pour récupérer ses identifiants. J'en parle un peu dans le lien suivant, je peux t'envoyer le code complet et amélioré si tu veux. https://yeuxdelibad.net/Blog/?d=2017/05/18/07/54/41-comment-je-suis-devenu-un-chatons
C'est plus long pour les utilisateurs, mais ça évite aussi du spam, des bots, du bruit et de la nuisance. Niveau sécurité, je suis plus tranquille.

@Clèm : +1 pour ldap, bien que plus complexe.
Pour se rassurer sur la disponibilité nécessaire et ne pas avoir à emmener partout son téléphone, être plusieurs admins, c'est pas mal aussi ;)

le 20/12/2017 à 15:17:27, Clèm a dit :

@thuban : oui, je voulais ajouter ça. Être plusieurs me paraît important pour enlever une charge de travail, stress et s'assurer d'un support plus continu. Il y a quelques années, mon routeur est tombé en panne alors que j'étais parti 2 semaines au milieu des Alpes sans moyens de communication, la cata ! Sans parlé des gens pas content, c'est aussi des mails perdus.

En tout cas, c'est très bien ce retour d'expérience. Ça me rend plus confiant pour me lancer dans l'aventure !

J'ai vu sur l'autre article que pour changer le mot de passe, tu demandes aux utilisateurs de le changer via ssh. C'est clairement pas optimal (l'immense majorité de mes utilisateurs n'ont jamais ouvert un terminal, sont sous windows, n'ont jamais entendu parlé de ssh). J'ai adapté et codé une interface PHP qui appelle un script pour LDAP. Si tu utilises LDAP, je peux t'envoyer le code.

le 20/12/2017 à 16:45:06, thuban a dit :

@Clèm : merci, mais non, je préfère garder SSH. Ça limite grandement les possibilités. Si un utilisateur est vraiment coincé, je préfère le guider pas à pas plutôt que rendre accessible via un navigateur web le changement de mot de passe, ça me parait un risque trop grand.

En cas de panne, pour éviter la perte de mail, il faut penser à un MX backup. C'est 22decembre qui est en backup pour moi, et moi pour lui, et sur OpenBSD ça n'ajoute qu'une toute petite ligne à la configuration :)

le 20/12/2017 à 17:26:53, Clèm a dit :

@thuban : oki.
Oui, le MX de backup, ça fait un moment que je dois mettre ça en place. Chez moi, l'installation commence à être assez robuste (Raid1, plus redondance sur réseau avec DRBD), par contre j'ai un “single point failure” qui est mon routeur (ou les pannes réseaux, ça m'est arrivé 3 fois depuis que je suis chez Bouygues Telecom), donc il faut que je mette ça en place.

le 21/12/2017 à 16:32:15, Thomas a dit :

Bonjour,

Merci de vos réponses et conseils.

@Clèm : C'est vrai qu'une inscription automatique est vachement plus tentante pour le visiteur, je verrai ce que je peux faire.

Ce que j'aurais pu préciser initialement est que j'ai mon propre serveur http et mail depuis plus de 7 ans, j'héberge les comptes mails d'une assoc et aussi d'une entreprise depuis environ 4 ans, je n'ai jamais connu de souci.
J'héberge également le site de l'assoc en question sachant que je l'ai prévenue qu'il ne fallait pas être gourmand niveau poids des photos, et éviter les vidéos. J'héberge tout un tas d'autres petites choses (quelques blogs, quelques forums…) et tout se passe très bien.

@thuban et @zpartakov : merci pour vos conseils pour les inscriptions automatisées.

Si je décide de me lancer dans l'action, je ne proposerai que du mail et du web sous contrainte dû à la faible bande passante.

Pour ma part j'avais 2 MX secondaires mais je les ai désactivés à cause des spams. Je les réactive uniquement quand je pars longtemps (typiquement les grandes vacances).

le 21/12/2017 à 17:40:43, thuban a dit :

@Thomas : Inscription automatique, c'est forcément plus pratique. Il faut dans ce cas bien penser à se prémunir contre les bots, sachant que les captchas habituels ne fonctionnent pas bien. Un truc comme pour les commentaires de ce blog par contre est bien plus efficace.

Les MX secondaires peuvent être une porte détournée pour les spams en effet. C'est pénible et connu, mais y a rien à faire à ce que j'en sais.

le 22/12/2017 à 16:13:25, ouafnico a dit :

J'aime bien l'idée j'avoue… à y réfléchir je pourrais héberger quelques trucs :)