Anonyme a écrit 62265 commentaires

on en a deja discuté longtemps ici, pour resumé le /home/utilisateur est facile a chiffré si il y a une connection direct sur la machine les fichers de .config peuvent etre chiffré facilement; le reste avec la gestion des droit ET apparmor et ses amis ca rend plus difficile le truc. Meme le module fait main et chargé a l'arrache n'est plus possible sur certaine distribution de nos jours.

je ne suis pas certain que ce soit plus facile, et une infirmière avec mutt ne vas pas cliquer sur la piece jointe! elle ne saura pas utiliser le raccrouci clavier kivabien :D

Je plussoie.

Writer reste tout de même plus limité par rapport à un outil de maquettiste comme Scribus (il me semble qu'on en avait déjà parlé il y a quelques mois dans une discussion à propos du CMJN). Mais effectivement si on a pas de très très hautes exigences ou contraintes, il n'est pas nécessaire de sortir l'artillerie lourde et Writer est déjà un outil suffisamment avancé et polyvalent pour la grande majorité des usages. D'ailleurs on peut déjà créer des documents tout à fait décents avec un outil plus simple comme Abiword.

Bref, peu importe l'outil qu'on utilise du moment qu'on le maitrise suffisamment pour arriver à ses fins.

C'est bien ce qui me semblait avoir entendu mais merci pour la confirmation.

Dans certains cas ils font commerce de ce qui est récupéré, genre ils vendent des ordinateurs recyclés, des chaînes HiFi, etc. Ça reste totalement anecdotique sur le volume.

Oui c'est souvent ce qui est vanté dans les médias pour masquer le fait que dans la grande majorité des cas ce n'est pas rentable de réparer. Avant même de pouvoir être sûr de remettre en état en remplaçant une pièce, le démontage, le nettoyage et le diagnostic prennent des heures de main d'œuvre, surtout que depuis ces vingt dernières années les schémas et les manuels de service sont devenu rares.

Ça ne serait pas bien compliqué de stripper toute la partie derrière le "+" et extraire les adresses de base.

Sauf que le + dans une adresse e-mail est simplement une convention, donc foo+bar@example.com doit être traité comme étant complètement différent de foo@example.com.

• comment chiffrer un disque distant, et déverrouiller toutes ses partitions d'une seule clé, sans forcer l'«adminitrateur» à taper plusieurs fois la clé? Doit-on vraiment avoir une clé par partition? Quel est le juste milieu?

Tu chiffres / avec une passphrase et tu chiffres les autres partitions avec des fichiers de clef que tu stockes sur /.

Ton ENTRYPOINT devrait être un CMD et tu pourrais mettre dumb-init (par exemple) en ENTRYPOINT.

En gros, pour créer une image Debian (par exemple), tu prends une image vide et tu y copies le / d’une Debian que tu as « deboostrapé » à l’avance.

Pour distroless, c’est un peu pareil, ils prennent une image vide et y copient les fichiers nécessaires à une image basique (glibc, trousseau de certificats, etc.).

Même pas le prix des licences de l'OS qui a provoqué la catastrophe

On est tellement certain que Linux c’est sûre par défaut que je suis persuadé que ça serait plus facile de déployer un ransomware sous Linux que sous Windows.

Article intéressant mais venant du site minimachines c'est un peu paradoxal vu les tonnes de trucs embarqués et connectés qu'ils présentent sans jamais évoquer le support logiciel ou la sécurité des systèmes obsolètes qui pullulent dans l'IOT.

Très joli conseil sur le papier dont je ne peux que me faire l’écho quand je m’adresse à une foule de particuliers propriétaires de ce genres d’appareils. Emmener son vieil ampli à la déchetterie permettra sans doute un meilleur recyclage de ses composants.

Par contre j'ai ris jaune en lisant ce passage car on ne sait absolument pas ce que les déchetteries en font (et qu'en plus ça dépend de la localité) alors qu'en le donnant ou en le revendant "pour pièces" à des bricoleurs/hackers/collectionneurs (qui ont rarement accès aux déchetteries ou même aux bacs de récupération d'ampoules) on est par contre quasi-certain que le matériel (ou du moins une partie des composants) aura une nouvelle vie plutôt que d'être cramé pour récupérer quelques dixièmes de grammes de métaux précieux.

ce n'est pas forcement plus performant

Ça dépend de quoi on parle. Un AIO sera équivalent (et c'est pas pour les perfs qu'on prend un AIO, j'y reviendrai plus tard), tandis qu'un montage openloop explosera les perfs de refroidissement du meilleur ventirad tout en permettant d'intégrer le GPU à la boucle voire même les VRM ou le chipset sur le haut de gamme récent.
Ce n'est pas par hasard que les records d'overclocking en aircooling montent moins haut que ceux en watercooling.

ni plus silencieux (il faut parfois des ventiles pour souffler sur le radiateur qui refroidit le liquide)

Les ventilateurs du radiateur ne sont pas en option, c'est eux qui assurent le refroidissement du circuit. Ceux-ci tournent généralement moins rapidement que sur un ventirad standard car l'eau apporte un meilleur transfert thermique.

Niveau bruit, effectivement ce n'est pas plus silencieux mais ce ne sont pas les ventilateurs qui sont la principale source de bruit sur un système de watercooling, c'est la pompe.

et puis il y a les risques de fuites,

C'est surtout valable pour l'open loop avec des tubes rigides, chose qui est déconseillée pour un premier montage. En tubes flexibles les connexions sont bien mieux sécurisées. Après le reste ce sont des bonnes pratiques pour éviter la corrosion et une surveillance régulière.

les maintenances (purger/demonter le water cooling quand tu veux changer une piece du PC)…

Ce que tu décris n'est valable que pour l'openloop, et encore avec des tubes flexibles pas trop courts et un circuit bien pensé il y a moyen de changer de CPU sans devoir tout démonter et purger. Le problème de maintenance de l'openloop c'est surtout qu'il est conseillé de remplacer le liquide tous les 6 mois et de vérifier le bon état des échangeurs thermiques. Utiliser un liquide spécialisé avec biocide, non opaque et sans colorant ainsi que utiliser des blocs transparents permettent déjà d'éviter pas mal d'heures de démontage, de nettoyage et de remplacement.
Si on est du genre à ouvrir son PC tous les 2 ans pour faire les poussières et remplacer les pâtes thermiques du CPU et du GPU, l'openloop n'est pas conseillé.

Par contre avec un AIO pas besoin d'une telle maintenance et c'est même plus simple de travailler sur la carte qu'avec un gros ventirad qui bloque l'accès à la RAM, au connecteur d'alimentation du CPU et à ceux des ventilateurs. Mais à performances égales, un AIO c'est plus cher qu'un ventirad et ça tombe bien plus rapidement en panne que tout les autres systèmes.

Sans vouloir défendre qui que ce soit et sans aucun rapport avec le contexte de l’hôpital public : c’est pas si facile de faire des backups correctement, il faut que tes machines ne puissent que pousser des nouvelles sauvegardes, et que tu ai quand même un moyen d’avoir une politique de rétention correct.

Tu as donc plusieurs solution (je considère qu’une machine ne peut pas interagir avec les sauvegardes des autres machine) :

• les machines ont un accès lecture/écriture sur leur sauvegardes : si une machine est piraté, l’attaquant peut altérer/supprimer ses sauvegardes ;
• les machine ont seulement un accès en écriture (sauf suppression) sur leur sauvegardes :
  • soit la rétention est géré automatiquement et dans ce cas c’est le serveur qui est ton point le plus faible : s’il se fait piraté, l’attaquant peut altérer/supprimer les sauvegardes de toutes les machines.
  • soit c’est géré manuellement : c’est fastidieux, donc ça sera oublié ou mal documenté, le serveur de sauvegarde va se remplir et tu vas plus avoir de sauvegarde tant que personne ne s’en rendra compte (dans le meilleur des cas tu serais réveillé au milieu de la nuit par ton monitoring).

Une dernière solution est d’avoir un serveur de sauvegarde qui se connecte au machine pour récupérer les fichiers, mais ça veut dire que tu as un point central qui a accès à tous les fichiers de toutes les machines de ton parc.

passé tous sous linux permetra d'economiser des sous, enfin bon ca aurait du être fait dans les années 2000

Et pour compléter le tableau, Google propose les images distroless qui sont des images dépouillées de tout ce qui est superflu (il y en a une pour Java : gcr.io/distroless/java-debian10).

la logique vient après

Après quoi ? Le but c’est presque toujours d’avertir l’utilisateur le plus vite possible en cas d’erreur.

On peut aussi ajouter du code dans la regex

Ça sert à rien si tu utilise déjà des outils qui traitent les dates correctement :

>>> pendulum.date(year=100, month=2, day=29)
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "[SNIPPED]/lib/python3.7/site-packages/pendulum/__init__.py", line 161, in date
    return Date(year, month, day)
ValueError: day is out of range for month
>>> pendulum.date(year=104, month=2, day=29)
Date(104, 2, 29)

Je crois savoir l'intérêt (relatif): une fois que tu rend la machine, celle-ci est louée à une autre personne.

On parle de VPS, pas de serveur dédier.

Ce qui, il me semble, est d'autant plus compliqué qu'il y a de forte chance que l'endroit ou elle était stockée ait été écrasé lors de la réinstallation du système.

J’espère sérieusement que tu ne chiffres pas tes partitions avec une clef stocké en clair sur la même machine.

Toutefois, cette précaution de chiffrer une partition n'est utile que pour les serveurs physiques. Pour les VM et autres conteneurs "cloud", ce sont des disques virtuels donc, données irrécupérables après recréation des partitions virtuelles.

Oui, voilà donc ça répond pas à la question : de qui se protège-t-on en chiffrant les disque d’un VPS ?

Par contre je n'ai pas trouvé l'information qui explique en quoi consistait exactement cette destruction.

Ça consiste à faire l’équivalent d’un shred.

La VM démarre, déchiffre le disque. […]

Sauf si le chiffrement s'est fait avec une clé avec passphrase. Mais pas très pratique pour un serveur.

On a déjà du mal à voir l’utilité du chiffrement sur un VPS, alors si en plus c’est avec une clé en clair, c’est même pas la peine de faire tous ces efforts.

D'ailleurs je doute qu'on puisse indiquer la passphrase au lancement d'un serveur sur OVH…

Tu peux utiliser dropbear, qui va démarrer dans l’initramfs et te permettre de déchiffré le disque à travers SSH. Je sais pas comment fonctionne les VPS d’OVH, mais je le fais sur du bare-métal.

Au sujet du compte OVH piraté : ça ne devrait pas arriver. Si cela arrive, c'est que tu n'as pas assez sécurisé son accès (par une double authentification par exemple).

Ou qu’OVH eux même se fasse pirater.

Paris n'est pas détesté par tout le monde

C’est pas le cas des Parisiens par contre.

Wut! Je découvre que busybox intègre un serveur HTTP.

Si ça peut aider : Logical Increments.

Pour répondre à tout les commentaires en même temps : son expression est aussi invalide que la tienne et capture des dates qui n’existent pas « dans la vraie vie ».

Qui pour nous faire une regex qui marche avec la base tz ?

Ben si le but, c'est d'aider les développeurs pour qu'ils n'aient plus à écrire les regexp eux même, ce serait bien d'en mettre des correctes !

Je corrige : ce serait bien de mettre des vrais manières de valider ce genre de données (adresse email, date, etc.) en utilisant des outils adaptés.

L'échauffement d'un avion de ligne fait gagner environ 20° au carburant (-55° à l'extérieur, -35+ dans les réservoirs d'aile).

Je suis allez vérifier, parce que je me rappelle bien avoir vu une photo de l’ECAM d’un Airbus qui montrait un transfert automatique du carburant à cause de la température trop basse (j’ai retrouvé un tweet, mais ça ne correspond pas à mon souvenir) et en fait tu semble avoir raison : il y a plus de procédure pour des températures trop élevés que pour des température trop basse.

Pour Puppet c’est pareil :

• puppet-master était écris en ruby et consommait ce dont il avait besoin ;
• puppetserver est écrit en clojure/ruby et tourne sur une JVM qui demande plusieurs Go de RAM dès le démarrage.

C’est pas juste pour dire que c’était mieux avant (sur tout un tas de point, c’est mieux maintenant), mais le passage à la JVM a clairement fait augmenter le dimensionnement des VM.

Vu tes besoins, le 9900K(F) ne sera qu'un poil meilleur pour les jeux (mais pas tous et ça sera de quelques pouillèmes si la carte graphique est le goulet d'étranglement) et il sera très inférieur dans le reste des applications qui sont fortement multithreadées (même le i9 10980XE se fait bouffer par un R9 3950X). De plus niveau chauffe il sera égal voire moins bon, en particulier si tu OC ou que tu prends la version KS.

Le PCIe 4.0 pour l'instant c'est utile uniquement si tu as les SSD NVMe qui le supporte et le chipset x570 requiert un ventilateur dédié qui à la longue risque de devenir bruyant ou de casser. Donc c'est peut-être encore tôt.

À propos du watercooling, les systèmes AIO tout scellés ne sont pas vraiment mieux qu'un bon ventirad. Le openloop avec pompe externe, même si ça baisse de prix avec des grandes marques comme Corsair qui proposent désormais des kits, ça reste un investissement, ça demande pas mal de temps supplémentaire de montage (même en tubes flexibles) et il faut tout purger dès qu'il y a une intervention de maintenance à faire sur la carte-mère ou la carte graphique.
ÀMHA c'est pas vraiment le genre de truc à mettre sur un ordi de boulot qui doit avoir une haute disponibilité.

Pour le prix du vieux matos, ça dépend des pièces.
La carte-mère ne vaut quasi rien car elle est très très bas de gamme (beaucoup trop vu pour ce CPU version K vu que le chipset ne permet pas d'OC et en plus les VRM ne sont pas nombreuses et pas couvertes par des radiateurs). Il vaut mieux lui en trouver une d'occasion pour quelques dizaines d'euros avec un chipset Z170 ou Z270.
Le processeur, comme tous les Intel, est indécemment cher en occasion par rapport à ce qui est proposé actuellement en neuf. Si les vendeurs étaient honnêtes, ils en demanderaient 70€ maximum.
La RAM normalement ça s'use pas. Vu que les prix sont redevenus acceptables tu peux comparer avec l'équivalent en neuf selon les caractéristiques (fréquence, timings) ou regarder par rapport à ton prix d'achat de l'époque.