Ça va Windows, c’est une fois par mois, et encore tu peux repousser. Ce qui me permets d’éviter de dépasser 30 jours d’uptime sur le laptop. Au delà, sur Windows 11, certaines choses comme l’IHM de Windows Defender ou celle des réglages système commencent à deconner.
Sur le fond, je suis d'accord. A la fin, tu es obligé de faire confiance à l'éditeur du code, a moins de faire un audit complet. Donc que tu le pipe depuis curl ou que tu l'exécutes, le résultat est normalement le même (sauf si ta connection saute pendant le curl, ça interrompt le script).
C'est plus sur le principe, on voit le curl | sh, voir sudo sh, se banaliser, et ça peut être utilisé a des fins malveillantes car un néophyte ne s'en méfiera pas du tout. Il vaut mieux éviter et surtout éviter de montrer ce mauvais exemple aux nouveaux.
Évidemment non, je ne vérifie pas le code de tout mon OS, cependant, il est installé via des RPM (ou DEB, etc…) signés par l'émetteur. Cette signature est vérifiée par le gestionnaire de paquets avant installation, et donc seuls les paquets officiellement produits par l'éditeur peuvent s'installer. Si cet éditeur se fait pirater au point de se faire voler sa clé privée, il lui suffit de révoquer son certificat publiquement, et le gestionnaire de paquets ne fera plus confiance aux paquets signés par lui.
Ce n'est pas parfait, mais c'est tout de même mieux qu'un code hébergé sur un dépôt github dont on ignore la maîtrise.
Tu exécutes sur ta machine du code provenant d'internet sans vérifier au préalable ce qu'il fait. Il suffirait que le site d'où tu curl se soit fait pirater, et tu injectes un mineur de bitcoin sur ta machine !
Mea culpa ! Et il se passe quoi quand tu fais le Ctrl-D to bypass ?
L'intérêt de ne pas mettre de password a root est de ne pas pouvoir se loger avec. Cela est utile pour empêcher toute action d'administration non nominative, ainsi que pour réduire la surface d'attaque de la machine, root étant le seul utilisateur que tu trouves partout et donc que les bruteforcer tentent.
Il est des cas, assez spécifiques je te l'accorde, ou la traçabilité des activités d'administration est tellement importante qu'on préfère jeter la machine et en faire une autre que de se loger root dessus.
Après, peut-être peux-tu simplement expliquer le risque que cette mesure de sécurité lève, et au client de l'assumer, ou non…
Si tu veux faire des tests sous de vieux Solaris, le mieux c'est d'utiliser les zones Solaris 8 que propose Solaris 10, lui même virtualisable en LDOM sur un S7-2 en Solaris 11.
Après de toute manière même sous Solaris, si tu boot en single tu n'as que 2 comportements possibles. Soit tu as direct un shell root, soit tu as un prompt de login, te permettant d'utiliser un autre compte que root.
Le fait d'avoir root désactivé ou sans mot de passe n'empêche pas d'avoir un shell root. Pour preuve, désactive root, ne lui met pas de mot de passe, et depuis un autre user tapes sudo sh.
Chez nous sur les environnements de ce type on désactive le compte root, par contre on créé un utilisateur d'urgence, qui est dans les sudoers, avec un mot de passe ET un identifiant généré aléatoirement et mis sous enveloppe. Comme ça, si quelqu'un veut bruteforcer le compte, il lui faudra trouver le mot de passe mais aussi le login. Root c'est trop facile, tu es sur de le trouver sur tous les UNIX.
En fait, et surement pour de bonnes raisons, tout ce qui faisait la force de Firefox par le passé vis a vis de Chrome a été supprimé pour se rapprocher de Chrome. Donc on se retrouve maintenant avec un Chrome-like, en moins bien (et ça me fait mal de le dire).
En fait la question ne se pose pas trop car je pense que nous allons tous bientôt retourner au bureau. Dans mon service je suis un des seuls à être encore à 100% en télétravail.
Mais dans le cas général, en effet il y a plein de façons de garder du lien social avec ses collègues en télétravail. L’apéro c’est universel :D
Dans mon cas, on m’a proposé de revenir au bureau, mais j’ai souhaité continuer en télétravail à 100%. Moi qui était anti télétravail avant le confinement, quel changement !
Mais quel bonheur aussi.
Plus de trajet : 1H de sommeil/loisir/sport de gagné. Et moins de dépenses de carburant.
Je mange chez moi : moins cher et meilleur que la bouffe de la cantine d’entreprise.
Je suis 100% du temps avec ma femme : parfait, si j’ai une conjointe c’est pour passer un Max de temps avec elle.
Je ne vois plus les quelques insupportables du bureau. Par contre je vois moins souvent les bons collègues ça c’est le côté négatif.
Pour le moment je retourne au bureau occasionnellement quand le besoin s’en fait sentir (sysadmin, donc manips hardware ou intervention sur systèmes hors réseau, etc…). Et le retour à la normale sera dur à vivre pour moi c’est certain.
Le service marketing de VMware est proprement insupportable. Il ne se passe pas 1 mois sans qu'une personne de chez eux ne m'appelle pour me proposer un produit quelconque dont je n'ai pas besoin. Ils m'avaient même envoyé à mon bureau 2 commerciaux très classes en costard, Rolex et j'en passe pour me vendre du vRealize Orchestrator car j'ai eu le malheur de dire une fois que j'automatisais le déploiement de 3 pauvres serveurs de sessions. Pas facile de s'en débarrasser.
Et c'est dommage car cette stratégie commerciale ne rend pas hommage aux qualités techniques de leurs produits, en le vendant comme la solution miracle à tous les usages. Dans 80% des cas c'est pas adapté et ça ne leur fait pas une bonne pub.
Je suis bien d'accord avec toi, on voit ce cas fréquemment. Et je maintiens ce que je dis. VMware c'est pas fait pour cela. C'est super sur de très grosses infras avec de gros moyens et des équipes compétentes.
Pour les PME, associations, etc… C'est vraiment pas une bonne idée je pense, pour toutes les raisons que tu cites. Un Proxmox sera parfait. Et puis les licences vSphere franchement, c'est loin d'être donné…
En fait, ce qui m'énerve, c'est la critique de l'outil dans un cas d'usage qui n'est pas adapté. C'est comme si tu tirais à boulets rouges sur les bases Oracle parce que sur ton RPi c'est une horreur par rapport à MySQL. Oui, mais une base Oracle, c'est pas fait pour tourner sur un RPi à la maison.
ne permet pas de monter un système de fichier autre que leur truc proprio illisible ailleurs (ça rend beaucoup de choses bien compliquées, pas exemple transférer une VM vers un autre système car le serveur VMware est HS)
Pas grave, tu montes le volume de ta baie SAN sur un autre ESX. De toute façon, si la défaillance d'un ESX pose problème dans ton infra, tu as un soucis d'archi, pas d'outil.
infoutu de gérer du RAID logiciel donc fiabilité inférieure et matériel plus cher
Qui donc utilise les disques de l'ESX en RAID ??? Un cluster VMware c'est sur une baie SAN dédiée type NetApp, ou une solution hyperconvergée type Nutanix.
on ne peut pas mettre le système de supervision qu'on veut
Nagios le fait très bien.
pas possible d'installer le système de prévention d'intrusion qu'on veut
Exemple ?
la gestion des serveurs physique n'est possible que sur les points prévus par VMware, compliqué de faire sa tambouille à soi
C'est le concept des solutions type VMware. Tu prends le package et le configure selon la best practice, où même mieux tu fais faire cela par un prestataire agréé. VMware ça ne se "bidouille" pas. C'est pas fait pour ça.
le système de sauvegarde est quasi imposé
NetBackup, Avamar, Veeam, pour ceux que je connais en solution intégrée. Sinon, snap + sauvegarde block du SAN. Sinon, snap + rsync. Qu'est ce qui est imposé ?
Je note que pendant l'installation, il faut laisser le partitionnement en mode automatique. Si on s'amuse à tenter un partitionnement manuel, l'installation de GRUB crash.
Cependant ce n'est pas très grave, par défaut l'installeur créé un volume LVM, donc rien n'empêche après l'installation de le redécouper.
Java c’est le passé. Ça ne survit que par sa base de code énorme et la gestion du legacy dans les gros SI des industriels et administrations. Il existe pléthore de cas où un autre langage fait mieux le job. C#, C++17, Python, Go, Rust, etc…
Java et sa JVM sont des engeances infâmes qui bouffent des quantités de RAM infernales pour répondre à 3 requêtes HTTP lentement. Oui évidement il est possible de faire de super choses en Java : ElasticSearch, Hadoop, etc… mais la majorité des softs que je vois, ce sont des horreurs sans nom.
Bonjour, merci pour ce mode d’emploi mais… je suis navré je n’ai pas compris à quoi cela sert … peut être une petite introduction aurait été intéressante ?
[^] # Re: Félicitations et merci !
Posté par Dafyd . En réponse à la dépêche Fedora Linux 38 devient accessible !. Évalué à 1. Dernière modification le 11 mai 2023 à 00:22.
Ça va Windows, c’est une fois par mois, et encore tu peux repousser. Ce qui me permets d’éviter de dépasser 30 jours d’uptime sur le laptop. Au delà, sur Windows 11, certaines choses comme l’IHM de Windows Defender ou celle des réglages système commencent à deconner.
[^] # Re: VM est non écologique par essence
Posté par Dafyd . En réponse au journal Uxn : un langage assembleur axé sur la frugalité. Évalué à 6.
Dans le cas général, les VM permettent tout de même une mutualisation du hardware très importante.. et donc de la conso électrique !
[^] # Re: XDG
Posté par Dafyd . En réponse à la dépêche Environnement moderne de travail Python. Évalué à 2. Dernière modification le 29 mai 2022 à 23:13.
Sur le fond, je suis d'accord. A la fin, tu es obligé de faire confiance à l'éditeur du code, a moins de faire un audit complet. Donc que tu le pipe depuis curl ou que tu l'exécutes, le résultat est normalement le même (sauf si ta connection saute pendant le curl, ça interrompt le script).
C'est plus sur le principe, on voit le curl | sh, voir sudo sh, se banaliser, et ça peut être utilisé a des fins malveillantes car un néophyte ne s'en méfiera pas du tout. Il vaut mieux éviter et surtout éviter de montrer ce mauvais exemple aux nouveaux.
[^] # Re: XDG
Posté par Dafyd . En réponse à la dépêche Environnement moderne de travail Python. Évalué à 10.
Bonjour,
Évidemment non, je ne vérifie pas le code de tout mon OS, cependant, il est installé via des RPM (ou DEB, etc…) signés par l'émetteur. Cette signature est vérifiée par le gestionnaire de paquets avant installation, et donc seuls les paquets officiellement produits par l'éditeur peuvent s'installer. Si cet éditeur se fait pirater au point de se faire voler sa clé privée, il lui suffit de révoquer son certificat publiquement, et le gestionnaire de paquets ne fera plus confiance aux paquets signés par lui.
Ce n'est pas parfait, mais c'est tout de même mieux qu'un code hébergé sur un dépôt github dont on ignore la maîtrise.
[^] # Re: XDG
Posté par Dafyd . En réponse à la dépêche Environnement moderne de travail Python. Évalué à 10. Dernière modification le 28 mai 2022 à 23:20.
Tu exécutes sur ta machine du code provenant d'internet sans vérifier au préalable ce qu'il fait. Il suffirait que le site d'où tu curl se soit fait pirater, et tu injectes un mineur de bitcoin sur ta machine !
Le pire restera curl | sudo bash.
# Typo
Posté par Dafyd . En réponse au journal Broadcom rachète VMware. Évalué à 3.
Salut,
Il semblerait que Broacom ait envie de racheter VMware => Il manque un d à "Broacom".
[^] # Re: init=/bin/bash
Posté par Dafyd . En réponse au journal Les méfaits d'Ubuntu. Évalué à 3.
Mea culpa ! Et il se passe quoi quand tu fais le Ctrl-D to bypass ?
L'intérêt de ne pas mettre de password a root est de ne pas pouvoir se loger avec. Cela est utile pour empêcher toute action d'administration non nominative, ainsi que pour réduire la surface d'attaque de la machine, root étant le seul utilisateur que tu trouves partout et donc que les bruteforcer tentent.
Il est des cas, assez spécifiques je te l'accorde, ou la traçabilité des activités d'administration est tellement importante qu'on préfère jeter la machine et en faire une autre que de se loger root dessus.
Après, peut-être peux-tu simplement expliquer le risque que cette mesure de sécurité lève, et au client de l'assumer, ou non…
[^] # Re: init=/bin/bash
Posté par Dafyd . En réponse au journal Les méfaits d'Ubuntu. Évalué à 7.
Si tu veux faire des tests sous de vieux Solaris, le mieux c'est d'utiliser les zones Solaris 8 que propose Solaris 10, lui même virtualisable en LDOM sur un S7-2 en Solaris 11.
Après de toute manière même sous Solaris, si tu boot en single tu n'as que 2 comportements possibles. Soit tu as direct un shell root, soit tu as un prompt de login, te permettant d'utiliser un autre compte que root.
Le fait d'avoir root désactivé ou sans mot de passe n'empêche pas d'avoir un shell root. Pour preuve, désactive root, ne lui met pas de mot de passe, et depuis un autre user tapes sudo sh.
[^] # Re: Compte d'urgence
Posté par Dafyd . En réponse au journal Les méfaits d'Ubuntu. Évalué à 6.
init=/bin/sh sur la ligne d'arguments du kernel dans Grub dans ce cas…
# Compte d'urgence
Posté par Dafyd . En réponse au journal Les méfaits d'Ubuntu. Évalué à 10.
Hello
Chez nous sur les environnements de ce type on désactive le compte root, par contre on créé un utilisateur d'urgence, qui est dans les sudoers, avec un mot de passe ET un identifiant généré aléatoirement et mis sous enveloppe. Comme ça, si quelqu'un veut bruteforcer le compte, il lui faudra trouver le mot de passe mais aussi le login. Root c'est trop facile, tu es sur de le trouver sur tous les UNIX.
Un bon compromis ?
# Plus de Firefox pour moi
Posté par Dafyd . En réponse à la dépêche Histoire des systèmes d’extensions de Firefox. Évalué à -2.
Bonjour,
En fait, et surement pour de bonnes raisons, tout ce qui faisait la force de Firefox par le passé vis a vis de Chrome a été supprimé pour se rapprocher de Chrome. Donc on se retrouve maintenant avec un Chrome-like, en moins bien (et ça me fait mal de le dire).
Du coup perso je suis parti…
[^] # Re: Télétravail
Posté par Dafyd . En réponse au journal Télétravail, premier pas vers une délocalisation générale ?. Évalué à 2.
En fait la question ne se pose pas trop car je pense que nous allons tous bientôt retourner au bureau. Dans mon service je suis un des seuls à être encore à 100% en télétravail.
Mais dans le cas général, en effet il y a plein de façons de garder du lien social avec ses collègues en télétravail. L’apéro c’est universel :D
[^] # Re: Vive le télétravail
Posté par Dafyd . En réponse au journal Télétravail, premier pas vers une délocalisation générale ?. Évalué à 1. Dernière modification le 21 juin 2020 à 13:39.
kaos : Boules Quies et communication par mail :D
# Télétravail
Posté par Dafyd . En réponse au journal Télétravail, premier pas vers une délocalisation générale ?. Évalué à 10. Dernière modification le 20 juin 2020 à 17:56.
Dans mon cas, on m’a proposé de revenir au bureau, mais j’ai souhaité continuer en télétravail à 100%. Moi qui était anti télétravail avant le confinement, quel changement !
Mais quel bonheur aussi.
Plus de trajet : 1H de sommeil/loisir/sport de gagné. Et moins de dépenses de carburant.
Je mange chez moi : moins cher et meilleur que la bouffe de la cantine d’entreprise.
Je suis 100% du temps avec ma femme : parfait, si j’ai une conjointe c’est pour passer un Max de temps avec elle.
Je ne vois plus les quelques insupportables du bureau. Par contre je vois moins souvent les bons collègues ça c’est le côté négatif.
Pour le moment je retourne au bureau occasionnellement quand le besoin s’en fait sentir (sysadmin, donc manips hardware ou intervention sur systèmes hors réseau, etc…). Et le retour à la normale sera dur à vivre pour moi c’est certain.
# Ploum avait raison...
Posté par Dafyd . En réponse au journal Il était une fois… la procrastination. Évalué à 7.
Ploum vous avait pourtant bien dit de refaire DLFP en J2EE et non pas en Rails… j’attends avec impatience la migration Websphere / DB2 / AIX
[^] # Re: PetiteMerveille
Posté par Dafyd . En réponse à la dépêche Proxmox VE 6.2 est disponible. Évalué à 3. Dernière modification le 19 mai 2020 à 02:30.
Le service marketing de VMware est proprement insupportable. Il ne se passe pas 1 mois sans qu'une personne de chez eux ne m'appelle pour me proposer un produit quelconque dont je n'ai pas besoin. Ils m'avaient même envoyé à mon bureau 2 commerciaux très classes en costard, Rolex et j'en passe pour me vendre du vRealize Orchestrator car j'ai eu le malheur de dire une fois que j'automatisais le déploiement de 3 pauvres serveurs de sessions. Pas facile de s'en débarrasser.
Et c'est dommage car cette stratégie commerciale ne rend pas hommage aux qualités techniques de leurs produits, en le vendant comme la solution miracle à tous les usages. Dans 80% des cas c'est pas adapté et ça ne leur fait pas une bonne pub.
[^] # Re: PetiteMerveille
Posté par Dafyd . En réponse à la dépêche Proxmox VE 6.2 est disponible. Évalué à 6. Dernière modification le 17 mai 2020 à 22:07.
Je suis bien d'accord avec toi, on voit ce cas fréquemment. Et je maintiens ce que je dis. VMware c'est pas fait pour cela. C'est super sur de très grosses infras avec de gros moyens et des équipes compétentes.
Pour les PME, associations, etc… C'est vraiment pas une bonne idée je pense, pour toutes les raisons que tu cites. Un Proxmox sera parfait. Et puis les licences vSphere franchement, c'est loin d'être donné…
En fait, ce qui m'énerve, c'est la critique de l'outil dans un cas d'usage qui n'est pas adapté. C'est comme si tu tirais à boulets rouges sur les bases Oracle parce que sur ton RPi c'est une horreur par rapport à MySQL. Oui, mais une base Oracle, c'est pas fait pour tourner sur un RPi à la maison.
[^] # Re: PetiteMerveille
Posté par Dafyd . En réponse à la dépêche Proxmox VE 6.2 est disponible. Évalué à 3.
Pas grave, tu montes le volume de ta baie SAN sur un autre ESX. De toute façon, si la défaillance d'un ESX pose problème dans ton infra, tu as un soucis d'archi, pas d'outil.
Qui donc utilise les disques de l'ESX en RAID ??? Un cluster VMware c'est sur une baie SAN dédiée type NetApp, ou une solution hyperconvergée type Nutanix.
Nagios le fait très bien.
Exemple ?
C'est le concept des solutions type VMware. Tu prends le package et le configure selon la best practice, où même mieux tu fais faire cela par un prestataire agréé. VMware ça ne se "bidouille" pas. C'est pas fait pour ça.
NetBackup, Avamar, Veeam, pour ceux que je connais en solution intégrée. Sinon, snap + sauvegarde block du SAN. Sinon, snap + rsync. Qu'est ce qui est imposé ?
Et tu te permets de juger ?
# L'écosystème JavaScript était trop simple
Posté par Dafyd . En réponse à la dépêche Sortie de Deno 1.0. Évalué à 10.
Rajoutons encore un nouvel outil incompatible avec les autres !
Je vois déjà arriver le DenoHub, le DenoPM, les modules node2deno, deno2node, denowebpackfrombabelnodets…
PS : J'ai le droit on est vendredi :P
# Installation
Posté par Dafyd . En réponse à la dépêche Fedora Silverblue en pratique. Évalué à 2.
Bonjour,
Je note que pendant l'installation, il faut laisser le partitionnement en mode automatique. Si on s'amuse à tenter un partitionnement manuel, l'installation de GRUB crash.
Cependant ce n'est pas très grave, par défaut l'installeur créé un volume LVM, donc rien n'empêche après l'installation de le redécouper.
[^] # Re: Le passé
Posté par Dafyd . En réponse à la dépêche Java 14 tombe le masque. Évalué à 1.
Ben oui faut savoir se faire plaisir !!
# Le passé
Posté par Dafyd . En réponse à la dépêche Java 14 tombe le masque. Évalué à -10.
Java c’est le passé. Ça ne survit que par sa base de code énorme et la gestion du legacy dans les gros SI des industriels et administrations. Il existe pléthore de cas où un autre langage fait mieux le job. C#, C++17, Python, Go, Rust, etc…
Java et sa JVM sont des engeances infâmes qui bouffent des quantités de RAM infernales pour répondre à 3 requêtes HTTP lentement. Oui évidement il est possible de faire de super choses en Java : ElasticSearch, Hadoop, etc… mais la majorité des softs que je vois, ce sont des horreurs sans nom.
Voilà, moinssez.
# Un mode d’emploi pour quoi faire ?
Posté par Dafyd . En réponse au journal chroot scp avec scponly. Évalué à 3.
Bonjour, merci pour ce mode d’emploi mais… je suis navré je n’ai pas compris à quoi cela sert … peut être une petite introduction aurait été intéressante ?
[^] # Re: Ligne éditoriale et bonne pratique de modération
Posté par Dafyd . En réponse à la dépêche Kubuntu Focus : un portable optimisé. Évalué à 2.
Je propose de lancer un grand débat citoyen sur le sujet !
OK je ======> [] 😂
[^] # Re: Ligne éditoriale et bonne pratique de modération
Posté par Dafyd . En réponse à la dépêche Kubuntu Focus : un portable optimisé. Évalué à 0.
Texte long => dépêche
Texte court => journal
Texte très court => lien
?