nullard3d a écrit 40 commentaires

Voici une alternative plus globale mais plus sale, au cas où elle pourrait être utile :

#!/bin/sh

BASE_DIR=/var/backups/mysql

# On essaie de diminuer la priorité de la chose
# Aucune importance si les utilitaires ne sont pas dispos
renice 15 -p $$ >/dev/null 2>&1
ionice -c 3 -p $$ >/dev/null 2>&1

# Arrêt à la moindre erreur non-catchée
set -e

docker ps --format "{{.ID}} {{.Names}}" | egrep "(mysql|mariadb)" | while read CONTAINER_ID CONTAINER_NAMES; do
        # Note : CONTAINER_NAMES peut contenir plusieurs noms qui sont séparés par des vigules
        #        et ces noms peuvent contenir des '/'
        BACKUP_BASENAME=bdd_"$( printf $CONTAINER_NAMES | tr -c '[:alnum:]' '-' )"
        BACKUP_FILENAME="$BACKUP_BASENAME"_"$CONTAINER_ID"_"$( date +\%Y\%m\%d-\%H\%M\%S )".sql.gz
        docker exec "$CONTAINER_ID" bash -c 'mysqldump -u root -p$MYSQL_ROOT_PASSWORD --add-drop-table --all-databases' | gzip > "$BASE_DIR/$BACKUP_FILENAME"

        # Suppression des vieux backups
        find "$BASE_DIR" -maxdepth 1 -name "$BACKUP_BASENAME*" -mtime +10 -delete
done

cat script.sh | ssh remote.host.com /bin/sh

Peut-être impossible avec ksh, je n'ai pas d'environnement sous la main pour tester.

Canon LiDE 220 : sans souci avec Sane sans blob proprio dans les diverses Debian & Ubuntu récentes. Actuellement en vente dans les 85€.
D'autres pistes par là : https://github.com/kkaempf/sane-backends/blob/master/backend/genesys.conf.in

Je crois que ça a évolué récemment : http://dev.freebox.fr/bugs/task/12738
Limitations : cela concerne Freebox OS donc Freebox Révolution (et peut-être les dernières box) et je crois que la Révolution requiert un NRA dégroupé (comme IPv6 à vrai dire…)

Photo de la boîte de dialogue par là : https://linuxfr.org/users/richarddern/journaux/mon-reseau-aussi#ipv6 (il suffit d'indiquer le next-hop pour chacun des 8 préfixes)

Certains articles disent que le FBI (ou la NSA) exige la clef privée utilisée pour le chiffrement HTTPS. Ça expliquerait pourquoi il y a une seule clef pour toutes les communications, mais ça serait étonnant parce que cela signifierait que Lavabit ne forçait pas les navigateurs à utiliser un algo PFS (Confidentialité persistante) et que le FBI/NSA utiliserait en justice le stockage des communications chiffrées (que Snowden lui-même a révélé ?)

Je pense plutôt à une espèce de GPG asymétrique sur le stockage (cf http://highscalability.com/blog/2013/8/13/in-memoriam-lavabit-architecture-creating-a-scalable-email-s.html ) : Lavabit reçoit les mails et les chiffre avec sa clef privée et la clef publique du client. Du coup, seules la clef privée du client ou celle de Lavabit peuvent déchiffrer une boîte aux lettres. Le problème de design dont tu parles pourrait être résolu si Lavabit s'était fait une clef par boîte.
Mais alors fournir la clef privée aurait eu moins de conséquences, d'où moins d'arguments pour refuser de divulguer la correspondance de Snowden. Donc, socialement parlant, c'est un bon design :)

Merci à Shift pour l'astuce, voici une petite déclinaison, du plus foncé au plus clair :

• 222 : http://bugness.org/uploads/2011/linuxfr_couleur-texte.php?color=%23222
• 333 : http://bugness.org/uploads/2011/linuxfr_couleur-texte.php?color=%23333
• 444 : http://bugness.org/uploads/2011/linuxfr_couleur-texte.php?color=%23444
• 555 : http://bugness.org/uploads/2011/linuxfr_couleur-texte.php?color=%23555
• 666 : http://bugness.org/uploads/2011/linuxfr_couleur-texte.php?color=%23666
• 777 : http://bugness.org/uploads/2011/linuxfr_couleur-texte.php?color=%23777

Et ma préférée : http://bugness.org/uploads/2011/linuxfr_couleur-texte.php?color=hotpink

Merci beaucoup !

Pour la couleur, je vais touiller la tribune, histoire d'avoir des avis tranchés rapidement :)

Je recommande OpenVZ aussi. On peut configurer chaque conteneur ou "VZ" aux petits oignons (quota disque évidemment, mais aussi différents quota sur chaque type de mémoire, nb de process, nb de fichiers ouverts, ...), mais ça demande un certain investissement en temps, notamment si on fait soi-même ses templates.

Pour commencer plus doucement, il y a Proxmox qui mixe OpenVZ et KVM et qui vient avec une interface web : http://proxmox.com/products/proxmox-ve

L'avantage, c'est qu'on a une solution clef en main en 3 clics. Il peut télécharger lui-même des templates de différentes distributions (debian, centos, ...) et on accède indifférement aux VM et VZ via un plugin VNC-like.
Il y a un point noir, c'est que par défaut l'installeur requiert un proc 64bits + extension VT, même si on ne fait que de l'openVZ, et qu'il formate toute la machine :-(

Bref, à voir selon ton niveau/appétit technique :)

(note: un template est simplement un tar.gz d'une arborescence complète (faite par ex. avec debootstrap) et personnalisée. Pour créer un nouveau conteneur, il suffit de la dézipper en lui affectant un nom + IP. C'est un avantage par rapport à un système de vraies VM où on se tape en général l'installeur Linux ou Windows à chaque fois)

Petite question : ces 2 virtualhosts sont les seuls ?

Dans ce cas, je crois qu'Apache, lorsqu'il ne trouve pas de ServerName correspondant parmi les VirtualHost IP:PORT de la connexion, renvoie le premier trouvé.

Et comme A est le seul sur le port 80, et B le seul sur le port 443, ils seront toujours renvoyés pour les connexions sur chacun de ces ports.

Une astuce qui me vient à l'esprit serait de faire une redirection systématique :
(après la def. de B)
<VirtualHost 1.2.3.4:80>
ServerName b.domaine.fr
Redirect / https://b.domaine.fr/
</VirtualHost>

(après la def. de A)
<VirtualHost 1.2.3.4:443>
ServerName a.domaine.fr
Redirect / http://a.domaine.fr/
</VirtualHost>

Plus d'infos :
http://httpd.apache.org/docs/2.2/mod/mod_alias.html#redirect

Mais ça risque de ne pas marcher très bien dans le sens https->http à cause de :
http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts

Si tu trouves une autre astuce, ça m'intéresse, n'hésite pas à la signaler.

Bien joué pour le port dans le ServerName, je ne connaissais pas non plus :)
http://httpd.apache.org/docs/2.1/mod/core.html#servername

En écriture aléatoire, les performances des mémoires flash bas de gamme sont généralement mauvaises. C'est ce qui fait toute la différence entre un bon et un mauvais SSD, les performances en lecture (aléatoire et continue) étant plutôt bonnes quelque soit le modèle. Il y a pas mal de benchs là-dessus :
http://www.tomshardware.com/fr/benchmark/charts-ssd-2009/IOM(...)
http://www.presence-pc.com/tests/kingston-ssd-now-v-23259/8/
Mais mon préféré reste celui du Dictateur Bienveillant :
http://torvalds-family.blogspot.com/2008/10/so-i-got-one-of-(...)

J'imagine que la commande TRIM ne concernera jamais les cartes SD, mais j'en profite pour refiler un lien qui explique bien le problème d'usure des mémoires flash et l'intérêt de cette commande :
http://www.anandtech.com/show/2738/8

Astuce à noter : désactiver le 'atime' pour gagner en perfs sur les lectures, sur les partitions où cela est possible.

Je conseille aussi pour l'avoir utilisé lors d'une bascule ponctuelle.

Attention aux options par contre, backuppc peut faire grand usage des liens physiques (hard-links). Étudier l'option -H.

Je connais pas shorewall mais là j'ai pas vu passer ce qui t'intéresse (à moins que j'ai mal compris)
D'ailleurs, FORWARD en ACCEPT par défaut, ça me semble un peu chaud pour un routeur...
Regarde dans la doc de shorewall s'il y a du NAT, plus particulièrement du DNAT (le SNAT ou masquerading permet au LAN d'aller sur Internet (Postrouting), le DNAT permet à Internet de taper sur une machine précise du LAN (prerouting))

Si tu veux retourner parmi les gros durs qui codent simultanément sur 3 claviers (un qwerty, un dvorak et un klingon) les yeux fermés, je t'assure que le script de la partie 3.3 du tuto de lea-linux fait exactement ce que tu recherches avec de bonnes explications.

flûte, j'étais plutôt fier de moi :-)
Pour essayer, on pourrait simplifier en :
iptables -t nat -A PREROUTING -d 213.44.97.210 -p tcp --dport 80 -j DNAT --to-destination [IP apache]
iptables -A FORWARD -d [IP apache] -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s [IP apache] -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

Bien sûr, tu ne peux pas essayer cela depuis l'intérieur de ton LAN (peut-être sur la partie Wifi mais je garantie pas) puisque le serveur apache renverrait alors le paquet directement au destinataire sans repasser par le NAT et ton navigateur verrait revenir une connexion avec une IP source différente de celle demandée (en fait, il ne verra rien du tout, le noyau laissera tomber le paquet ou enverra un ICMP error/reset au serveur apache)

Pour comprendre à quel niveau ça peut bloquer, il faudrait essayer de faire des 'netstat -taupen' sur le poste client et le serveur. On verrait alors si le serveur reçoit le SYN ou non (pas de trace de connexion ou ACK sent ou même TIME_WAIT), puis si le client reçoit le ACK (SYN_SENT, ...), ou, encore mieux, tcpdump.

Vérifie bien dans ton 'iptables-save' que les règles ont bien été acceptées et qu'il n'y a pas un effet de précédence qui les rendraient inutiles.

Ceci dit, le conseil de Rapsys est bon car si tu établis les règles toi-même, il faudra penser à les charger au démarrage du routeur, alors que c'est sans doute pris en charge par un paquet Debian officiel.

Sur le routeur, que donne :
iptables -t nat -A PREROUTING -s ! 192.168.0.0/16 -d 213.44.97.210 -p tcp --dport 80 -j DNAT --to-destination [IP du serveur apache]
iptables -A FORWARD -s ! 192.168.0.0/16 -d [IP apache] -i ppp1 -o br0 -p tcp --dport 80 --sport 1024: -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s [IP apache] -o ppp1 -i br0 -p tcp --sport 80 --dport 1024: -m state --state ESTABLISHED -j ACCEPT

La première règle établit la translation d'adresse IP (la vraie cible de la connexion devient apache et non le routeur), les deux suivantes autorisent le transfert des paquets dans un sens puis dans l'autre.

Ces règles sont vaguement sévères, mais en sécurité, on n'en fait jamais assez. A adapter aux règles existantes sur le routeur bien sûr.

La gestion réseau de base n'a rien d'inquiétant. En cherchant un peu de doc, on tombe sur http://www.lea-linux.org/cached/index/Reseau-secu-iptables.h(...) qui donne exactement ce que tu veux faire.

il y a peut-être une histoire de compatibilité. En fait, sur une Asus similaire, la plupart des réglages du BIOS (dont celui par défaut) limitent le nombre de disques à 4 (SATA et PATA confondus, mais sans tenir compte des chipsets "externes")
Il me semble qu'il faut se mettre en mode "Enhanced" pour avoir les 6/8 ports activés mais alors j'ai eu quelques pépins avec l'UDMA du lecteur CD (PATA) qui demande du noirqdebug ou similaire.
Les derniers kernel ont peut-être apportés une amélioration de ce côté-là.
D'autre part, c'était un ordi Linux pur. Aucune idée de la façon dont les autres OS peuvent réagir.
Enfin, si c'est possible, choisis judicieusement l'ordre des disques (SATA avant PATA) sinon il faudra changer la config de grub ou lilo.

Désolé, je ne crois pas avoir la réponse miracle. Juste quelques indices :
- aucune des balise <Directory> n'est fermée, j'imagine que ça vient de linuxfr et de son chien :)
- n'oublie pas le "ProxyRequests Off". Dans le cas contraire, tu ferais un joli proxy ouvert.
- ça ne change théoriquement rien mais c'est plus pratique de mettre un site par fichier dans /etc/apache2/sites-available et de l'activer/désactiver par a2ensite/a2dissite
- j'ai toujours mis le NameVirtualHost juste avant la déclaration du premier virtualhost (qui est celui par défaut) mais je ne vois pas en quoi ça changerait grand chose
- vérifier que les modules "proxy" et "proxy_html" sont chargés

'apache2ctl configtest' et '/etc/init.d/apache2 reload' ne renvoient vraiment rien ?

Sans doute une petite erreur de recopie mais la déclaration dans le named.conf contient :
> zone "1.0.168.192.in-addr.arpa" {
c'est "0.168.192.in-addr.arpa" bien sûr.
D'autre part, une erreur commune au démarrage d'une configuration de Bind sous Debian, c'est de ne pas mettre les bonnes permissions sur les fichiers de configuration de zone. Sous Debian, Bind tourne sous l'utilisateur named et s'il n'arrive pas à lire un fichier de zone, il n'émet le message d'erreur que dans les logs.

http://lea-linux.org/hardware/hard_net/sagem.html(...)

Si tu te sens prêt à recompiler le kernel...
Personnellement, avec une Mandrake 9 ou 10, ce fut le seul moyen d'obtenir la connexion (et encore, ça ne marchait pas à tout les coups).
De mémoire, évite le SMP avec la gestion de l'USB / Modem Sagem, ça faisait des trucs très bizarres.

vu la masse de travail que cela semble représenter, je me demande pourquoi il n'est pas question d'échanges avec d'autre projets comme Gutenberg ou autre.
Ca ne deviendrait pas décourageant si tout le monde se met à faire le même livre chacun dans son coin ? (non, non, je ne relance pas le Troll de la Diversité niveau 7)


PS: je viens d'ailleurs de regarder les droits offerts par Gallica: on ne peut prendre que quelques passages et on ne peut pas contribuer.
PPS: là, je viens de me rendre compte que le Libre est une drogue...

http://sambafr.idealx.org/samba/docs/man/Samba-HOWTO-Collection/CUP(...)

Si c'est une imprimante Postscript, ça ira tout seul (une USB, ça m'étonnerait mais on peut rêver :-)
L'idée, c'est de configurer CUPS pour qu'il utilise Samba comme "backend", c'est à dire comme module de connexion mais c'est quand même CUPS qui doit fournir le driver de l'imprimante donc vérifie la compatibilité de la version de CUPS avec l'imprimante.
Si c'est une imprimante couleur, tu pourras jeter un oeil sur gimp-print.

whoups...
ha ben si on peut plus être bourrin alors...

Les headers dans /usr/include/linux sont liés à la glibc et pas au kernel ? ça a une certaine logique puisque le kernel ne donne pas de librairies mais a-t'on besoin de librairies pour interagir avec le kernel ? A quoi se linkent les modules quand on les compile séparement ?
Tu aurais un lien vers de la doc là-dessus ? ça m'intéresse pas mal.
bon, ça m'apprendra à l'ouvrir quand j'y comprends rien :-)

Il y a peut être les fichiers include du noyau à recopier dans /usr/include/linux, mais le crash de gcc me semble un peu disproportionné.
(n'oublie pas de sauvegarder les anciens fichiers au cas où ça ne serait pas ça :-)
Ne pas oublier non plus de vérifier que le System.map et éventuellement le initrd ont bien été placés.

Si ce n'est pas ça, il y a peut-être un pépin avec gcc et le SMP...
Il faudrait plus de détails pour pouvoir avancer (64 bits ?)

Si tu exécutes 'alias', que voies-tu ?
D'autre part, je ne comprends pas très bien comment tu as pu en arriver là. Il y a un script de gestion des modules qui appelle pivot-root ?
Une mauvaise gestion du initrd ?

Comme le dit Liberf0rce, c'est la perséverance que j'admire !
Si j'avais trouvé le coup du Google, ça m'aurait vraiment énervé. Ca peut être pris pour le l'arrogance (cf ahuillet plus bas), mais à force d'avoir (de subir ?) des requêtes abusives d'utilisateurs à longueur de journée, c'est presque de l'auto-défense.
J'aimerais bien retrouver le calme et la patience d'expliquer aussi clairement, aussi bien. (... et l'intelligence aussi en fait :-)

liberf0rce a raison, ça c'est de la maîtrise !
là, j'aimerais bien savoir comment tu as fait pour remonter la piste...
Apprends-nous, Maître, apprends-nous !