Sur un PC linux slackware 14.1 (la dernière version) 64 bits (…) impossible d'imprimer la page de test
(…)
Sur un autre PC avec slackware 12.2 32 bits (…) cela fonctionne
Pour rappel : Slackware propose un système 64 bits "pur", sans couche de compatibilité 32 bits par défaut.
Il n'est pas impossible que les fichiers .deb/.rpm que tu as installé contiennent des fichiers nécessitant un support 32 bits.
J'avais pensé à ClamAV mais l'absence de console est un vrai problème, et pour revenir à ClamAV supporte il la comparaison avec disons un Nod32?
Le prix n'est pas forcément un critère rédhibitoire (dans la limite du raisonnable), c'est vrai qu'on aimerait bien que la console soit sur Linux mais j'ai pas l'impression qu'il y'en ait beaucoup qui propose ça …
Ce n'est effectivement pas dans les fonctionnalités de ClamAV que de proposer une console d'administration, si on a besoin de gérer plusieurs serveurs sous Linux utilisant ClamAV, la gestion consistera à garder les paquets à jour et à mettre à jour les signatures, rien de très complexe.
Je ne connais pas le client sous MS Windows, mais en terme d'efficacité il est toujours possible de trouver un autre antivirus "qui fait mieux" sur un point particulier. Concernant les plug-ins de navigateurs et autres parasites d'autres antivirus commerciaux ne font pas toujours efficaces (hello Symantec) et il faut recourir à des logiciels tiers pour éliminer tout ça.
Il faudra te renseigner sur le prix, mais il semble qu'il y ait au moins F-Secure qui propose une solution antivirus avec une console d'administration sous Linux : https://www.f-secure.com/en/web/business_global/products/policy-manager (voir le lien "Less manual work - Technical data sheet" dans la section documentation). Je n'ai jamais essayé et je n'ai pas d'actions chez F-Secure, je sais seulement qu'ils proposent des produits pour Linux depuis quelques années. Je crois me souvenir qu'un autre éditeur propose aussi quelque chose…
Une autre solution possible : utiliser le "Client Customization Kit" (CCK) pour Mozilla Firefox, qui permet, il me semble, de verrouiller certaines options, comme l'installation de plug-ins. Évidemment cela ne règle pas le problème pour d'autres navigateurs.
D'ailleurs il y a un biopic aussi sur Stephen Hawking qui va sortir
"The Theory of Everything", que j'ai également eu l'occasion de voir. C'est un bon film, qui s'intéresse plus à l'homme et à sa vie personnelle qu'à l'aspect "scientifique/recherche" (le film est basé sur une biographie écrite par sa première femme, d'où l'importance de l'aspect familial). Évidemment il y a un peu de vulgarisation scientifique.
(et tant qu'on est dans les critiques cinémas je peux aussi donner un avis sur "Penguins of Madagascar" si besoin est).
Je ne me rappelle pas d'avoir eu de mauvaise surprise. Le "bachotage" peut suffire (ce qui est une critique fondée pour ce genre de test/certification), et est surtout utile pour les choses "idiotes" du genre "l'option x de la commande foo".
Comme pour tout examen à base de QCM, le temps est un facteur important : je conseille de lire l'intégralité du questionnaire en premier, noter mentalement les questions faciles et les difficiles puis répondre à chacune et enfin relire (et revérifier une seconde fois si possible).
Pour ce faire une petite idée de ce que cela donne il existe le LPI Practice Exams sur Penguin Tutor ; ce n'est pas exactement le LPI évidemment, mais ça peut servir comme base d'entraînement.
Pour répondre aux autres questions : la durée de préparation est différente pour chacun. Selon ton expérience et tes facilités d'apprentissage tu peux avoir besoin de quelques mois ou quelques semaines. J'aurais tendance à prévoir deux mois pour être à l'aise (et laisser un peu de marge de manœuvre si tu ne peux pas y passer autant de temps que prévu).
La certification se passe "In Real Life", je ne crois pas qu'il y ait de version en ligne.
J'ai passé la certification LPI de niveau 1 il y a quelques années et voici mon appréciation :
C'est un QCM, il faut bachoter, et même en ayant un niveau solide, ça permet de revoir, voir de découvrir, des choses. C'est un des gros avantages que j'ai ressenti. Quelques copains ont aussi passé du temps à réviser avec moi dans le même objectif, et cela permet d'enchaîner sur des discussions techniques sur tel ou tel outil ou méthode.
J'ai profité des réductions pour passer les examens au FOSDEM (50%), c'est toujours ça de gagné.
Au niveau professionnel : aucun gain. Après c'était une démarche purement personnelle (je n'en ai pas discuté avec mon employeur à l'avance) et étant dans la fonction publique, ce genre de chose ne rentre pas en ligne de compte (et j'en étais conscient). J'ai juste eu un mail de félicitations.
LPI me paraît préférable à une certification "de vendeur" car elle couvre n'importe quelle distribution Linux ou presque. Si tu es certain de devoir travailler au quotidien avec Red Hat (ou CentOS) cela peut avoir plus d'intérêt.
Autre retour : quelques années plus tard j'ai entrepris une démarche de validation des acquis de l'expérience. L'investissement personnel est beaucoup plus important (rédaction de mémoire sur un an) mais cela m'a donné une license professionelle à la clé, ce qui est sans comparaison aucune avec une "simple certification".
Certes, mais quelles infos sortent de la boucle de confiance toi + FAI?
Tout ce qui peut se balader en clair lorsqu'on utilise un hotspot dans un lieu public, un café,… ou même les postes en libre-accès dans une bibliothèque. Même si un opérateur de réseau local peut récupérer d'autres informations, il n'y a pas forcément de raison de "donner" le trafic DNS si on peut l'éviter.
L'intérêt d'avoir une discussion à ce sujet au niveau de l'IETF c'est que si les choses font leur chemin, cela améliorerait sensiblement les choses pour les utilisateurs non avertis. Le lecteur moyen de LinuxFr peut en effet connaître Tor, VPN, … et utiliser ces techniques, mais pas forcément "M. Toutlemonde".
Ce genre de chose doit être possible en utilisant les fonctions internes de Postfix ("built-in content inspection" comme par exemple header_checks à base d'expressions rationnelles) ou de développer son propre programme d'inspection ("Milter") qui viendra se greffer dans la file de traitement des messages, comme le ferait un programme antispam ou antivirus.
Dans tous les cas je recommande chaudement une batterie intensive de tests pour vérifier l'application des règles telles que souhaitées.
Je n'ai pas le même genre de problème (même si mon fournisseur d'accès est loin d'être un bon élève en ce qui concerne le service DNS) mais il me semble beaucoup plus intéressant à plusieurs points de vue d'avoir son propre résolveur DNS chez soi.
Dans le cas que tu cites, Unbound pourrait être une bonne solution : cela "répare l'accès à Internet" sans passer par les services de Google (ou autre prestataire de DNS public, qui se fait sûrement une joie de regarder tout ce qui passe) et il est possible de déclarer une liste d'adresses propre à ton réseau local (ce qui est gérable pour une liste assez courte, de manière basique). Cerise sur le gâteau, cela permet aussi de bénéficier de DNSSEC.
BIND permet aussi la même chose, mais est un peu plus complexe à mettre en œuvre. D'autres logiciels existent dans la même catégorie (dnsmasq par exemple, que je ne connais pas).
Un résolveur DNS local pourra être utilisé par tout autre machine sur le réseau local (avec les bonnes directives de configuration pour en autoriser l'accès). L'idéal étant d'avoir le service installé sur une machine disponible en permanence afin de pouvoir disposer d'un meilleur cache.
Si on se cantonne à utiliser le service de courrier (sans les fonctions de calendrier et autre) et que le service IMAP est activé n'importe quel bon client de courrier électronique peut être utilisé. Le piège est éventuellement la façon dont est gérée l'authentification (MS Exchange n'annonce même pas toutes les méthodes supportées).
Et de fait on reçoit tout de même les "invitation de réunion" depuis le calendrier d'un collègue, sauf que le format est un peu barbare.
Reste les à-côtés rigolos comme le fait que MS Outlook permette "d'effacer" un message envoyé à un autre utilisateur du même serveur, mais comme cela ne marche qu'avec MS Outlook on voit tout de même que la personne a tenté d'annuler quelque chose… (fonction "Recall this message" en anglais).
Tout dépend comment c'est utilisé : si par miracle les utilisateurs ne se servent de MS Exchange que pour le courrier électronique alors n'importe quel serveur libre pourra faire le remplacement (Postfix, Exim, …).
Mais bien souvent c'est l'ensemble des fonctionnalités qui sont utilisées : courrier, calendrier (partagé avec les collègues), gestion de tâches, … Et pour ça un serveur de courrier n'est pas suffisant, il faut ajouter d'autres briques. Et c'est là que le bât blesse, les utilisateurs ne veulent généralement pas perdre leur habitudes et les fonctions auxquels ils sont habitués.
Remplacer MS Exchange : techniquement oui ; humainement, bon courage.
Il n'y a pas d'agent. Tu installes Monit sur ton serveur de supervision, et de là tu définis les tests dont tu as besoin (connectivité avec ICMP/ping, accès à une page web sur un serveur distant, …). Et quand les choses ne marchent pas comme prévu tu peux choisir de recevoir une alerte ou d'exécuter un script pour relancer un service, …
Exemple pour vérifier qu'un commutateur répond bien au ping :
check host mon-commutateur with address 192.168.1.1
if failed icmp type echo
then exec "/usr/local/bin/mon-script-d-alerte"
if failed icmp type echo within 2 cycles then unmonitor
Si le ping échoue je reçois un mail, si le ping échoue lors du cycle suivant (cinq minutes plus tard) je reçois un autre mail et le système arrête de surveiller le commutateur (parce que recevoir une alerte toutes les cinq minutes, au bout d'un moment c'est pénible ; je sais qu'il faut que je le redémarre ce commutateur). Évidemment comme toute solution de supervision, le gag est de ne pas perdre accès au système d'envoi des alertes…
Une autre chose que j'aime bien avec Monit : il y a une interface web (HTTPS au besoin) pour avoir une vue d'ensemble mais les mêmes opérations sont possible en ligne de commande.
M/Monit permet de superviser plusieurs Monit mais ce logiciel là n'est pas libre ni gratuit (il est possible d'essayer gratuitement apparemment).
Est-ce que tu as vue un avantage quelconque à cette migration ?
De manière très pragmatique : moins de dépendances Perl pour mettre à jour Amavis, et avoir un programme dédié simple à comprendre et à expliquer aux collègues.
Il y a peut-être du avoir des bénéfices en terme de performances aussi, mais ce n'est pas le genre de chose que je mesure de près.
Pour la maintenance / activité du projet, effectivement ClamSMTP ne bouge pas beaucoup. Ça marche, il ne manque rien de particulier, c'est stable.
Il y a quelques années en vue de mettre à jour les serveurs SMTP j'ai regardé quelles étaient les alternatives à Amavis (par curiosité, et histoire d'améliorer un peu la gestion des modules Perl nécessaires). Au final, Amavis a été remplacé par ClamSMTP ; la mise en œuvre est assez similaire et je n'ai pas noté de problème particulier (je n'ai pas plus de retour depuis, ne travaillant plus au même endroit).
Ensuite une solution est le chiffrement asymétrique, mais on peut aussi imaginer une solution avec du chiffrement symétrique ou d'autres choses encore (SSL en est une par exemple).
Le problème est que le chiffrement symétrique ne passe pas à l'échelle, cela nécessite beaucoup plus de clés pour communiquer avec chaque individu. Et on perd le bénéfice de la signature cryptographique possible avec le chiffrement asymétrique.
"Bosser en root, c'est contourner volontairement tous les garde-fous mis en place par le système"
Et bizarrement, c'est la solution retenue pendant des années par Microsoft pour ses systèmes grand public, avec les résultats que l'on sait en terme d'infection de systèmes et de logiciels de qualité discutable.
Le choix des logiciels libres est souvent argumenté en avançant la stabilité et la sécurité ; cela ne tient pas uniquement à la qualité intrinsèque du code et d'accès aux sources, mais aussi du fait que l'on essaye d'apprendre aux gens à ne pas faire "tout et n'importe quoi" avec le système, y compris utiliser le compte root sans raison.
Enfin question simple : comment vérifier la validité d'un certificat auto-signé sur internet simplement ? Ben il me faut contacter le propriétaire, avec un moyen sécurisé (hors email donc), pas simple…
Non, mais il y a des gens qui travaillent dessus pour permettre la vérification de certificats via des enregistrements DNS : DNS-based Authentication of Named Entities (DANE). Ce n'est pas encore officialisé, et cela requiert DNSSEC pour être vraiment utile. Il faudra être patient. Et pour le coup, si cela est déployé de manière large et supporté par différents clients, cela pourra inverser la balance entre "certificat auto-signé" versus "certificat officiel" (je reste optimiste, je me doute que les autorités de certification actuelles voient cela d'un mauvais œil…).
Et il existe à peu près le même principe avec les enregistrements SSHFP (SSH Fingerprint) expliqué sommairement ici et là.
Il n'y a pas que la NSA, mais aussi un certain nombre d'individus malhonnêtes qui attaquent les autorités de certifications, en vue de créer de "vrai/faux" certificats. Et le principe de confiance vis à vis de ces même autorités de certification est largement écorné.
Il y a également un article dans le magazine MISC paru en septembre (numéro 69).
SSL/TLS peut-être un bon moyen de sécurité, mais il a été promu suite aux débuts commerciaux d'Internet, avec l'essor du commerce électronique, à une époque où peu de gens se préoccupaient de sécurité. Le passage à l'échelle n'a pas été maîtrisé, et beaucoup d'acteurs privés ont instauré leur propre système, sans forcément suivre les "bonnes pratiques".
C'est le genre de situation qu'il est difficile de corriger vu le nombre de facteurs à modifier (mises à jour de sites, éducation des utilisateurs, vérification sérieuse des autorités de certifications, ….).
# Problème de compatibilité 32/64 bits
Posté par Ellendhel (site web personnel) . En réponse au message installation d'une imprimante canon pixma mx455. Évalué à 4.
Pour rappel : Slackware propose un système 64 bits "pur", sans couche de compatibilité 32 bits par défaut.
Il n'est pas impossible que les fichiers .deb/.rpm que tu as installé contiennent des fichiers nécessitant un support 32 bits.
Je te conseille d'installer la couche de compatibilité 32 bits ("multilib"), cela pourrait régler ton problème.
[^] # Re: clamav, mais y a pas de serveur central
Posté par Ellendhel (site web personnel) . En réponse au message Serveur antivirus sous Debian. Évalué à 3.
Ce n'est effectivement pas dans les fonctionnalités de ClamAV que de proposer une console d'administration, si on a besoin de gérer plusieurs serveurs sous Linux utilisant ClamAV, la gestion consistera à garder les paquets à jour et à mettre à jour les signatures, rien de très complexe.
Je ne connais pas le client sous MS Windows, mais en terme d'efficacité il est toujours possible de trouver un autre antivirus "qui fait mieux" sur un point particulier. Concernant les plug-ins de navigateurs et autres parasites d'autres antivirus commerciaux ne font pas toujours efficaces (hello Symantec) et il faut recourir à des logiciels tiers pour éliminer tout ça.
Il faudra te renseigner sur le prix, mais il semble qu'il y ait au moins F-Secure qui propose une solution antivirus avec une console d'administration sous Linux : https://www.f-secure.com/en/web/business_global/products/policy-manager (voir le lien "Less manual work - Technical data sheet" dans la section documentation). Je n'ai jamais essayé et je n'ai pas d'actions chez F-Secure, je sais seulement qu'ils proposent des produits pour Linux depuis quelques années. Je crois me souvenir qu'un autre éditeur propose aussi quelque chose…
Une autre solution possible : utiliser le "Client Customization Kit" (CCK) pour Mozilla Firefox, qui permet, il me semble, de verrouiller certaines options, comme l'installation de plug-ins. Évidemment cela ne règle pas le problème pour d'autres navigateurs.
[^] # Re: Stephen Hawking
Posté par Ellendhel (site web personnel) . En réponse à la dépêche "Imitation Game" : la vie d'Alan Turing sur grand écran. Évalué à 2.
"The Theory of Everything", que j'ai également eu l'occasion de voir. C'est un bon film, qui s'intéresse plus à l'homme et à sa vie personnelle qu'à l'aspect "scientifique/recherche" (le film est basé sur une biographie écrite par sa première femme, d'où l'importance de l'aspect familial). Évidemment il y a un peu de vulgarisation scientifique.
(et tant qu'on est dans les critiques cinémas je peux aussi donner un avis sur "Penguins of Madagascar" si besoin est).
[^] # Re: Bis Repetita
Posté par Ellendhel (site web personnel) . En réponse au message Certification LPI - Appel à REX. Évalué à 2.
Je ne me rappelle pas d'avoir eu de mauvaise surprise. Le "bachotage" peut suffire (ce qui est une critique fondée pour ce genre de test/certification), et est surtout utile pour les choses "idiotes" du genre "l'option x de la commande foo".
Comme pour tout examen à base de QCM, le temps est un facteur important : je conseille de lire l'intégralité du questionnaire en premier, noter mentalement les questions faciles et les difficiles puis répondre à chacune et enfin relire (et revérifier une seconde fois si possible).
Pour ce faire une petite idée de ce que cela donne il existe le LPI Practice Exams sur Penguin Tutor ; ce n'est pas exactement le LPI évidemment, mais ça peut servir comme base d'entraînement.
# Bis Repetita
Posté par Ellendhel (site web personnel) . En réponse au message Certification LPI - Appel à REX. Évalué à 2.
Je t'invites à consulter mon commentaire précédent sur le même sujet (voir même l'ensemble de la discussion).
Pour répondre aux autres questions : la durée de préparation est différente pour chacun. Selon ton expérience et tes facilités d'apprentissage tu peux avoir besoin de quelques mois ou quelques semaines. J'aurais tendance à prévoir deux mois pour être à l'aise (et laisser un peu de marge de manœuvre si tu ne peux pas y passer autant de temps que prévu).
La certification se passe "In Real Life", je ne crois pas qu'il y ait de version en ligne.
[^] # Re: Jamais…
Posté par Ellendhel (site web personnel) . En réponse au sondage Les fonctions de bureau social, sémantique, indexation automatique des fichiers. Évalué à 5.
Idem : avec des noms de fichiers et répertoires nommés "correctement" et une once de mémoire c'est très efficace. Et rapide.
# À propos de la certification LPI
Posté par Ellendhel (site web personnel) . En réponse au message Retour sur les certifications Red Hat et offre d'emploi. Évalué à 4.
J'ai passé la certification LPI de niveau 1 il y a quelques années et voici mon appréciation :
LPI me paraît préférable à une certification "de vendeur" car elle couvre n'importe quelle distribution Linux ou presque. Si tu es certain de devoir travailler au quotidien avec Red Hat (ou CentOS) cela peut avoir plus d'intérêt.
Autre retour : quelques années plus tard j'ai entrepris une démarche de validation des acquis de l'expérience. L'investissement personnel est beaucoup plus important (rédaction de mémoire sur un an) mais cela m'a donné une license professionelle à la clé, ce qui est sans comparaison aucune avec une "simple certification".
[^] # Re: Qui est au courant ?
Posté par Ellendhel (site web personnel) . En réponse au journal Création du groupe de travail IETF sur « DNS et vie privée ». Évalué à 4. Dernière modification le 21 octobre 2014 à 01:10.
Tout ce qui peut se balader en clair lorsqu'on utilise un hotspot dans un lieu public, un café,… ou même les postes en libre-accès dans une bibliothèque. Même si un opérateur de réseau local peut récupérer d'autres informations, il n'y a pas forcément de raison de "donner" le trafic DNS si on peut l'éviter.
[^] # Re: Qui est au courant ?
Posté par Ellendhel (site web personnel) . En réponse au journal Création du groupe de travail IETF sur « DNS et vie privée ». Évalué à 4.
L'intérêt d'avoir une discussion à ce sujet au niveau de l'IETF c'est que si les choses font leur chemin, cela améliorerait sensiblement les choses pour les utilisateurs non avertis. Le lecteur moyen de LinuxFr peut en effet connaître Tor, VPN, … et utiliser ces techniques, mais pas forcément "M. Toutlemonde".
# Utiliser les fonctions de filtrage interne et externe de Postfix
Posté par Ellendhel (site web personnel) . En réponse au message Faire du mail sur mesure. Évalué à 3.
Ce genre de chose doit être possible en utilisant les fonctions internes de Postfix ("built-in content inspection" comme par exemple header_checks à base d'expressions rationnelles) ou de développer son propre programme d'inspection ("Milter") qui viendra se greffer dans la file de traitement des messages, comme le ferait un programme antispam ou antivirus.
Dans tous les cas je recommande chaudement une batterie intensive de tests pour vérifier l'application des règles telles que souhaitées.
# Avoir son résolveur local
Posté par Ellendhel (site web personnel) . En réponse au message Problème de DNS avec BBox. Évalué à 4.
Je n'ai pas le même genre de problème (même si mon fournisseur d'accès est loin d'être un bon élève en ce qui concerne le service DNS) mais il me semble beaucoup plus intéressant à plusieurs points de vue d'avoir son propre résolveur DNS chez soi.
Dans le cas que tu cites, Unbound pourrait être une bonne solution : cela "répare l'accès à Internet" sans passer par les services de Google (ou autre prestataire de DNS public, qui se fait sûrement une joie de regarder tout ce qui passe) et il est possible de déclarer une liste d'adresses propre à ton réseau local (ce qui est gérable pour une liste assez courte, de manière basique). Cerise sur le gâteau, cela permet aussi de bénéficier de DNSSEC.
BIND permet aussi la même chose, mais est un peu plus complexe à mettre en œuvre. D'autres logiciels existent dans la même catégorie (dnsmasq par exemple, que je ne connais pas).
Un résolveur DNS local pourra être utilisé par tout autre machine sur le réseau local (avec les bonnes directives de configuration pour en autoriser l'accès). L'idéal étant d'avoir le service installé sur une machine disponible en permanence afin de pouvoir disposer d'un meilleur cache.
[^] # Re: Kanboard bien sur !!
Posté par Ellendhel (site web personnel) . En réponse au journal Comment vivre sans TODO list?. Évalué à 2.
Je l'utilise plutôt pour des projets un peu longs, pas vraiment pour les demandes rapides et au final c'est assez efficace. Léger, propre et efficace.
[^] # Re: Please Put OpenSSL Out of Its Misery
Posté par Ellendhel (site web personnel) . En réponse au journal journal bookmark : vers un fork d'OpenSSL ?. Évalué à 2. Dernière modification le 16 avril 2014 à 00:21.
L'option est disponible dans l'outil de gestion chez OVH (que je n'ai pas encore testé…).
http://guides.ovh.net/dnssec
C'est un peu plus complexe qu'un simple bouton "j'active DNSSEC" mais ça à le mérite d'exister.
[^] # Re: Mon pauvre ami, bienvenue au club.
Posté par Ellendhel (site web personnel) . En réponse au message C'est quoi eXchange. Évalué à 2.
Si on se cantonne à utiliser le service de courrier (sans les fonctions de calendrier et autre) et que le service IMAP est activé n'importe quel bon client de courrier électronique peut être utilisé. Le piège est éventuellement la façon dont est gérée l'authentification (MS Exchange n'annonce même pas toutes les méthodes supportées).
Et de fait on reçoit tout de même les "invitation de réunion" depuis le calendrier d'un collègue, sauf que le format est un peu barbare.
Reste les à-côtés rigolos comme le fait que MS Outlook permette "d'effacer" un message envoyé à un autre utilisateur du même serveur, mais comme cela ne marche qu'avec MS Outlook on voit tout de même que la personne a tenté d'annuler quelque chose… (fonction "Recall this message" en anglais).
[^] # Re: supprimer eXchange ?
Posté par Ellendhel (site web personnel) . En réponse au message C'est quoi eXchange. Évalué à 4.
Tout dépend comment c'est utilisé : si par miracle les utilisateurs ne se servent de MS Exchange que pour le courrier électronique alors n'importe quel serveur libre pourra faire le remplacement (Postfix, Exim, …).
Mais bien souvent c'est l'ensemble des fonctionnalités qui sont utilisées : courrier, calendrier (partagé avec les collègues), gestion de tâches, … Et pour ça un serveur de courrier n'est pas suffisant, il faut ajouter d'autres briques. Et c'est là que le bât blesse, les utilisateurs ne veulent généralement pas perdre leur habitudes et les fonctions auxquels ils sont habitués.
Remplacer MS Exchange : techniquement oui ; humainement, bon courage.
[^] # Re: D'abord qu'entends-tu par "monitorer" ?
Posté par Ellendhel (site web personnel) . En réponse au message Quel outil de monitoring pour une "infrastructure" avec 3/4 serveurs ?. Évalué à 3.
Il n'y a pas d'agent. Tu installes Monit sur ton serveur de supervision, et de là tu définis les tests dont tu as besoin (connectivité avec ICMP/ping, accès à une page web sur un serveur distant, …). Et quand les choses ne marchent pas comme prévu tu peux choisir de recevoir une alerte ou d'exécuter un script pour relancer un service, …
Exemple pour vérifier qu'un commutateur répond bien au ping :
check host mon-commutateur with address 192.168.1.1
if failed icmp type echo
then exec "/usr/local/bin/mon-script-d-alerte"
if failed icmp type echo within 2 cycles then unmonitor
Si le ping échoue je reçois un mail, si le ping échoue lors du cycle suivant (cinq minutes plus tard) je reçois un autre mail et le système arrête de surveiller le commutateur (parce que recevoir une alerte toutes les cinq minutes, au bout d'un moment c'est pénible ; je sais qu'il faut que je le redémarre ce commutateur). Évidemment comme toute solution de supervision, le gag est de ne pas perdre accès au système d'envoi des alertes…
Une autre chose que j'aime bien avec Monit : il y a une interface web (HTTPS au besoin) pour avoir une vue d'ensemble mais les mêmes opérations sont possible en ligne de commande.
M/Monit permet de superviser plusieurs Monit mais ce logiciel là n'est pas libre ni gratuit (il est possible d'essayer gratuitement apparemment).
[^] # Re: D'abord qu'entends-tu par "monitorer" ?
Posté par Ellendhel (site web personnel) . En réponse au message Quel outil de monitoring pour une "infrastructure" avec 3/4 serveurs ?. Évalué à 2.
Je te recommande Monit. Simple à mettre en oeuvre, efficace et permet de surveiller une foule de choses.
[^] # Re: ClamSMTP en remplacement d'Amavis ?
Posté par Ellendhel (site web personnel) . En réponse au message Solutions actuelle de serveur mél couplé à une analyse antispam et antivirus. Évalué à 3.
De manière très pragmatique : moins de dépendances Perl pour mettre à jour Amavis, et avoir un programme dédié simple à comprendre et à expliquer aux collègues.
Il y a peut-être du avoir des bénéfices en terme de performances aussi, mais ce n'est pas le genre de chose que je mesure de près.
Pour la maintenance / activité du projet, effectivement ClamSMTP ne bouge pas beaucoup. Ça marche, il ne manque rien de particulier, c'est stable.
# ClamSMTP en remplacement d'Amavis ?
Posté par Ellendhel (site web personnel) . En réponse au message Solutions actuelle de serveur mél couplé à une analyse antispam et antivirus. Évalué à 3.
Il y a quelques années en vue de mettre à jour les serveurs SMTP j'ai regardé quelles étaient les alternatives à Amavis (par curiosité, et histoire d'améliorer un peu la gestion des modules Perl nécessaires). Au final, Amavis a été remplacé par ClamSMTP ; la mise en œuvre est assez similaire et je n'ai pas noté de problème particulier (je n'ai pas plus de retour depuis, ne travaillant plus au même endroit).
[^] # Re: Êtes-vous concerné?
Posté par Ellendhel (site web personnel) . En réponse au journal Fin du support de MS Windows XP. Évalué à 1.
Réponse obtenue depuis Mozilla Firefox sous Slackware.
Évidemment, il y a un incontournable script "[if IE 6]" dans la page, ce qui est sûrement un bon moyen de détecter MS Windows XP.
Bon, ça me propose tout de même un lien pour acheter MS Windows 8.1.
[^] # Re: Résistance au changement…
Posté par Ellendhel (site web personnel) . En réponse au journal GnuPG peut encore avoir plus de sous. Évalué à 2.
Le problème est que le chiffrement symétrique ne passe pas à l'échelle, cela nécessite beaucoup plus de clés pour communiquer avec chaque individu. Et on perd le bénéfice de la signature cryptographique possible avec le chiffrement asymétrique.
[^] # Re: Pourquoi faire ?
Posté par Ellendhel (site web personnel) . En réponse au journal Contre la phobie du root. Évalué à 10.
Et bizarrement, c'est la solution retenue pendant des années par Microsoft pour ses systèmes grand public, avec les résultats que l'on sait en terme d'infection de systèmes et de logiciels de qualité discutable.
Le choix des logiciels libres est souvent argumenté en avançant la stabilité et la sécurité ; cela ne tient pas uniquement à la qualité intrinsèque du code et d'accès aux sources, mais aussi du fait que l'on essaye d'apprendre aux gens à ne pas faire "tout et n'importe quoi" avec le système, y compris utiliser le compte root sans raison.
Non vraiment, il n'y a pas de raison valable.
[^] # Re: c'est quand meme le tien
Posté par Ellendhel (site web personnel) . En réponse au message Self-hosting et HTTPS. Évalué à 4.
Non, mais il y a des gens qui travaillent dessus pour permettre la vérification de certificats via des enregistrements DNS : DNS-based Authentication of Named Entities (DANE). Ce n'est pas encore officialisé, et cela requiert DNSSEC pour être vraiment utile. Il faudra être patient. Et pour le coup, si cela est déployé de manière large et supporté par différents clients, cela pourra inverser la balance entre "certificat auto-signé" versus "certificat officiel" (je reste optimiste, je me doute que les autorités de certification actuelles voient cela d'un mauvais œil…).
Et il existe à peu près le même principe avec les enregistrements SSHFP (SSH Fingerprint) expliqué sommairement ici et là.
[^] # Re: Attaques au milieu
Posté par Ellendhel (site web personnel) . En réponse au journal Scandale de la NSA et cryptographie, le vrai du faux. Évalué à 6.
Il n'y a pas que la NSA, mais aussi un certain nombre d'individus malhonnêtes qui attaquent les autorités de certifications, en vue de créer de "vrai/faux" certificats. Et le principe de confiance vis à vis de ces même autorités de certification est largement écorné.
http://sid.rstack.org/blog/index.php/455-parce-qu-il-faut-parler-de-diginotar
http://news0ft.blogspot.com/2010/04/ssl-est-casse.html
Il y a également un article dans le magazine MISC paru en septembre (numéro 69).
SSL/TLS peut-être un bon moyen de sécurité, mais il a été promu suite aux débuts commerciaux d'Internet, avec l'essor du commerce électronique, à une époque où peu de gens se préoccupaient de sécurité. Le passage à l'échelle n'a pas été maîtrisé, et beaucoup d'acteurs privés ont instauré leur propre système, sans forcément suivre les "bonnes pratiques".
C'est le genre de situation qu'il est difficile de corriger vu le nombre de facteurs à modifier (mises à jour de sites, éducation des utilisateurs, vérification sérieuse des autorités de certifications, ….).
# DuckDuck Lite
Posté par Ellendhel (site web personnel) . En réponse au journal DuckDuckSux?. Évalué à 10.
Tu peux regarder du côté de DuckDuckGo Lite, qui est un add-on pour Mozilla Firefox :
https://addons.mozilla.org/en-US/firefox/addon/duckduckgo-lite/
Bonus :
Et accessible sans add-on :
https://duckduckgo.com/lite/