Je crois que c’est avec Ventoy que j’ai le moins galéré. Une fois le truc installé sur la clé USB, tu peux déposer toutes tes ISO et ça a le mérite de fonctionner avec celle de Windows.
Je pense que tu es bloqué par ton nombre limité de machines. Dans un monde idéal, tu as un/plusieurs reverse-proxy dédiés à ça en dual-stack devant ton infrastructure qui pourrait être en IPv6-only (ou généralement, derrière des IPv4 privées). Avec tes deux serveurs, t’es obligé de partir sur ta solution #1. Je partage l’avis que c’est un peu nul (mais c’est pas trop cher).
La #3 reste la solution la plus pragmatique et d’une certaine façon la plus propre sans tout bouleverser. Après tout, ton besoin c’est de faire du dual-stack…
Par contre pour ton histoire de certificat, soit il me manque une information, soit tu t’embêtes un peu : si tu pars sur l’idée d’un reverse proxy, tu dois lui faire gérer à la fois l’IPv4 et l’IPv6, séparer les deux stacks c’est vraiiiment chercher des ennuis. Tu auras donc besoin que d’un seul certificat dessus, et tu renvoies le trafic sans TLS sur ton autre machine.
Je réponds quand même à tes questions sur la gestion des certificats sur plusieurs machines : les deux scénarios que tu as décrit peuvent se faire et présentent chacun leurs lots de contraintes. Si tu souhaites synchroniser les certificats, ça demande un peu d’outillage mais c’est gérable. L’autre voie qui consiste à générer plusieurs certificats pour des noms de domaine identiques est réalisable : dans certains contextes c’est la seule option. Ça multiplie les emmerdes pour la bonne gestion des certificats, de leur rotation, et d’éviter qu’ils se perdent dans la nature par contre. Pour la validation, je crois que y’a un monde où ça passe si tu le fais par HTTP, mais c’est super bancal. Le plus safe serait de valider par DNS pour ne pas dépendre de la bonne volonté de Lets Encrypt de taper en IPv6 ou en IPv4.
Leur système semble donc bien fragile en effet. Pourtant, je serais surpris qu'il ne soit pas possible de brancher un petit disque dur sur le bousin pour quelques centaines de dollars…
Oui mais FreeBSD n’est pas géré par les mêmes personnes que nos distributions Linux et tu peux toujours changer de crèmerie si l’arborescence de ton système te donne des boutons au quotidien (ça me dépasse).
Ou bien tu peux essayer de retrouver un peu de curiosité technique pour tenter de comprendre les justifications des choix qui ont été faits par les logiciels dont tu sembles captif.
Un peu d’ouverture permet non seulement d’être plus apaisé derrière son clavier (adieu le b****, les conneries et les idioties), mais également —Ô surprise— de devenir plus à l’aise avec les outils. J’ai par exemple en tête la commande systemctl cat qui permet de s’y retrouver dans les fichiers de configuration d’une unité systemd.
J’ai du mal à voir si ton message est sarcastique ou pas, parce que dans le cas de NetworkManager c’est vaguement respecté. La conf dans /usr est celle apportée par la distrib donc en RO, dans /var/lib/NetworkManager j’ai quasi-uniquement des trucs liés à DHCP donc dynamiques et dans /etc j’ai toute ma conf utilisateur.
Oui c’est éclaté à pas mal d’endroits mais le tri est cohérent.
Je te rejoins sur le fond, étant d’astreinte je préfère dormir tranquille avec des technos éprouvées en production.
Sur la forme, je maintiens que « les jeunes n'ont plus aucune culture en informatique » c’est une remarque particulièrement stupide et hautaine. Faut redescendre un peu.
Point vieux con : les jeunes n'ont plus aucune culture en informatique, ils ne connaissent que la surface et les trucs à la mode. Jamais il ne se disent que avant eux on a déjà résolu tout ces problèmes. L'arrivée de chatgp n'ajoute rien de bon à tout ca.
Pour une remarque de merde, t’as fait fort. Apprendre du passé bien sûr, être persuadé que les difficultés d’hier sont exactement les mêmes que celle d’aujourd’hui c’est vraiment être vieux con et ignorant.
L’argument de l’effort en moins à fournir est juste et difficilement attaquable. L’ennui c’est que le choix d’un prestataire d’hébergement européeen n’est même pas dans le cahier des charges.
L’ennui c’est l’endroit où tu places la limite entre scripter avec du bash est pertinent et efficace vs il commence à avoir pas mal de logique et sortir le langage de l’appli semble plus malin.
Mon avis est que beaucoup d’admin-sys vont pousser le curseur trop loin et utiliser le bash à des endroits peu pertinents qui peuvent aller au-delà de la simple intégration avec Linux.
Y’a une différence entre l’usage de la ligne de commande et faire des scripts en shell. Et dans ce dernier cas, je suis très moyennement convaincu de l’utilité d’une telle compétence dans le monde professionnel.
Le (ba)sh est un langage vraiment peu lisible et peu flexible. On le voit ici où pour générer des trucs aléatoires on se retrouve à coller des bouts de programme entre eux alors que n’importe quel autre langage tel que Python/Ruby/Perl (brrr) s’en sortira de façon beaucoup plus logique et maintenable. Dans un bon nombre d’équipes le bash n’est compris que par les admin sys et on se retrouve avec des difficultés de transmission de compétence assez rapidement alors que nous sommes dans une époque où on a tendance à favoriser les interactions avec les équipes de développement et les équipes gérant la production.
Ma règle qui est largement discutable c’est qu’au-delà de 20 lignes en bash le langage est mal choisi. Évidemment il y a des exceptions, quand la principale fonction d’un script est d’exécuter des trucs c’est toujours utile d’avoir des notions en bash.
[^] # Re: Blague zoophile
Posté par Sacha Trémoureux (site web personnel) . En réponse au message C'est Rufus, Wine et Windows10 qui rentrent dans un bar..... Évalué à 1 (+0/-0).
Comme quoi, fallait rajouter la suite de la blague pour éviter les avis négatifs.
# Ventoy
Posté par Sacha Trémoureux (site web personnel) . En réponse au message C'est Rufus, Wine et Windows10 qui rentrent dans un bar..... Évalué à 9 (+8/-0).
Je crois que c’est avec Ventoy que j’ai le moins galéré. Une fois le truc installé sur la clé USB, tu peux déposer toutes tes ISO et ça a le mérite de fonctionner avec celle de Windows.
[^] # Re: Au passage
Posté par Sacha Trémoureux (site web personnel) . En réponse au message Reverse proxy pour rendre accessible en IPv4 un service IPv6. Évalué à 3 (+2/-0).
C’est le mieux oui, mais il faudrait à l’auteur une troisième machine si il veut pas avoir un serveur qui fasse reverse en même temps qu’applicatif !
# Hors-sujet
Posté par Sacha Trémoureux (site web personnel) . En réponse au message Forge logiciel. Évalué à 2 (+1/-0).
Je me pose la même question sur OpenTofu et Terraform.
On vit une belle époque sur ces sujets :’)
# Sujet du commentaire
Posté par Sacha Trémoureux (site web personnel) . En réponse au message Reverse proxy pour rendre accessible en IPv4 un service IPv6. Évalué à 3 (+2/-0).
Je pense que tu es bloqué par ton nombre limité de machines. Dans un monde idéal, tu as un/plusieurs reverse-proxy dédiés à ça en dual-stack devant ton infrastructure qui pourrait être en IPv6-only (ou généralement, derrière des IPv4 privées). Avec tes deux serveurs, t’es obligé de partir sur ta solution #1. Je partage l’avis que c’est un peu nul (mais c’est pas trop cher).
La #3 reste la solution la plus pragmatique et d’une certaine façon la plus propre sans tout bouleverser. Après tout, ton besoin c’est de faire du dual-stack…
Par contre pour ton histoire de certificat, soit il me manque une information, soit tu t’embêtes un peu : si tu pars sur l’idée d’un reverse proxy, tu dois lui faire gérer à la fois l’IPv4 et l’IPv6, séparer les deux stacks c’est vraiiiment chercher des ennuis. Tu auras donc besoin que d’un seul certificat dessus, et tu renvoies le trafic sans TLS sur ton autre machine.
Je réponds quand même à tes questions sur la gestion des certificats sur plusieurs machines : les deux scénarios que tu as décrit peuvent se faire et présentent chacun leurs lots de contraintes. Si tu souhaites synchroniser les certificats, ça demande un peu d’outillage mais c’est gérable. L’autre voie qui consiste à générer plusieurs certificats pour des noms de domaine identiques est réalisable : dans certains contextes c’est la seule option. Ça multiplie les emmerdes pour la bonne gestion des certificats, de leur rotation, et d’éviter qu’ils se perdent dans la nature par contre. Pour la validation, je crois que y’a un monde où ça passe si tu le fais par HTTP, mais c’est super bancal. Le plus safe serait de valider par DNS pour ne pas dépendre de la bonne volonté de Lets Encrypt de taper en IPv6 ou en IPv4.
[^] # Re: variable d'environnement
Posté par Sacha Trémoureux (site web personnel) . En réponse au journal ollama et le GPU. Évalué à 5 (+4/-0).
Plutôt dans l’unité systemd la venv non ? systemd ne va pas lire ton zshrc.
[^] # Re: Autre génération
Posté par Sacha Trémoureux (site web personnel) . En réponse au lien 3 disquettes font tourner le métro de cette ville depuis 26 ans, l’inquiétude monte [USA]. Évalué à 1 (+1/-1).
Sur le port USB-C du metro ?
[^] # Re: Pendant ce temps-là chez Microsoft
Posté par Sacha Trémoureux (site web personnel) . En réponse au journal Redis Open Source bronsonisé. Évalué à 2 (+1/-0).
On va finir par mettre du Microsoft partout pour libérer nos serveurs. 😶
[^] # Re: différents répertoires
Posté par Sacha Trémoureux (site web personnel) . En réponse au journal [ HS ] ... enfin, pas tant que ça.. Évalué à 2 (+3/-2).
Oui mais FreeBSD n’est pas géré par les mêmes personnes que nos distributions Linux et tu peux toujours changer de crèmerie si l’arborescence de ton système te donne des boutons au quotidien (ça me dépasse).
Ou bien tu peux essayer de retrouver un peu de curiosité technique pour tenter de comprendre les justifications des choix qui ont été faits par les logiciels dont tu sembles captif.
Un peu d’ouverture permet non seulement d’être plus apaisé derrière son clavier (adieu le b****, les conneries et les idioties), mais également —Ô surprise— de devenir plus à l’aise avec les outils. J’ai par exemple en tête la commande systemctl cat qui permet de s’y retrouver dans les fichiers de configuration d’une unité systemd.
[^] # Re: différents répertoires
Posté par Sacha Trémoureux (site web personnel) . En réponse au journal [ HS ] ... enfin, pas tant que ça.. Évalué à 10 (+11/-0).
J’ai du mal à voir si ton message est sarcastique ou pas, parce que dans le cas de NetworkManager c’est vaguement respecté. La conf dans /usr est celle apportée par la distrib donc en RO, dans /var/lib/NetworkManager j’ai quasi-uniquement des trucs liés à DHCP donc dynamiques et dans /etc j’ai toute ma conf utilisateur.
Oui c’est éclaté à pas mal d’endroits mais le tri est cohérent.
# Cool ça
Posté par Sacha Trémoureux (site web personnel) . En réponse au journal Jouons un peu avec linuxfr et CSS3. Évalué à 2 (+1/-0).
Top !
Pile ce que je voulais.
Merci :)
[^] # Re: c’est une arlésienne non ?
Posté par Sacha Trémoureux (site web personnel) . En réponse au lien Linux sur le bureau vient de dépasser la barre des 4%. Évalué à 6 (+6/-1). Dernière modification le 16 mars 2024 à 13:49.
Vous allez voir avec <insérer une mauvaise décision de Microsoft>, la part de Linux va définitivement exploser.
# TPM
Posté par Sacha Trémoureux (site web personnel) . En réponse au message Autodecrypt LUKS au démarrage. Évalué à 3.
Avec un TPM, j’ai suivi ça de mon côté https://wiki.archlinux.org/title/Systemd-cryptenroll#Trusted_Platform_Module — je pense pas que Ubuntu change grand chose.
[^] # Re: tag
Posté par Sacha Trémoureux (site web personnel) . En réponse au message Alternatives aux airtags. Évalué à 5.
Un code-barre sur le crâne, il pourra mettre une écharpe comme ça.
[^] # Re: backup ?
Posté par Sacha Trémoureux (site web personnel) . En réponse au journal Tour d'horizon de l'état des bases NoSQL. Évalué à 7.
Je te rejoins sur le fond, étant d’astreinte je préfère dormir tranquille avec des technos éprouvées en production.
Sur la forme, je maintiens que « les jeunes n'ont plus aucune culture en informatique » c’est une remarque particulièrement stupide et hautaine. Faut redescendre un peu.
[^] # Re: backup ?
Posté par Sacha Trémoureux (site web personnel) . En réponse au journal Tour d'horizon de l'état des bases NoSQL. Évalué à 2.
Source ? Hormis que tu vieillis ?
L’humilité et la remise en question c’est dans les deux sens.
[^] # Re: backup ?
Posté par Sacha Trémoureux (site web personnel) . En réponse au journal Tour d'horizon de l'état des bases NoSQL. Évalué à -10.
Pour une remarque de merde, t’as fait fort. Apprendre du passé bien sûr, être persuadé que les difficultés d’hier sont exactement les mêmes que celle d’aujourd’hui c’est vraiment être vieux con et ignorant.
[^] # Re: Cocorico
Posté par Sacha Trémoureux (site web personnel) . En réponse au lien Olvid la sécurité à la française c'est chez les américains. Évalué à 7.
L’argument de l’effort en moins à fournir est juste et difficilement attaquable. L’ennui c’est que le choix d’un prestataire d’hébergement européeen n’est même pas dans le cahier des charges.
[^] # Re: Python
Posté par Sacha Trémoureux (site web personnel) . En réponse au message Advent of Code 2023 : Day 9. Évalué à 1.
Je me joins au groupe de l’erreur du
sum()
[^] # Re: Traefik
Posté par Sacha Trémoureux (site web personnel) . En réponse au journal Caddy 2.7.5 est dehors, tout comme le bébé. Évalué à 2.
Traefik est un peu plus orienté reverse-proxy que Caddy.
[^] # Re: Question XY ?
Posté par Sacha Trémoureux (site web personnel) . En réponse au message Ligne de code qui refuse d'être factorisée. Évalué à 3.
L’ennui c’est l’endroit où tu places la limite entre scripter avec du bash est pertinent et efficace vs il commence à avoir pas mal de logique et sortir le langage de l’appli semble plus malin.
Mon avis est que beaucoup d’admin-sys vont pousser le curseur trop loin et utiliser le bash à des endroits peu pertinents qui peuvent aller au-delà de la simple intégration avec Linux.
[^] # Re: Question XY ?
Posté par Sacha Trémoureux (site web personnel) . En réponse au message Ligne de code qui refuse d'être factorisée. Évalué à 1.
Y’a une différence entre l’usage de la ligne de commande et faire des scripts en shell. Et dans ce dernier cas, je suis très moyennement convaincu de l’utilité d’une telle compétence dans le monde professionnel.
Le (ba)sh est un langage vraiment peu lisible et peu flexible. On le voit ici où pour générer des trucs aléatoires on se retrouve à coller des bouts de programme entre eux alors que n’importe quel autre langage tel que Python/Ruby/Perl (brrr) s’en sortira de façon beaucoup plus logique et maintenable. Dans un bon nombre d’équipes le bash n’est compris que par les admin sys et on se retrouve avec des difficultés de transmission de compétence assez rapidement alors que nous sommes dans une époque où on a tendance à favoriser les interactions avec les équipes de développement et les équipes gérant la production.
Ma règle qui est largement discutable c’est qu’au-delà de 20 lignes en bash le langage est mal choisi. Évidemment il y a des exceptions, quand la principale fonction d’un script est d’exécuter des trucs c’est toujours utile d’avoir des notions en bash.
[^] # Re: Tribune de 130 féministes en réponse à Emmanuel Macron
Posté par Sacha Trémoureux (site web personnel) . En réponse au lien «En français, le masculin fait l’homme, le dominant, il ne “fait pas le neutre”» (article partiel). Évalué à -6.
Merci de ton implication au quotidien pour la cause féministe. (:
[^] # Re: Conflit sur le port
Posté par Sacha Trémoureux (site web personnel) . En réponse au message Failed to start dnsmasq - A lightweight DHCP and caching DNS server.. Évalué à 4. Dernière modification le 25 octobre 2023 à 14:35.
Dans Ubuntu pour libérer le port 53 :
DNSStubListener=no dans /etc/systemd/resolved.conf
puis
systemctl daemon-reload && systemctl restart systemd-resolved
[^] # Re: Des phrases ?
Posté par Sacha Trémoureux (site web personnel) . En réponse au message visioconférences. Évalué à 2.
Nan mais c’est le folklore de LinuxFR aussi. Faut pas casser les traditions.