cg a écrit 1372 commentaires

Je viens de découvrir qu'il existe ceci, c'est concomitant à la pause de Linus Torvalds dans la gestion de Linux à cause de ses écrits parfois enlevés :

Charte de GNU pour une communication bienveillante

par Richard Stallman

Objectif

Le projet GNU encourage tous ceux qui souhaitent faire progresser le système GNU à apporter leur contribution, quels que soient leur identité de genre, leur race, leur groupe ethnique, leur apparence physique, leur religion, leur parcours culturel ou autre caractéristique démographique, et quelles que soient leurs opinions politiques.

Certaines personnes sont parfois dissuadées de participer au développement du projet GNU par certaines formes de communication qu'elles ressentent comme inamicales, peu accueillantes, discriminantes ou violentes. Cette désincitation affecte en particulier les membres de catégories démographiques non privilégiées, mais ne se limite pas à elles. Pour cette raison, nous demandons à tous nos contributeurs de faire un effort, sur les listes et canaux de discussion du projet GNU, pour éviter de communiquer d'une manière qui aurait pour conséquence probable et injustifiée de rebuter d'autres contributeurs.

Ce guide propose différents moyens d'atteindre cet objectif.

---

La suite ici :

fr: https://www.gnu.org/philosophy/kind-communication.fr.html
en: https://www.gnu.org/philosophy/kind-communication.html

Joli mystère :).

essaye avec ssh -v qui va te dire des trucs du genre:

debug1: identity file /home/johnwayne/.ssh/id_rsa type 0

Au hasard, y-a-t-il un /root/.ssh/config ou /etc/ssh/ssh_config qui indique une clé spécifique pour se connecter sur ton serveur de sauvegarde ? Fichier qui aurait été restauré depuis ton backup.

(et bravo d'avoir des backups offline !)

En fait, quand j'ai vu hdajackretask je me suis dit que ça faisait partie de JACK, qui est pour simplifier un serveur audio prévu pour le travail en faible latence. Mais rien à voir :).

Si le volume est à fond et que le micro n'est pas en sourdine, comme ça je vois pas, désolé.

https://rsf.org/fr/france

Je suis assez d'accord avec tout ce que tu as écrit, je voulais juste souligner un point.

Mais le problème selon moi est le manque de pragmatisme ou de connexion avec la réalité.

Je trouve que c'est justement son point fort. Stallman explore les idées qu'il veut, ce qui va, de temps en temps, changer la réalité.

Pour voir si ça fonctionne sur une couche plus basse, essaye ceci:

• désactiver pulseaudio (pulseaudio -k, systemctl stop pulseaudio, selon comment il est lancé).
• désactiver jack s'il est actif (sans doute source de conflit avec pulseaudio d'ailleurs)
• regarder les niveaux et les mutes avec alsamixer (F6 pour changer de carte, parfois il y a plusieurs "cartes"). Il se peut que le micro soit en sourdine dans alsa et que pulseaudio ne sache pas le désourdiner.

et celle-ci, c'est ce que sont les Cintiq et XP Pen Artist :

3 . Un moniteur HDMI sur lequel est posé une tablette graphique de type (1) mais transparente.

3bis . Une tablette graphique de type (1) avec un moniteur HDMI en guise de plateau.

Tu peux tenter avec ssh localhost ? (il y a sans doute mieux avec les outils ssh, mais la flemme :) )

Hello,

à mon travail (studio d'effets spéciaux pour le cinéma), on utilise des tablettes Wacom sur Debian. Ce qui est génial c'est que même les très vieilles tablettes (+ de 10 ans) fonctionnent encore. Le haut de gamme genre Cintiq fonctionne aussi. Il faut faire attention à ne pas perdre le stylet, car ça coûte cher, quand on les trouve encore :-/.

Là, je suis chez moi, je viens de brancher la PTH-660 de ma copine (un peu au-dessus de ton budget en taille medium. La tablette, pas la copine !) sur mon Archlinux, voila, ça fonctionne, et je n'ai rien fait de spécial.

J'imagine qu'en occasion tu peux trouver des modèles récents en taille M, L ou XL à moins de 200€.

Aucune idée pour les XP Pen, désolé.

Je pense que prodftpd est un bon choix si tu veux faire des choses sophistiquées.

Le truc à prévoir c'est soit d'avoir une IP dédiée au service, qui permettent d'utiliser protftpd et sshd sur le port 22, ou mettre proftpd sur le port 2222 par exemple, avec si tu veux un NAT de port en entrée de réseau.

Si le driverless c'est IPP Everywhere, je l'ai fait fonctionner sur des machines Debian 10 en connection TCP/IP, sur une imprimante d'une autre marque. Je ne savais même pas que ça existait, c'était la bonne surprise.

et c'était là ma question, savoir si un VPN qui fait du L2 existait, pour n'avoir qu'un seul range réseau privé,et donc une seule interface sur les VMs

Alors, je pense que OpenVPN en mode bridge fait exactement ce que tu veux.

Tu peux en plus mettre des TTLs très courts sur ton DNS, en faisant des mises à jour dynamiques quand une des VMs tombe. Les navigateurs Web s'en sortiront très bien avec ça. Les applis qui cachent à l'infini les résolutions DNS (Java, par défaut), beaucoup moins bien.

Ça me rappelle qu'on avait un truc de ce genre à un ancien boulot sur une infra : un réseau niveau 2 entre deux site distants de 300km, avec des VMs qui pouvaient migrer d'un site à l'autre (pas à chaud si je me souviens bien). La migration fonctionnait bien, mais par contre le routage dans la VM utilisait toujours la gateway du site d'origine (il y avait une gateway par site pour sortir sur Internet sans faire 300km, on devait aller la modifier à la main), et niveau firewall il fallait tout bien prévoir en double pour que la VM puisse travailler normalement en cas de migration. Au final, ce n'était pas tellement pratique, et grande source de confusion pour tout ceux qui manipulent peu le routage (comme moi à cette époque).

Bon courage pour ta maquette alors !

Bonsoir,

mais quand le serveur1 tombe, les VMs qui sont dessus aussi.

et aussi le VPN, non, d'après ton schéma ?

Il faudrait un schéma plus précis, qui indique quel matériel porte quel composant (IP publique, endroit du NAT s'il y en a, reverse proxy, serveur d'application, VPN…).

Admettons que le serveur1 reste disponible, que le VPN est toujours ok, et que la VM soit relancée sur l'autre datacenter. Tu vas sans doute avoir un problème de routage : l'IP de ta VM 10.1.1.34 est maintenant de l'autre côté du VPN !

Il faut alors avoir prévu de monter un VPN qui travaille au niveau 2, avec un seul subnet qui se propage par le VPN, y compris les adresses MAC (exemple avec OpenVPN).

Un montage de VPN plus classique fonctionne avec du routage (niveau 3), auquel cas il faut pouvoir modifier le routage dynamiquement sur les VMs.

Pour finir, comme tu as exactement 2 serveurs dans ton exemple, en cas de problème réseau entre les deux serveurs, tu peux être victime d'un split-brain, c'est à dire que chaque serveur croit que l'autre est mort, et va prendre le rôle de l'autre. Un sacré bazar en perspective !

La solution du round-robin DNS proposée plus haut fonctionne plus ou moins bien selon les désirs du client qui y accède… Ça dépanne bien, c'est gratuit et c'est simple. Par contre tu ne maîtrise pas quelle IP va être choisie ! Pour le resolv.conf, l'ordre est respecté, mais dans le cas où 2 IPs sont en round-robin (C'est à dire 1 nom, 2 IPs), ben le serveur DNS va renvoyer les IPs dans un ordre différent à chaque fois. Donc tes services doivent tourner sur les deux serveurs… Et se synchroniser s'il y a une base de données par exemple :p.

J'avais vu il y a quelques temps une bibliotèque Javascript nommée Resilient qui implémente la haute disponibilité côté client. Bien sûr, ça ne fonctionne que dans le cas où tu maîtrises le client, ce n'est pas un mécanisme normalisé. Mais j'avais trouvé l'approche originale.

Bref, ce n'est pas impossible, mais il faut quelques composants en plus, qui peuvent eux-même tomber en panne :p.

Je ne crois pas qu'il existe des modules GSM non propriétaires (je rêve que quelqu'un me contredise !).
Tu peux trouver des assemblages open-source, mais pas 100% open/libre.

Voir par exemple : https://en.wikipedia.org/wiki/List_of_open-source_mobile_phones

Ah, sympa. J'avais mis Doudoulinux sur un vieux laptop il y a 3-4 ans. Mais les enfants ont grandi depuis… Je vais essayer !

Sinon, à l'allumage de mon PC, on se retrouve dans un xterm sous i3. Donc mes gamines doivent connaître les commandes pour lancer les jeux. Et elles les connaissent :D !

fsck c'est la commande qui répare les données. ça veut dire File System CHeck.

/dev/sda1 etc… est le nom sous Linux pour les partitions (là où les données sont stockées).

Et donc l'espace est important entre la commande (fsck) et le paramètre (/dev/sda1 etc…).

Par contre, je suis pas tout à fait certain pour le message d'erreur. Input/Output Error peut indiquer un problème matériel au niveau du disque dur lui-même (usure ou défaut).

Essaye ces commandes et répond y à toutes les questions :

fsck /dev/sda1
fsck /dev/sda2
fsck /dev/sda3
(etc... jusqu'à ce qu'il dise que ça n'existe pas)
reboot

Souvent ça suffit.

Ce qu'il s'est passé, c'est que l'ordinateur a planté et le/les systèmes de fichiers sont corrompus de telle manière que le système ne veut pas prendre la responsabilité de réparer tout seul. fsck va essayer de remettre tout en ordre, mais va te demander confirmation. Comme ça si ça foire ben c'est ta faute, malin non :D ?.

Autre solution : démarrer sur une clé bootable de Mint en mode "sans installation", et tenter de réparer depuis ce système.

Je ne sais pas si l'installeur de Mint propose de réinstaller par dessus un système sans reformater (risqué !).

J'ai revérifié tout à l'heure. La doc (qui recouvre 3-4 modèles proches) dit qu'on peut envoyer les scans directement à son serveur SMTP (petit moment de solitude là :-/). Sauf qu'on peut pas sur ce modèle précis, une erreur dans la doc sans doute (ça va, je suis pas encore sénile :D).

J'ai aussi retrouvé les refs vers le webservice et ses CGU, qui sont relativement raisonnables (par-rapport à un revendeur de publicité), mais posent quand même problème quand on scanne un NDA.

La doc qui dit comment envoyer le scan vers un mail, mais qui ne fonctionne pas.

La doc qui dit comment utiliser le webservice aux US, et ses conditions d'utilisation.

Le point le plus gênant dans cette histoire c'est qu'il est très difficile de savoir tout ça avant l'achat.

En gros la logique classique de l'imprimante d'entreprise, à savoir "l'imprimante sait chercher les adresses mails dans mon LDAP et envoyer un mail sur le serveur mail de mon choix" n'est pas supportée.

Pour nuancer, je dirais que pour des gens qui utilisent Google Drive, Dropbox ou poser leur fichier sur un partage Sharepoint, SMB ou FTP, oui c'est super, ils peuvent envoyer les scans direct dedans.

Bref, au prochain achat d'imprimante, je serais très vigilant.

Un reverse proxy, SJNMA (Si Jeune, et déjà Mabuse) c'est pour permettre à un serveur (genre Apache ou Nginx) de "passer la main à / laisser passer les requetes vers" un autre serveur (typiquement Python, Node, etc.) non ?

Pas que. En l'occurrence, Traefik, HAProxy, Pound, et certains modules Apache comme mod_proxy_balancer etc… font de la répartition de charge, et savent surveiller les noeuds qui tombent en rade pour les enlever/mettre dynamiquement du pool. Et bien plus encore.

L'autre intérêt d'avoir un reverse proxy est d'accéder à des fonctions qui ne sont pas forcément dans le serveur applicatif, comme la réécriture d'URLs, l'authentification, les protections DDoS et j'en passe (voir la liste des modules Apache par exemple).

Aussi, le reverse proxy va servir à faire une rupture protocolaire, qui va (souvent) permettre de faire un filtrage plus fin entre des zones de sécurité, et limiter l'impact des bugs présents dans le serveur d'appli, qui souvent est plus complexe que le proxy, et à accès à plus de choses (genre base de données).

Enfin, on voit beaucoup de reverse proxies mutualisés entre services : par exemple, au lieu de mettre sur le grand net sauvage tous tes serveurs, tu n'exposes que les proxies (typiquement une paire en HA).

Tout n'est pas rose, bien sûr : si tes reverse proxies mutualisés plantent, toutes les applis derrière deviennent indisponibles.

Bref, c'est bien plus qu'un passe plat ;)

Ah oui, dans ce cas-là tu as des règles et des ordres contradictoires. Dans ce contexte, ça semble en effet risqué de ne pas pouvoir passer root en mode dégradé. Dans un autre contexte, c'est à réfléchir…

Bon courage !

Les caches en général (des navigateurs ou des clients mails, de gimp, etc…) bénéficient bien d'un SSD, quand même.

L'idéal serait de faire un tiering intelligent (le système place les fichiers accédés fréquemment sur le SSD tout seul), mais ce n'est hélas pas trivial.

Moi non plus je ne comprend pas. Voici toute de même une petite histoire d'horreur sur le sujet.

On a une imprimante multifonction au boulot. Le scanner se configure simplement : on met son mail dans un raccourci une première fois et voilà. Ensuite on met ses docs dans le scanner, on tape sur le raccourci "Jean-Doux" et zou, on a les docs dans sa boîte mail.

Et puis un jour, je vois qu'on ne peut créer que 10 (ou 12) comptes pour les scans. Ne comprenant pas bien d'où vient cette limite, je m'intéresse de plus près à la chaîne technique entre le scanner et ma mailbox. Donc je scanne un truc, et je regarde les en-têtes de mail reçus de la part du scanner.

Et là, horreur ! Je découvre que l'imprimante envoie les documents à un webservice hébergé sur AWS (aux États-Unis d'après l'IP), qui me le renvoie ensuite en PDF par mail. Me voilà doublement contrarié : je voulais justement couper l'accès à Internet à cette imprimante, mais la fonction scanner ne peux pas fonctionner sans, et aussi je pense à tous ces contrats et NDAs qui sont passés par chez Amazon ! Les bras m'en tombent.

Le calme revenu, je cherche ensuite comment indiquer à l'imprimante de bien vouloir utiliser mon serveur SMTP. J'ai du mal voir, ce n'est pas possible autrement. En effet, c'est possible, mais juste pour recevoir les messages d'erreur ou les logs, pas pour recevoir les scans !

Au final, je contourne le problème : il y a un mode dans lequel l'imprimante peut déposer les PDFs sur un serveur SFTP interne installé pour l'occasion. Et donc ce serveur SFTP transfère les docs déposés par mail (avec quelques modifs à ftpmail fourni dans proftpd). Tout reste dans mon réseau interne, ouf !

Tout ça pour dire que "le cloud" c'est tellement trop pratique que même du matériel "pro" va considérer que ce n'est pas un problème ou une question d'envoyer tes documents (parfois des choses très confidentielles) à l'autre bout du monde. Et va le proposer comme option par défaut. Bien sûr la doc n'en fait mention nulle part.

Pour le boot en mode crash, il y a le init=/bin/sh déjà mentionné (est-ce que ça fonctionne sur Solaris ?), mais aussi le démarrage sur le réseau, sur USB (ou floppy 5'¼ avec tomsrtbt dans ton cas ;) ). Bref, ça ne me semble pas un argument très fort.

Ce que j'ai plus de mal à comprendre, c'est le sens de "désactiver le root". Plein de processus tournent en user root/0. Certes, tu peux enlever le sticky de /bin/su ou blinder pam (puis faire un sudo su à la place), mais comme ça pour moi la phrase n'a pas de sens :-/ . Y'à un truc que j'ai pas compris ?

Hello,
si tu as /usr et /home sur le HDD, il ne va quasiment rien rester sur le SSD… /etc et /var pour faire court. En résumé, tu ne profiteras pas de la vitesse du SSD.

Ce que je ferais :

• Utiliser LVM pour le partitionnement, comme ça tu peux changer la taille des partitions après coup si tu as vu trop juste.

• Mettre tout ton système et ton home sur le ssd. Par exemple :

/       30/40Go si tu installes plein de trucs
/var    4-5 Go suffit en général
/home   180 Go (garder quelques gigas pour pouvoir resize le `/` tranquillement au cas où).
swap    pourquoi pas, mais j'en ai longtemps pas mis.

• Mettre les trucs qui prennent de la place et n'ont pas besoin trop de vitesse, comme des videos ou des images ISO, voire des photos, sur le HDD et faire un montage dans ton home (par exemple monter /dev/sdb1 sur /home/heronmaiden/grospepere/).

Comme ça tu as un système rapide pour quasiment tout.

Et le jour où tu as un second SSD, tu peux facilement migrer ton HDD dessus.

(Edit: zut j'avais pas vu que c'est déjà mentionné dans les réponses, désolé !)

Est-ce vous avez essayé Vagrant ?

C'est certes basé sur des machines virtuelles, mais ça normalise et automatise leur fabrication.