Je suis loin d'être un pro en hébergement, mais de ce que je comprends de l'histoire, ça se passe comme ça :
Mike loue -> machines, interface d'administration, bootstrap -> à Skiplink
Skiplink loue -> électricité, refroidissement, rack, connexion réseau, dans un datacenter -> à TelX
Ainsi, TelX est en quelque sorte l'hébergeur de Skiplink, et Skiplink est l'hébergeur de Mike.
Mike leur loue directement les machines et le déploiement, et sous-loue indirectement à TelX, via Skiplink, ce qu'il faut dans le datacenter.
Bon, après, je suis peut-être imprécis sur les termes : hébergeur, fournisseur, ... je n'ai jamais encore loué de telle machine, donc, niveau vocable en ce domaine, en effet, je suis un gros noob.
> - Pour les mises à jour de tes conteneurs ("aptitute update && etc"), tu as développé des scripts pour automatiser tout cela ?
"cron-apt", en personnalisant un peu les fichiers pour utiliser "aptitude" au lieu de "apt", et faire un petit "autoclean", pour éviter de surcharger le "/var" ; les paquets à mettre à jour sont donc automatiquement sur la machine virtuelle (bon, en même temps, pour l'instant, il n'y a qu'une machine physique OpenVZ, donc, même en direct, ça va de disque dur à disque dur, même si seul l'hôte en a "conscience" ; l'arbre partiel est monté sur lui, sur une partition dédiée, puis "bind-mounté" en "rw" dans le conteneur "approx") : plus qu'un "safe-upgrade" voire un "full-upgrade" à faire (ça, par contre, j'aime bien faire à la main ; quoique j'investigue pour faire ça via des triggers, manuels mais centralisés, dans Puppet, pour ne pas avoir à ouvrir 36000 shells via SSH - bon, à la limite, ce qui vient de security.debian.org, je pourrais le faire passer automatiquement via "cron-apt", mais même ça, je me méfie).
Il ne m'envoie pas encore de mail, puisque j'attends que le bug sur le noyau 2.6.26-8 dont je parle soit corrigé dans Lenny (par flemme de mettre celui qui est déjà dans Sid), pour m'occuper de leur gestion ; mais c'est prévu et a déjà été testé (probablement "exim-daemon-light" dans les conteneurs, ainsi qu'un "exim-daemon-heavy" et un "dovecot-imapd", centraux).
> Tu as des conteneurs qui font tourner des services très simples, comme par exemple NTPD. Quelle est la taille approximative sur le disque dur que cela prend ?
Pour le conteneur NTP (le "gros" "ntp", pas "openntpd"), par exemple :
$ du -h
...
270M /
après un debootstrap sans rien de particulier, soit seulement les paquets tagués "essential", soit ce que donne un "aptitude search ~prequired ~pimportant" (quelques uns, comme module-init-tools, sont superflus dans un conteneur), mais pas les "~pstandard" (de ceux-là, je ne fais pour l'instant venir que "openssh-client", "locales", "less" et "bash-completion" ; un petit "mutt" et un "exim4-daemon-light" ne seraient peut-être pas complètement idiots) ; et bien sûr ntp, ainsi que deux ou trois machins propres à mes habitudes d'administration (sudo, puppet, apt-show-version, ...).
C'est cela dit peu ou prou le minimum : le serveur chrooted-SFTP, qui doit vraiment être mon plus petit, hors "bind-mounts", fait 269Mio. Vu que je peux faire tourner une cinquantaine de machines de 48Mo de RAM (le minimum, arbitraire et empirique, bien que largement confortable, que je mette... bon, c'est une base : pour les trucs comme MLDonkey ou Tor, je n'hésite pas à mettre 240Mo ou 120Mo), avec mes 3Go de RAM (2,5Go dispatchés dans les "oomguardpages"), avec un "/var/lib/vz" d'environ 200Gio (4Gio par conteneur), niveau espace disque, je suis très-très-très large.
D'un autre côté, c'est déjà faisable... mettons que le "super-root" est notre "root" usuel"...
Son "root qui ne casse pas tout", ça peut n'être rien de plus qu'un utilisateur normal avec quelques privilèges via "sudo", voire via Grsec, Selinux et cie...
> personne ne s'étonne qu'un simple RIB suffise pour se faire débiter
Oh, les banques... si elles vérifiaient ce qu'elles faisaient, ça se saurait...
Un jour, un postier s'est trompé en remettant le chèque de prime pour l'emploi qui m'était destiné à une petite vieille, qui habitait au même numéro que moi, mais sur la place attenante à ma rue.
Ne comprenant rien au courrier qu'elle venait de recevoir, et se disant qu'on lui donnait sûrement un chèque pour l'aide à domicile qu'elle avait engagée, elle est partie à la banque encaisser le chèque du trésor public...
Chèque à mon nom, endossé avec la signature de la petite vieille...
Et bien, pour la banque, pas de souci, elle a encaissé : j'ai mis plus de 6 mois à me faire rembourser, et été emmerdé par cette histoire encore 6 mois de plus (je passe les "ah, mais Monsieur : si vous ne venez vous plaindre qu'une fois, je ne lance pas la procédure de réclamation - comprenez, comme 99% des gens ne reviennent pas se plaindre, c'est toujours ça de moins à faire pour moi", de la part du jovial guichetier en chef du trésor public ; ou les "ah, ça oui : _on_ est des mauvais, dans l'administration", en profitant pour ameuter ses collègues et leur répéter, de la part du brigadier chef de la gendarmerie, où j'ai du porter plainte pour la lancer, la procédure de réclamation)...
Sous VServer, il me semble que tu ne devrais rien voir non plus (je me demande même si tcpdump fonctionne normalement, dans un VServer basique), à moins d'ajouter des capacités comme "net_raw" ou "net_admin" - je ne sais plus laquelle permet quoi, mais il me semble, de lointaine mémoire (je ne fais plus tourner que des choses "locales", sur mes VServer, ayant passé la machine qui fait des trucs avec le reste du Web en machine de test, sous OpenVZ), que l'une va te permettre de surveiller ton conteneur uniquement, et l'autre, la machine physique...
... cela dit, gaffe avec les capacités noyau : plus on en donne, moins il y a, justement, d'isolation.
Pour l'isolation du root, même réponse que Romain : parce que c'est prévu pour... ce qui ne prémunit contre aucune faille non plus...
D'ailleurs, des fois, un gros plantin sur un conteneur peut lourder toute la machine : exemple, l'installation de "gnunet" dans un conteneur OpenVZ sous Lenny... la dernière fois que j'ai essayé, pas de oops, ni de choses dans ce genre, mais quand même un gros blocage de la machine (les led du clavier marchaient encore... bizarre) : même plus de SSH...
Je subodore un bouffage de tout le proc, par le script d'install qui tourne avec les droits root, ou quelque chose du genre, mais il faut que je prenne le temps de tester ça (depuis, le conteneur où je fais mes tests a une priorité assez faible au niveau des cycles CPU), et de bugreporter si ça continuait.
Si quelqu'un se sent motivé pour reprendre mon journal ou ma (libre) traduction, et en faire une dépêche, en virant par exemple mes états d'âme nostalgiques et les allusions à l'Hypno-toad, pas de souci ;)
Je vais peut-être être un peu limité en temps ces prochains jours, mais, sauf mention contraire, mes propos sont toujours en WTFPL !
Merci : résumer ce que j'avais appris sur les conteneurs est quelque chose que je voulais faire depuis un moment, mais je voulais prendre le temps...
... en tout cas, c'est la moindre des choses que je dois à la communauté libre, donc les diverses documentations (par exemple le merveilleux wiki Gentoo... down, en ce moment, tout comme l'excellent gentoo-portage, apparemment à cause d'un hébergeur qui ne paie pas le datacenter... faudrait d'ailleurs faire un journal là-dessus : ça pue grave de chez grave) m'ont appris tout ce que je sais sur le libre (bah oui : formation de physicien, à part "donc, là, tu commences par pirater matlab", malheureusement, la formation sur le libre...).
En effet... lorsque je me suis aperçu de ça, ça devait bien faire un mois que je ne m'étais pas connecté au Net via Tor (et encore, c'était pour montrer à un pote qui ne connaissait pas) : je n'utilisais même pas mon privoxy/squid - j'étais à poil, sur le net, en connection directe (hormis le NAT par ma gateway). Bref, comme n'importe qui...
... dans la lettre de demande d'explication, je leur ai d'ailleurs demandé de me prouver que mon IP a bien permis a des gens d'accéder à leur site de manière anonyme, puisque leur message m'accuse de manière diffamatoire (les amis de passages pourraient, à la vue de ce que LDLC me balance, se demander si je ne me suis pas mis à attaquer des sites) mais aussi calomnieuse, de leur nuire... ce pour quoi je leur souhaite du courage, vu que, étant donnée ma politique de sortie dans la conf de Tor, c'est impossible.
M'enfin, vu qu'ils font déjà la différence entre nœuds de sortie et simples relais (vu que le "message" qu'ils donnent est différent), je ne me fais pas trop d'illusion : j'attends une semaine, et si je ne vois rien venir, j'imprime les factures que j'ai chez eux, en me connectant sur leur site pour une dernière fois (d'ailleurs, c'est marrant : dès que je change d'IP dynamique - "Orange en pleine cambrousse"-inside), je peux bien évidemment réaccèder à leur site normalement (ça ne commence à remerder qu'en début d'après-midi suivante : du grand n'importe quoi - même pas foutu de mettre leur liste inique à jour ; ça en dit long sur le professionalisme des "admins" aux manettes), et j'envoie un recommandé avec accusé de réception à leur siège social, leur demandant de virer de leurs fichiers clients les données nominatives qui me concernent (et en leur promettant de dire ce que je pense de leurs méthodes dans mon entourage privé).
Sinon, oui, en effet, je me suis sans doute mal exprimé pour les liens IP... mais j'ai trouvé ça un peu saoulant pour SSH et Puppet : de ce côté, je préfère la manière d'OpenVZ, avec l'hôte qui devient un routeur.
C'est discuté, et discutable... il semble (en googlant deux secondes) que ce soit accepté par l'Académie, mais reconnu comme plus "lourd" que le strict nécessaire, qui se satisfait bien de "voire" ou de "et même".
Sid n'est pas tant freezée qu'il y est déconseillé d'y faire entrer des choses qui ne sont pas destinées à apparaître dans Lenny.
Il y a quand même des choses qui rentrent dans Sid, et qui ne rentreront pas dans Lenny... et même des choses présentes dans Sid depuis un bail, et qui ne rentreront pas dans Lenny (genre lcdproc, coincé à la même version depuis au moins Sarge, à une révision debiannesque près)...
... cela dit, c'est clair : ce qu'on trouve habituellement dans Sid (comme le dernier X.org), il faut maintenant aller le chercher dans Experimental... et comme le boulot se concentre davantage sur Lenny, bah, Experimental (ça, c'est comme d'hab, mais peut-être en un peu pire, j'ai l'impression) est moins léché que Sid (et du coup, pas aussi utilisable)...
Bref, vivement Lenny, mais quand même pas avant qu'elle soit prête (il y a encore quelques gros bugs qui me gênent : notamment, du oops sur le noyau 2.6.26-8 avec OpenVZ, quand on se sert trop du réseau, et la dépendance de libsane-extras à udev, mais pas à makedev, ce qui n'est pas gérable dans les conteneurs, où udev ne marche pas... heureusement, les correctifs pour ces deux-là sont déjà dans Sid).
> Une HAL en user-space avec GPS, Radio, OpenGL, Bluetouth, wifi en natif
Question : vers quoi ? Des drivers proprios ou libres ? Et eux, en plein noyau ou en userland ?
De la Couche d'Abstraction Matérielle (CAM), on en a de la bonne (hald), et de la frelatée (madwifi), dans l'existant... ça peut servir à plein de choses, les HAL...
Mais les nœuds Tor, à la limite il est compréhensible de les bloquer, si on craint vraiment ce qui peut venir de Tor (et je veux bien croire qu'avoir du pognon en jeu peut éventuellement être une bonne raison). D'ailleurs au vu de la législation française, qui rend responsable un détenteur de connexion de ce qui en est fait (y compris, pas par lui), c'est l'une des raisons qui font que j'ai un relai, et pas un nœud de sortie.
Cela dit, ce n'est rien de plus qu'une mesure complémentaire aux autres : tenir son infrastructure à jour, surveiller, auditer, ...
Et si les emmerdeurs ne passent pas par Tor, il y a toujours des "open proxies", pas tous listés non plus. Et les "bridges", ils ne savent pas où ils sont, a priori... et ainsi de suite.
Par contre, bloquer les simples relais, ça ne protège pas davantage que de les laisser : ça revient au même... les deux seuls intérêts que je puisse voir à les bloquer, c'est "j'suis fainéant, je bloque tout" (en ce cas, pourquoi mettre une page d'avertissement pour les relais, et balancer un "le dossier n'existe pas" pour les nœuds de sortie ?), et "ils entraident ceux qui sortent par Tor, même si ce ne seront pas leurs IP qui nous attaqueront, du coup, si je les tape, Tor sera moins puissant" (ce qui est quand même vraiment douteux, je trouve : ils connaîtraient le copain du fils d'un gars qui a un "exit node", ils iraient lui péter la gueule ? Je ne pense pas, quand même).
M'enfin, mail de demande d'explication envoyé ce soir (hier soir, je n'avais pas le temps)... on verra peut-être la réponse (dans un autre journal ?).
En ce cas, c'est ton matériel, qui n'est pas libre... tout ce qui tournera sur ton linux, le sera, en revanche : le firmware, c'est un peu comme l'OS de ta carte wifi.
Ostensiblement, le pilote (libre), si je l'ai sur un 2.6.25 avec OpenWRT, avec une Lenny (2.6.26), tu l'as aussi...
... ce qui pourrait expliquer pourquoi il te demande le firmware : le pilote doit essayer de se lancer, mais ne trouve pas le firmware pour initialiser la carte (comme sur mon IPW2200BG d'Intel)...
Ne te reste plus qu'à mettre le firmware (hélas pas libre) à l'emplacement idoine, pour utiliser ta carte wifi avec un driver libre (qui devrait marcher en client, avec WPA2/PSK, comme sur mon WRT54GS)...
> Et il n'y a pas de firmware non-libre à chargé ?
Si, mais en compilant une image d'OpenVZ, fwcutter s'occupe d'extraire le firmware des drivers proprios Broadcom (de ce que j'en ai compris) ; je ne sais pas s'il est dans les images précompilées : je ne les utilise pas (mais du coup, je me pose la question, car je ne crois pas que ce firmware soit redistribuable).
Sinon, oui, b43 marche sur les routeurs à base de bcm47xx, comme les WRT54GS (testé sur un v1.1 et v4 chez moi), en utilisant les derniers SVN d'OpenWRT Kamikaze, qui embarquent un noyau 2.6.25 pour la cible bcm47xx... mais pas encore totalement complètement :
- ça marche en client et en point d'accès (certains rapportent que le driver plante au bout de quelques Mio transférés, mais je ne l'ai pas testé assez longtemps), sans chiffrement et avec WPA2/PSK (pour ce que j'ai essayé moi-même) ;
- contrairement à ce qui est faisable jusqu'à Kamikaze 7.09 avec le blob Broadcom sur noyau 2.4, on peut maintenant changer la puissance d'émission ;
- WEP et WDS ne marchent pas encore (par contre, il semble que le support pour le "mesh" sur b43 soit arrivé dans le noyau 2.6.27, qui n'est pas encore patché dans OpenWRT pour tourner sur la cible bcm43xx, même dans le SVN - je l'attends avec impatience, en faisant mon petit "svn up" quotidien, faute d'avoir le niveau pour le patcher moi-même) ;
- les BSSID virtuels (pour faire plusieurs points d'accès distincts à partir de la même carte) ne marchent pas encore, de ce que j'en ai testé (hostapd me meure dans les doigts sans rien dire... il semble, d'après linuxwireless.org que ce soit davantage un problème dans hostapd que dans le noyau - sinon, oui, il faut hostapd, pas installé par défaut dans les images binaires) ;
- la led WLAN0 du routeur ne marche pas (dans le 2.6.25 d'OpenWRT pour les bcm 47xx, il semble que les "triggers" de led n'aient pas été implémentés pour b43, mais seulement pour b43-legacy, pas utilisé dans OpenWRT).
À toute fin utile, j'ai donné quelques liens glanés sur ces sujets dans un topic du forum OpenWRT [1], et j'ai la flemme de tous les remettre en forme ici.
Enfin, même si ce n'est pas encore vraiment prêt, ça progresse beaucoup.
Pour les nœuds de sortie, je n'ai aucun problème à le comprendre : en effet, les conneries éventuelles sont faites avec l'IP de l'exit-node. Soit.
Mais la différence entre un exit-node et un relai, pour imager, c'est que l'exit-node prête ses empreintes digitales à n'importe qui, alors que je laisse juste n'importe qui passer dans mon jardin, en gardant mes empreintes digitales au bout de _mes_ doigts.
Me reprocher de les laisser passer pour aller ailleurs dans Tor, c'est quand même pousser le responsabilisme un peu loin...
Faut quand même se la taper, l'interface complètement glucose de ProjectX (et ses plantages aléatoires)...
D'autant, que pour ne pas faire de la bouillie sur les MPEG-TS (ces MPEG "pas comme sur les DVD", qu'on nous sert en broadcast) très abîmés, il n'est que trop conseillé, avec lui, de démuxer video et son, en deux fichiers, .m2v et .mp2...
Le problème est que si c'est recollable sans problème, il y a souvent, d'expérience, un offset constant (video et son des deux fichiers ne démarrent pas en même temps... dans les "-250ms", chez moi)... bon, en bidouillant pour sortir un MPEG-PS ("comme sur les DVD") via, par exemple avidemux, pour donner à manger à, par exemple, MEncoder, c'est ce que j'ai vu de plus acceptable sous Linux pour transformer ces bizarres MPEG broadcastés (mais franchement... même si elle est utile pour découper les pubs... cette GUI ; ouchhhh !)...
Cela dit, maintenant, je suis tenté de tester gst-fluendo-mpegdemux, évoqué plus bas...
[^] # Re: lapin compris
Posté par Aefron . En réponse au journal Gentoo-wiki, Gentoo-portage : du neuf. Évalué à 5.
Mike loue -> machines, interface d'administration, bootstrap -> à Skiplink
Skiplink loue -> électricité, refroidissement, rack, connexion réseau, dans un datacenter -> à TelX
Ainsi, TelX est en quelque sorte l'hébergeur de Skiplink, et Skiplink est l'hébergeur de Mike.
Mike leur loue directement les machines et le déploiement, et sous-loue indirectement à TelX, via Skiplink, ce qu'il faut dans le datacenter.
Bon, après, je suis peut-être imprécis sur les termes : hébergeur, fournisseur, ... je n'ai jamais encore loué de telle machine, donc, niveau vocable en ce domaine, en effet, je suis un gros noob.
[^] # Re: Très bon retour d'experience
Posté par Aefron . En réponse au journal Debian, VServer & OpenVZ : les conteneurs. Évalué à 2.
"cron-apt", en personnalisant un peu les fichiers pour utiliser "aptitude" au lieu de "apt", et faire un petit "autoclean", pour éviter de surcharger le "/var" ; les paquets à mettre à jour sont donc automatiquement sur la machine virtuelle (bon, en même temps, pour l'instant, il n'y a qu'une machine physique OpenVZ, donc, même en direct, ça va de disque dur à disque dur, même si seul l'hôte en a "conscience" ; l'arbre partiel est monté sur lui, sur une partition dédiée, puis "bind-mounté" en "rw" dans le conteneur "approx") : plus qu'un "safe-upgrade" voire un "full-upgrade" à faire (ça, par contre, j'aime bien faire à la main ; quoique j'investigue pour faire ça via des triggers, manuels mais centralisés, dans Puppet, pour ne pas avoir à ouvrir 36000 shells via SSH - bon, à la limite, ce qui vient de security.debian.org, je pourrais le faire passer automatiquement via "cron-apt", mais même ça, je me méfie).
Il ne m'envoie pas encore de mail, puisque j'attends que le bug sur le noyau 2.6.26-8 dont je parle soit corrigé dans Lenny (par flemme de mettre celui qui est déjà dans Sid), pour m'occuper de leur gestion ; mais c'est prévu et a déjà été testé (probablement "exim-daemon-light" dans les conteneurs, ainsi qu'un "exim-daemon-heavy" et un "dovecot-imapd", centraux).
> Tu as des conteneurs qui font tourner des services très simples, comme par exemple NTPD. Quelle est la taille approximative sur le disque dur que cela prend ?
Pour le conteneur NTP (le "gros" "ntp", pas "openntpd"), par exemple :
$ du -h...
270M /
après un debootstrap sans rien de particulier, soit seulement les paquets tagués "essential", soit ce que donne un "aptitude search ~prequired ~pimportant" (quelques uns, comme module-init-tools, sont superflus dans un conteneur), mais pas les "~pstandard" (de ceux-là, je ne fais pour l'instant venir que "openssh-client", "locales", "less" et "bash-completion" ; un petit "mutt" et un "exim4-daemon-light" ne seraient peut-être pas complètement idiots) ; et bien sûr ntp, ainsi que deux ou trois machins propres à mes habitudes d'administration (sudo, puppet, apt-show-version, ...).
C'est cela dit peu ou prou le minimum : le serveur chrooted-SFTP, qui doit vraiment être mon plus petit, hors "bind-mounts", fait 269Mio. Vu que je peux faire tourner une cinquantaine de machines de 48Mo de RAM (le minimum, arbitraire et empirique, bien que largement confortable, que je mette... bon, c'est une base : pour les trucs comme MLDonkey ou Tor, je n'hésite pas à mettre 240Mo ou 120Mo), avec mes 3Go de RAM (2,5Go dispatchés dans les "oomguardpages"), avec un "/var/lib/vz" d'environ 200Gio (4Gio par conteneur), niveau espace disque, je suis très-très-très large.
[^] # Re: Une perle
Posté par Aefron . En réponse au journal Jayce est de retour ! (Alléluia). Évalué à 2.
D'un autre côté, c'est déjà faisable... mettons que le "super-root" est notre "root" usuel"...
Son "root qui ne casse pas tout", ça peut n'être rien de plus qu'un utilisateur normal avec quelques privilèges via "sudo", voire via Grsec, Selinux et cie...
[^] # Re: J'ai un doute...
Posté par Aefron . En réponse au journal Jayce est de retour ! (Alléluia). Évalué à 4.
Ça pourrait être pire... il pourrait, par exemple, lancer des chaises...
# Pas plus que ça...
Posté par Aefron . En réponse au journal Le compte bancaire de Sarkozy piraté (suite). Évalué à 10.
Oh, les banques... si elles vérifiaient ce qu'elles faisaient, ça se saurait...
Un jour, un postier s'est trompé en remettant le chèque de prime pour l'emploi qui m'était destiné à une petite vieille, qui habitait au même numéro que moi, mais sur la place attenante à ma rue.
Ne comprenant rien au courrier qu'elle venait de recevoir, et se disant qu'on lui donnait sûrement un chèque pour l'aide à domicile qu'elle avait engagée, elle est partie à la banque encaisser le chèque du trésor public...
Chèque à mon nom, endossé avec la signature de la petite vieille...
Et bien, pour la banque, pas de souci, elle a encaissé : j'ai mis plus de 6 mois à me faire rembourser, et été emmerdé par cette histoire encore 6 mois de plus (je passe les "ah, mais Monsieur : si vous ne venez vous plaindre qu'une fois, je ne lance pas la procédure de réclamation - comprenez, comme 99% des gens ne reviennent pas se plaindre, c'est toujours ça de moins à faire pour moi", de la part du jovial guichetier en chef du trésor public ; ou les "ah, ça oui : _on_ est des mauvais, dans l'administration", en profitant pour ameuter ses collègues et leur répéter, de la part du brigadier chef de la gendarmerie, où j'ai du porter plainte pour la lancer, la procédure de réclamation)...
[^] # Re: L'accès au réseau? La sécurité?
Posté par Aefron . En réponse au journal Debian, VServer & OpenVZ : les conteneurs. Évalué à 3.
... cela dit, gaffe avec les capacités noyau : plus on en donne, moins il y a, justement, d'isolation.
Pour l'isolation du root, même réponse que Romain : parce que c'est prévu pour... ce qui ne prémunit contre aucune faille non plus...
D'ailleurs, des fois, un gros plantin sur un conteneur peut lourder toute la machine : exemple, l'installation de "gnunet" dans un conteneur OpenVZ sous Lenny... la dernière fois que j'ai essayé, pas de oops, ni de choses dans ce genre, mais quand même un gros blocage de la machine (les led du clavier marchaient encore... bizarre) : même plus de SSH...
Je subodore un bouffage de tout le proc, par le script d'install qui tourne avec les droits root, ou quelque chose du genre, mais il faut que je prenne le temps de tester ça (depuis, le conteneur où je fais mes tests a une priorité assez faible au niveau des cycles CPU), et de bugreporter si ça continuait.
[^] # Re: Concernant le crapaud hypno
Posté par Aefron . En réponse au journal Gentoo-Wiki, Gentoo-portage : par terre. Évalué à 2.
Sinon, il y a aussi un épisode complet d'Hypno-Toad sur le DVD du premier film Futurama (le premier quart de la cinquième saison).
[^] # Re: Dépêche?
Posté par Aefron . En réponse au journal Gentoo-Wiki, Gentoo-portage : par terre. Évalué à 4.
Je vais peut-être être un peu limité en temps ces prochains jours, mais, sauf mention contraire, mes propos sont toujours en WTFPL !
[^] # Re: Pourvu que ça soit un canular !
Posté par Aefron . En réponse au journal Jayce est de retour ! (Alléluia). Évalué à 5.
Racheter avec des pubs...
... tiens, voilà qui est cocasse...
[^] # Re: Bravo
Posté par Aefron . En réponse au journal Debian, VServer & OpenVZ : les conteneurs. Évalué à 2.
... en tout cas, c'est la moindre des choses que je dois à la communauté libre, donc les diverses documentations (par exemple le merveilleux wiki Gentoo... down, en ce moment, tout comme l'excellent gentoo-portage, apparemment à cause d'un hébergeur qui ne paie pas le datacenter... faudrait d'ailleurs faire un journal là-dessus : ça pue grave de chez grave) m'ont appris tout ce que je sais sur le libre (bah oui : formation de physicien, à part "donc, là, tu commences par pirater matlab", malheureusement, la formation sur le libre...).
[^] # Re: Question ?
Posté par Aefron . En réponse au journal LDLC m'a pwn3d : Tor ? Dehors !. Évalué à 3.
... dans la lettre de demande d'explication, je leur ai d'ailleurs demandé de me prouver que mon IP a bien permis a des gens d'accéder à leur site de manière anonyme, puisque leur message m'accuse de manière diffamatoire (les amis de passages pourraient, à la vue de ce que LDLC me balance, se demander si je ne me suis pas mis à attaquer des sites) mais aussi calomnieuse, de leur nuire... ce pour quoi je leur souhaite du courage, vu que, étant donnée ma politique de sortie dans la conf de Tor, c'est impossible.
M'enfin, vu qu'ils font déjà la différence entre nœuds de sortie et simples relais (vu que le "message" qu'ils donnent est différent), je ne me fais pas trop d'illusion : j'attends une semaine, et si je ne vois rien venir, j'imprime les factures que j'ai chez eux, en me connectant sur leur site pour une dernière fois (d'ailleurs, c'est marrant : dès que je change d'IP dynamique - "Orange en pleine cambrousse"-inside), je peux bien évidemment réaccèder à leur site normalement (ça ne commence à remerder qu'en début d'après-midi suivante : du grand n'importe quoi - même pas foutu de mettre leur liste inique à jour ; ça en dit long sur le professionalisme des "admins" aux manettes), et j'envoie un recommandé avec accusé de réception à leur siège social, leur demandant de virer de leurs fichiers clients les données nominatives qui me concernent (et en leur promettant de dire ce que je pense de leurs méthodes dans mon entourage privé).
[^] # Re: vserver sur lenny
Posté par Aefron . En réponse au journal Debian, VServer & OpenVZ : les conteneurs. Évalué à 4.
Sinon, oui, en effet, je me suis sans doute mal exprimé pour les liens IP... mais j'ai trouvé ça un peu saoulant pour SSH et Puppet : de ce côté, je préfère la manière d'OpenVZ, avec l'hôte qui devient un routeur.
[^] # Re: Valeur !=coût != prix
Posté par Aefron . En réponse au journal Quelle est la valeur d'une distribution Linux ?. Évalué à 4.
[^] # Re: Le plus tôt possible !
Posté par Aefron . En réponse au sondage Debian Lenny sortira :. Évalué à 3.
Il y a quand même des choses qui rentrent dans Sid, et qui ne rentreront pas dans Lenny... et même des choses présentes dans Sid depuis un bail, et qui ne rentreront pas dans Lenny (genre lcdproc, coincé à la même version depuis au moins Sarge, à une révision debiannesque près)...
... cela dit, c'est clair : ce qu'on trouve habituellement dans Sid (comme le dernier X.org), il faut maintenant aller le chercher dans Experimental... et comme le boulot se concentre davantage sur Lenny, bah, Experimental (ça, c'est comme d'hab, mais peut-être en un peu pire, j'ai l'impression) est moins léché que Sid (et du coup, pas aussi utilisable)...
Bref, vivement Lenny, mais quand même pas avant qu'elle soit prête (il y a encore quelques gros bugs qui me gênent : notamment, du oops sur le noyau 2.6.26-8 avec OpenVZ, quand on se sert trop du réseau, et la dépendance de libsane-extras à udev, mais pas à makedev, ce qui n'est pas gérable dans les conteneurs, où udev ne marche pas... heureusement, les correctifs pour ces deux-là sont déjà dans Sid).
[^] # Re: Valeur !=coût != prix
Posté par Aefron . En réponse au journal Quelle est la valeur d'une distribution Linux ?. Évalué à 5.
... et voire même, "trompeur" ;)
[^] # Re: En bref
Posté par Aefron . En réponse au journal Sources d'android disponibles.. Évalué à 1.
Question : vers quoi ? Des drivers proprios ou libres ? Et eux, en plein noyau ou en userland ?
De la Couche d'Abstraction Matérielle (CAM), on en a de la bonne (hald), et de la frelatée (madwifi), dans l'existant... ça peut servir à plein de choses, les HAL...
[^] # Re: Ils bloquent bien les relais
Posté par Aefron . En réponse au journal LDLC m'a pwn3d : Tor ? Dehors !. Évalué à 4.
Cela dit, ce n'est rien de plus qu'une mesure complémentaire aux autres : tenir son infrastructure à jour, surveiller, auditer, ...
Et si les emmerdeurs ne passent pas par Tor, il y a toujours des "open proxies", pas tous listés non plus. Et les "bridges", ils ne savent pas où ils sont, a priori... et ainsi de suite.
Par contre, bloquer les simples relais, ça ne protège pas davantage que de les laisser : ça revient au même... les deux seuls intérêts que je puisse voir à les bloquer, c'est "j'suis fainéant, je bloque tout" (en ce cas, pourquoi mettre une page d'avertissement pour les relais, et balancer un "le dossier n'existe pas" pour les nœuds de sortie ?), et "ils entraident ceux qui sortent par Tor, même si ce ne seront pas leurs IP qui nous attaqueront, du coup, si je les tape, Tor sera moins puissant" (ce qui est quand même vraiment douteux, je trouve : ils connaîtraient le copain du fils d'un gars qui a un "exit node", ils iraient lui péter la gueule ? Je ne pense pas, quand même).
M'enfin, mail de demande d'explication envoyé ce soir (hier soir, je n'avais pas le temps)... on verra peut-être la réponse (dans un autre journal ?).
[^] # Re: Drivers broacom
Posté par Aefron . En réponse à la dépêche Gestion des puces Broadcom 63xx dans OpenWrt. Évalué à 4.
[^] # Re: Drivers broacom
Posté par Aefron . En réponse à la dépêche Gestion des puces Broadcom 63xx dans OpenWrt. Évalué à 4.
... ce qui pourrait expliquer pourquoi il te demande le firmware : le pilote doit essayer de se lancer, mais ne trouve pas le firmware pour initialiser la carte (comme sur mon IPW2200BG d'Intel)...
Ne te reste plus qu'à mettre le firmware (hélas pas libre) à l'emplacement idoine, pour utiliser ta carte wifi avec un driver libre (qui devrait marcher en client, avec WPA2/PSK, comme sur mon WRT54GS)...
[^] # Re: Drivers broacom
Posté par Aefron . En réponse à la dépêche Gestion des puces Broadcom 63xx dans OpenWrt. Évalué à 3.
Si, mais en compilant une image d'OpenVZ, fwcutter s'occupe d'extraire le firmware des drivers proprios Broadcom (de ce que j'en ai compris) ; je ne sais pas s'il est dans les images précompilées : je ne les utilise pas (mais du coup, je me pose la question, car je ne crois pas que ce firmware soit redistribuable).
Sinon, oui, b43 marche sur les routeurs à base de bcm47xx, comme les WRT54GS (testé sur un v1.1 et v4 chez moi), en utilisant les derniers SVN d'OpenWRT Kamikaze, qui embarquent un noyau 2.6.25 pour la cible bcm47xx... mais pas encore totalement complètement :
- ça marche en client et en point d'accès (certains rapportent que le driver plante au bout de quelques Mio transférés, mais je ne l'ai pas testé assez longtemps), sans chiffrement et avec WPA2/PSK (pour ce que j'ai essayé moi-même) ;
- contrairement à ce qui est faisable jusqu'à Kamikaze 7.09 avec le blob Broadcom sur noyau 2.4, on peut maintenant changer la puissance d'émission ;
- WEP et WDS ne marchent pas encore (par contre, il semble que le support pour le "mesh" sur b43 soit arrivé dans le noyau 2.6.27, qui n'est pas encore patché dans OpenWRT pour tourner sur la cible bcm43xx, même dans le SVN - je l'attends avec impatience, en faisant mon petit "svn up" quotidien, faute d'avoir le niveau pour le patcher moi-même) ;
- les BSSID virtuels (pour faire plusieurs points d'accès distincts à partir de la même carte) ne marchent pas encore, de ce que j'en ai testé (hostapd me meure dans les doigts sans rien dire... il semble, d'après linuxwireless.org que ce soit davantage un problème dans hostapd que dans le noyau - sinon, oui, il faut hostapd, pas installé par défaut dans les images binaires) ;
- la led WLAN0 du routeur ne marche pas (dans le 2.6.25 d'OpenWRT pour les bcm 47xx, il semble que les "triggers" de led n'aient pas été implémentés pour b43, mais seulement pour b43-legacy, pas utilisé dans OpenWRT).
À toute fin utile, j'ai donné quelques liens glanés sur ces sujets dans un topic du forum OpenWRT [1], et j'ai la flemme de tous les remettre en forme ici.
Enfin, même si ce n'est pas encore vraiment prêt, ça progresse beaucoup.
[1] http://forum.openwrt.org/viewtopic.php?id=17238
[^] # Re: Ils bloquent bien les relais
Posté par Aefron . En réponse au journal LDLC m'a pwn3d : Tor ? Dehors !. Évalué à 3.
Mais la différence entre un exit-node et un relai, pour imager, c'est que l'exit-node prête ses empreintes digitales à n'importe qui, alors que je laisse juste n'importe qui passer dans mon jardin, en gardant mes empreintes digitales au bout de _mes_ doigts.
Me reprocher de les laisser passer pour aller ailleurs dans Tor, c'est quand même pousser le responsabilisme un peu loin...
[^] # Re: Ils bloquent bien les relais
Posté par Aefron . En réponse au journal LDLC m'a pwn3d : Tor ? Dehors !. Évalué à 3.
... et c'est heureux : personne n'a fait de conneries avec mon adresse IP... puisque personne ne sort de Tor via celle-ci...
[^] # Re: Synchronisation
Posté par Aefron . En réponse au journal Essai de transcoding avec Gstreamer-0.10. Évalué à 2.
D'autant, que pour ne pas faire de la bouillie sur les MPEG-TS (ces MPEG "pas comme sur les DVD", qu'on nous sert en broadcast) très abîmés, il n'est que trop conseillé, avec lui, de démuxer video et son, en deux fichiers, .m2v et .mp2...
Le problème est que si c'est recollable sans problème, il y a souvent, d'expérience, un offset constant (video et son des deux fichiers ne démarrent pas en même temps... dans les "-250ms", chez moi)... bon, en bidouillant pour sortir un MPEG-PS ("comme sur les DVD") via, par exemple avidemux, pour donner à manger à, par exemple, MEncoder, c'est ce que j'ai vu de plus acceptable sous Linux pour transformer ces bizarres MPEG broadcastés (mais franchement... même si elle est utile pour découper les pubs... cette GUI ; ouchhhh !)...
Cela dit, maintenant, je suis tenté de tester gst-fluendo-mpegdemux, évoqué plus bas...
[^] # Re: Ils bloquent bien les relais
Posté par Aefron . En réponse au journal LDLC m'a pwn3d : Tor ? Dehors !. Évalué à 3.
S'il y a plein d'adresses IP dynamiques dans les "bridges", ça doit quand même représenter un certain taf...
[^] # Re: Juste retour des choses
Posté par Aefron . En réponse au journal Le compte bancaire de Sarkozy piraté. Évalué à 3.
En effet ! En bon vieux firewall redmondien, il empêche a priori d'y entrer, mais pas d'en sortir...