En effet, les seules personnes qui lisent les journaux sont les usagers réguliers de ce site qui ont parfaitement intégrés les règles de base de ce dernier.
Ta bile s'adressait plus à un newbie qui viendrait poser sa question directement sans passer par la case "journal" et autre.
Donc plutôt que de perdre du temps à rédiger ce journal qui ne sera pas lu par les bonnes personnes, tu pourrais, au hasard:
_ Crée une entrée dans le système de suivi du site pour demander à ce qu'une feature soit développée pour rappeler les règles de la netiquette à un nouvel inscrit lorsque ce dernier poste son message, ou …
_ Coder la fonctionnalitée sus-citée :)
Après, je ne te jette pas la pierre, tu n'es pas le seul à pousser un coup de gueule contre des gens qui ne liront jamais ta prose sur ce site.
Tout les journaux pour baver sur les keynotes Apple, ceux pour baver sur les "initiatives" Open Source microsoft, etc… bein c'est la même !
Je suis vieux…. J'ai connu l'époque ou nous râlions contre les gens qui envoyaient des mails en HTML parce que "sapue, saymoche et saconsommedelaBPpourrien"… fatalement quand je lis ce genre de suggestion, je peux m'empêcher de pouffer…
Je sais que mes questions sont un peu hors-sujet, mais peut être que l'auteur de cet article ou un des lecteurs saura éclairer ma lanterne !
Récemment, ma boite a mis en place un système de "badgeuse" (oui, oui, comme à l'usine ;-p). La badgeuse en question passe intégralement par du soft: on badge depuis une page web ou une appli smartphone.
Ils ont choisis un soft proprio d'une ergonomie digne du minitel et parfaitement imbuvable.
Je me demandais si ce choix était motivé par une quelconque "obligation légale", je m'explique: le suivi des temps de travail des salariés est un sujet délicat et très probablement fortement encadré.
Y a t il des contraintes de l'état pour ce genre de soft? Par exemple, que ce dernier soit certifié par un organisme ou autre?
De la même façon, si contrainte il y a, cette dernière ne s'applique t elle pas également à Libertempo ?
Ou a t on le droit de déployer ce que l'on veut ?
Déjà, ils ne parlent pas d'usure à proprement parler mais d'un ordinateur qui devient lent.
Perso, mon flamboyant Celeron 400 du début des années 2000 serait bien en peine de faire tourner une Debian actuelle …
Après, certes, je pourrai très bien installer une Debian 2.2 sur le celeron en question … mais la navigation internet risque de piquer les yeux, il me manquera 90% des différents codecs audio et video (et ne parlons même pas de ceux que mon brave celeron 400 ne pourra pas décoder), je galèrerai probablement des jours à faire accepter à mon X11 (tu sais, l'ancêtre de Xorg) un moniteur 16/9 actuel, etc…
Cracher sur M$ c'est drôle, mais faut quand même être un peu objectif sous peine de perdre toute crédibilité …
Ma curiosité est piquée ….
A part de la distrib "custom" ayant pour vocation d'être embarquée, quelle distribution GNU/Linux moderne n'embarque pas PAM actuellement ?
(Je me souviens avoir bossé il y a environ 10 ans sur PAM et c'était globalement très très répandu).
On peut de cette manière chiffrer tout le traffic entre deux serveurs (ou plus), sans rien modifier au routage et sans encapsulation particulière genre OpenVPN qui se limite au traffic TCP et UDP.
D'ou ça sort qu'OpenVPN ne gère que TCP et UDP ?
Déjà, cette affirmation est hasardeuse de part sa formulation. Parles tu des protocoles que tu peux faire passer dans ton tunnel OpenVPN ou des protocoles utilisés pour les paquets OpenVPN ?
Declarations about network topology include the shared-network and the subnet declarations. If clients on a subnet are to be assigned addresses dynamically, a range declaration must appear within the subnet declaration.
For clients with statically assigned addresses, or for installations where only known clients will be served, each such client must have a host declaration.
If parameters are to be applied to a group of declarations which are not related strictly on a per-subnet basis, the group declaration can be used.
Et je rajouterai un conseil: il ne faut pas hésiter à lire la page de man ;-)
Je paye pour une connexion Internet, qui est déjà de qualité.
Pas tant que ça visiblement …
C'est juste que non, je n'accepte pas qu'on vienne me dire que c'est un service pour professionnel.
Utiliser les emails != auto-héberger ses emails.
Puisque les comparaisons avec l'automobile semblent être de mise, je dirai que je conduis une voiture, parfois je fais ma vidange et 2/3 autres opérations de maintenance moi-même, mais si jamais un jour je dois changer un joint de culasse ou faire la distribution, je passerai probablement par les services d'un professionnel.
Pour la bonne et simple raison qu'utiliser une voiture ne fais pas de moi un mécanicien.
Bein les mails c'est la même chose… Mme Michu utilise le mail, mais n'a aucune envie de s'emmerder à les héberger.
Si un jour, 99% des utilisateurs de voiture demandent aux constructeurs automobile à ce que le changement de courroie de distribution soit facilité, peut être qu'ils feront en sorte de leurs prochains modèles puissent voir leurs distributions changée en deux coups de cuillère à pot.
Si un jour, 99% des internautes français décidaient d'héberger leurs email sur un vieux P2 400 raccordé à leurs ADSL, peut être que le micro-système des industriels de l'internet changerait un peu de point de vue quant au bloc d'ip résidentiel & co.
Un serveur dédié, je dois payer en plus pour une machine qui ne m'appartient pas, et des données qui peuvent donc être volées à mon insu. Physiquement je veux dire (il est possible que je me sois déjà fait pwner sans le savoir ;) ).
Bon … tu sembles manquer d'imagination "technique" …. voici un petit exemple de setup qui résoud tout tes problèmes de mails:
_ 1 serveur dédié faisant tourner OpenVPN sur, par exemple, le réseau 10.42.42.0/24. Son adresse est 10.42.42.1.
_ Ton "serveur" sur ADSL (loool) qui fait tourner un client OpenVPN vers ton dédié. Son adresse est 10.42.42.2.
_ Ton postfix configuré pour n'être qu'un relais sur ton domain: tout les mails reçus sont automatiquement rebalancés au MX primaire: ton serveur sur ADSL, 10.42.42.2
Résultat: tes mails ne passent qu'un poulième de secondes sur le serveur dédié… et finissent très rapidement au chaud dans ton salon, à l'abri des vilains chinois du FBI !
Ce setup est on ne peut plus robuste, on ne peut plus "standard" et s'appuie sur des technos OpenSource grandement éprouvée…
En plus, le jour ou ton ADSL ou ton vieux P2 400 est en carafe, les mails restent bien au chaud sur ton dédié, patientant sagement le retour de copain MX primaire …
Après, si cela n'est pas suffisant pour toi, je t'invite à te demander:
_ Ce que peut faire ton FAI en terme d'inspection de ta vie numérique.
_ Ce que peut faire ton FAI quand un de ses routeurs voit un paquet à destination de ton IP et le port 25.
_ Ce qu'il est possible de faire en mode "man-in-the-middle" dans le cas d'un serveur qui viendrait faire coucou au tiens en TLS.
La sécurité doit toujours être considérée en fonction des données à protéger…
Je peux comprendre que tu sois un peu parano, et c'est d'ailleurs une qualité à mon sens en informatique, mais penses tu réellement que les contraintes que tu t'imposes correspondent réellement à tes besoins ? :)
Comme les gens le disent sur le reste de ce thread, une connection grand public n'est effectivement pas faites pour émettre des mails … du moins dans l'imaginaire des FAIs et des sites de blacklist.
Dès lors, il ne te reste guère qu'une solution: passer par un relais extérieur.
Celui de ton FAI ne te convient pas, la faute à l'absence de TLS… n'aurais tu pas un ami avec un serveur dédié qui pourrait faire office de relay pour toi ?
Ou mieux, n'as tu pas 5€/mois à dépenser pour louer un dédié ou un dédié virtuel et y installer un postfix qui ferait relais (en utilisant soit un lien VPN entre les deux et n'autoriser que le relais provenant de la plage d'adresse de ton VPN, soit en utilisant de l'authentification SASL entre les deux).
Le gros problème des connections ADSL & co offerte par les FAI grand public, c'est qu'elles ne sont pas vouées à héberger de genre de service considérés comme "professionnels".
Si, à un instant t, cela fonctionne, rien ne garantit qu'il en sera de même à t+1 mois ou t+2 ans… cette incertitude fait que, à mon sens, l'hébergement de mail sur une ADSL ou autre est à proscrire…
Si tu passes par un relais externe, pense bien à mettre à jour les enregistrements SPF & co …
Hmmm … winwin le fait nativement assez facilement non ?
Je me souviens de l'icône de la langue dans le systray ou il suffisait de rajouter une nouvelle langue pour pouvoir y basculer rapidement à la souris ou avec la combinaison alt+shift (ce qui m'a provoqué pas mal de suée à l'époque ou j'étais forcé d'utiliser un putty pour faire du irssi)
Si les datas sont sensibles, en fait on prevoit de mettre les RuggedPOD sur les terrasses d'immeuble. Pour le controle d'acces c'est plus facile ;) et il y a de la surface.
Et c'est sensé être plus sûr ? Va dire ça aux jeunes russes (mais pas que) dont le passe-temps est justement d'aller se promener sur le toit des immeubles ;-)
Pour ce qui est des employes, il existe des tonnes de metiers externes assujettis aux intempéries et en effet on va pas ameliorer les conditions de travail des admins sys.
Ahahaha … j'imagine le changement de composants hardware un jour de grosse chute de neige: un gros barbu saucissonné dans un blouson de ski avec une pelle sur l'épaule… les délais de reprise sur incident risquent d'être rallongés, à moins qu'on rajoute un cours "pelle, pioche et brouette" au différents cursus informatique (car les informaticiens ne sont pas les meilleurs au maniement de la pelle, sans vouloir rentrer dans les stéréotypes).
La securisation d'un champs ca se fait aussi sans trop de cout comme un aeroport ou d'autre sites securises. Pour l'ete on essaie de qualifier des versions "deserts" du projet mais il reste du boulot.
Hmmm … tu sais que dans le sud de la France, certains incendie "sautent" les autoroutes ?
Quid d'un incendie dans le bois qui borde ton "champ de données" ? De ce que j'ai pu glaner sur le net, ça peut quand même monter à 900°C…
Je rajouterai un autre point qui me parait intéressant … vous êtes vous rapprochés des assureurs ?
En effet, les datacenters conventionnels sont (j'imagine) assurés pour tout un tas d'hypothétiques problèmes: destruction, intempéries, vol, etc…
Les primes d'assurances pour ces différents risques sont probablement liées à la sécurité de l'infrastructure vis à vis de ces mêmes risques.
La prime d'assurance (pour risques équivalent) pour ton datacenter outdoor risque d'être tout simplement dissuasive (et de consommer toutes les économies amenées par ton système).
C'est mignon votre histoire, mais ça sert à quoi au juste ?
Foutre son serveur dans le jardin, c'est probablement génial, mais l'intérêt de la manoeuvre m'échappe et le site du projet ne m'a pas aidé à saisir ce dernier …
Ta réponse est intéressante car dans ton cas, l'auto-hébergement semble bien géré et donc compatible avec les contraintes de sécurité des données personnelles si chères aux auto-hébergeurs.
Juste une petite question, tu écris:
Tout les soirs à minuit. Je fais un backup de mon serveur, sur un FreeNAS que j'ai installé chez moi et dont j'y accède par VPN.
Ca veut dire que ton serveur principal n'est pas physiquement chez toi ?
C'est important … juste pour rappeler que les sauvegardes, pour être réellement fiables, doivent être faites sur un site distant (pour éviter que le serveur et son backup partent en cendres en cas d'incendie, ou sous le bras d'un voleur en cas de cambriolage).
le fait que du jour au lendemain tu peux te retrouver dans un liste de spam type spamhaus et consort à cause d'un faux positif
Alors ça, en 13 ans d'hébergement de mes mails, ça ne m'est JAMAIS arrivé.
Si tu finis sur spamhaus, c'est toujours que t'as chié à un moment et que ton MTA était configuré en Open Relay OU qu'on t'a volé tes identifiants et qu'un spammeur s'en sert pour tenter de vendre du viagra à la planète.
D'ailleurs, je vois pas trop ce que pourrait être un faux positif en fait …
Tout dépend de l'usage que tu as du mail et surtout de l'ancienneté de ton domaine..
Personnellement, j'hoste mes mails depuis 2003 (le premier qui me traite de vieux, je lui casse la bouche à coup de canne!) et même avec de bonnes habitudes (utilisation d'alias pour les sites de faible confiance, etc…) je reçois de plus en plus de spam.
Plus le domaine est ancien, plus la probabilité de le voir être pris pour cible des spammeurs augmente…
L'auto-hébergement comme son nom l'indique consiste à héberger soi-même les services que l'on confie généralement à des tiers "privateurs" de liberté.
Est il nécessaire, dans ce cas, de faire la distinction entre "logiciel pour l'auto-hébergement" et "logiciel" (tout court) ?
Que le service soit hébergé sur un serveur dans ton salon, sur un serveur dédié racké dans un datacenter ou encore sur une VM d'un gros serveur à <inserer ici le nom de ton hébergeur favori> change t il quoi que ce soit au fonctionnement de ce service ? A mon sens non.
De la même façon, les hébergeurs qui s'appuient sur des softs libres pour proposer un service privateur utilisent les même logiciels que toi et moi… sans pour autant faire de l'auto-hébergement ;-)
Pour être plus juste, il faudrait plutôt parler de pénurie d'applicatifs "serveurs" libres que d'applicatifs "pour l'auto-hébergement".
Un autre point me fait sourire, tu évoques la simplicité dans le processus d'hébergement.
L'administration système est un métier et "simplifier" ce dernier représente pour moi un risque non négligeable.
Si demain Mme Michu est capable de déployer un serveur pour l'auto-hébergement sur son petit PC, quid du jour ou une énorme faille de sécurité vient toucher la configuration "par défaut" d'un service ? Quid du jour ou, pour une obscure raison, le MTA du serveur se vautre et ne se relance pas ? Ce jour là, les belles idées de l'auto-hébergement qui est plus fiable et plus sécurisé que google et ses amis voleront en éclat.
Certes, aujourd'hui, les gens qui se lancent dans l'auto-hébergement ont une bonne culture de l'informatique et peuvent généralement faire face à 90% des problèmes rencontrés … mais mon expérience dans l'administration système me pousse à croire que les 10% restants, les problèmes réellement velus (le genre de problème où il faut strac-er le process pour voir qu'il se vautre à tel endroit), peuvent amener au mieux un bon gros mal de tête et au pire la perte de quelques mails "importants".
Niveau "sécurité", on repassera …
Pour résumer, j'ai l'impression que dans ton journal, tu demandes un peu tout et son contraire: simplicité d'un côté, exhaustivité des fonctions proposées de l'autre.
A mes yeux, simplicité et exhaustivité sont tout bonnement incompatibles aujourd'hui…
Allé, j'ai envie de lancer un petit sondage aux amateurs d'auto-hébergement qui tiendra en quelques questions:
_ Les systèmes de fichiers qui reçoivent vos mails et documentroot sont ils sur du RAID ?
_ En cas de panne hardware (CPU fendu, carte mère HS, disques HS), en combien de temps pouvez vous remonter une configuration "de backup" et, si les disques sont en cause, en combien de temps pouvez vous remonter un l'OS et ses services à l'identique ?
_ Votre noyau est il "hardené" ? (patch contre les stacks/heap/whatever overflow, adresses mémoire aléatoire, support des modules desactivés, etc…).
_ Vos différents services sont ils isolés au sein de différents containers (LXC, VZ, whatever) ?
_ Quelle est la fréquence de vos backups mail et web et quel est le support ?
_ Si le support de vos backups est un serveur sur internet administré par un tiers (ftp de free, cloud amazon), quelle méthode de chiffrement utilisez vous pour ces derniers ?
Ce petit sondage, si il est un peu suivi, devrait nous permettre d'y voir un peu plus clair sur la réalité de l'auto-hébergement: ce qu'il est théoriquement possible de faire, on le sait tous … mais qu'en est il de ce que peux faire un geek passionné sur son temps libre ?
A vos commentaires !
Se sentir "Che-guevariste" dans l'âme, c'est cool, ça fait classe et ça gonfle l'égo
Après, tu risques de passer auprès des décideurs pour une diva, un de ces mecs qui vient juste d'arriver dans la boite et veut tout révolutionner, là ou d'autres se contentent de ce qu'ils ont depuis des années sans broncher.
Ensuite, les décideurs vont se dire "purée, on passera plus par cette boite de presta, ils nous fournissent des divas in-manageables" et ta boite perdra ses entrées dans la boite en question.
Vu qu'ils seront dégoutés de perdre le compte, ils vont se venger en t'envoyant faire du visual basic sur un 486DX33 au fin fond des Vosges… tu sais, dans cette boite ou "on fait de la sécurité" et ou seul un poste en libre service dans l'open-space est connecté à Internet… oui, oui, ce poste ou tout les ports USB ont été remplis de colle industrielle et ou l'accès internet est filtré par un Proxy digne des chinois
Mais revenons à cette réunion avec les décideurs … on va te rire au nez en te disant que la boite ne peut pas assumer l'achat de 700€ * "le nombre de dev" stations de travail et que les serveurs de compilation sont là pour ça.
Et là dessus, les décideurs vont te sortir un lot d'arguments qu'ils auront récupérés au préalable auprès du décideur ayant fait ce choix technique…
C'est là qu'on te dira qu'avant, la boite fonctionnait selon ton système, mais qu'ils ont tellement eu de merdes parce que les PC des développeurs étaient mal maintenus (mauvaise version de la toolchain, mauvaises versions des libs, mauvais çi et ça, etc…) qu'ils ont décidé de tout basculer sur un serveur de compilation à l'environnement maitrisé et surtout identique pour tous.
Car je pense que le fond du problème est là : un serveur de compilation, ça sert pas juste à faire chier, mais ça sert aussi à s'assurer que tout le monde compile strictement dans les même conditions.
On te rétorquera ensuite qu'en plus, la mise à jour des toolschains, des compilos, etc… prend du temps et qu'on veut pas voir X développeurs perdrent N heures à faire ça alors que l'admin du serveur de compilation peut le faire pour tout le monde en N/2 heures vu qu'il fait ça depuis toujours.
Avec un peu de chance d'ailleurs, les toolchains & co seront sous NDA, et seul l'admin barbus qui s'essuie les mains dans ses cheveux après être allé pisser détient "l'habilitation" pour se connecter au FTP de pour récupérer la toolchain.
Faut essayer de voir au delà de ton strict point de vue de développeur. Peut être es tu suffisament compétent pour gérer ce genre de choses toi même, mais ce n'est pas le cas de tous. Sachant qu'il faut "un système pour les gouverner tous", la boite ou tu fais le mercenaire a probablement opté pour un nivellement par le bas (très à la mode actuellement) pour s'assurer la sécurité nécessaire à des releases sereines.
Comme tu le fais très justement remarquer dans le titre de ton commentaire, c'est du lourd :-)
Je garde cependant cette piste sous le coude, si je trouve rien de plus "simple" à déployer (mais dernières tentatives d'installer cet OSWappli s'étaient soldées par la perte de quelques cheveux et un échec retentissant…)
L'idée est intéressante mais ne remplit pas mes besoins essentiellement sur un point: la synchro de mes lectures de flux RSS.
Je veux pouvoir consulter mes flux depuis le PC du boulot, le PC de la maison, etc… sans avoir à me taper les articles déjà lu, d'ou l'intérêt d'une appli web.
En outre, je trouve Thunderbird un poil trop lourd, et surtout certaines fonctions sont cruellement mal codée (recherche dans les mails par exemple).
Merci ceci dit ;-)
Et qui te dit que le monsieur est pas fan d'Aquarium TV? Ou de Romanian New ? hein ? hein ? (c'est agaçant n'est ce pas, ce mode d'expression agressif …)
Ce n'est pas parce que la télé roumaine ou aquarium TV ne t'intéresse pas que cela est le cas pour tout le monde.
Personnellement, si je souscris à un service, j'aime pouvoir en jouir entièrement …
Peut être également que le monsieur aurait aimé souscrire à une chaine de télé payant via l'offre de son FAI ? Tu crois pas ? Hein ? Hein ?
# J'espère que ce journal t'aura défoulé...
Posté par LaBienPensanceMaTuer . En réponse au journal Et la politesse bordel !!!. Évalué à 2.
… car il ne servira probablement à rien d'autre !
En effet, les seules personnes qui lisent les journaux sont les usagers réguliers de ce site qui ont parfaitement intégrés les règles de base de ce dernier.
Ta bile s'adressait plus à un newbie qui viendrait poser sa question directement sans passer par la case "journal" et autre.
Donc plutôt que de perdre du temps à rédiger ce journal qui ne sera pas lu par les bonnes personnes, tu pourrais, au hasard:
_ Crée une entrée dans le système de suivi du site pour demander à ce qu'une feature soit développée pour rappeler les règles de la netiquette à un nouvel inscrit lorsque ce dernier poste son message, ou …
_ Coder la fonctionnalitée sus-citée :)
Après, je ne te jette pas la pierre, tu n'es pas le seul à pousser un coup de gueule contre des gens qui ne liront jamais ta prose sur ce site.
Tout les journaux pour baver sur les keynotes Apple, ceux pour baver sur les "initiatives" Open Source microsoft, etc… bein c'est la même !
# Mouahahaha
Posté par LaBienPensanceMaTuer . En réponse au journal Courriel & vie privée. Évalué à 8.
Je suis vieux…. J'ai connu l'époque ou nous râlions contre les gens qui envoyaient des mails en HTML parce que "sapue, saymoche et saconsommedelaBPpourrien"… fatalement quand je lis ce genre de suggestion, je peux m'empêcher de pouffer…
# Je me demandais ...
Posté par LaBienPensanceMaTuer . En réponse à la dépêche Libertempo, un fork de PHP_conges. Évalué à 2.
Je sais que mes questions sont un peu hors-sujet, mais peut être que l'auteur de cet article ou un des lecteurs saura éclairer ma lanterne !
Récemment, ma boite a mis en place un système de "badgeuse" (oui, oui, comme à l'usine ;-p). La badgeuse en question passe intégralement par du soft: on badge depuis une page web ou une appli smartphone.
Ils ont choisis un soft proprio d'une ergonomie digne du minitel et parfaitement imbuvable.
Je me demandais si ce choix était motivé par une quelconque "obligation légale", je m'explique: le suivi des temps de travail des salariés est un sujet délicat et très probablement fortement encadré.
Y a t il des contraintes de l'état pour ce genre de soft? Par exemple, que ce dernier soit certifié par un organisme ou autre?
De la même façon, si contrainte il y a, cette dernière ne s'applique t elle pas également à Libertempo ?
Ou a t on le droit de déployer ce que l'on veut ?
[^] # Re: Ce qui me fait le plus halluciner…
Posté par LaBienPensanceMaTuer . En réponse au journal Merci Microsoft, ton PC n'est plus superbe. Évalué à -3.
Tu dis n'imp un peu…
Déjà, ils ne parlent pas d'usure à proprement parler mais d'un ordinateur qui devient lent.
Perso, mon flamboyant Celeron 400 du début des années 2000 serait bien en peine de faire tourner une Debian actuelle …
Après, certes, je pourrai très bien installer une Debian 2.2 sur le celeron en question … mais la navigation internet risque de piquer les yeux, il me manquera 90% des différents codecs audio et video (et ne parlons même pas de ceux que mon brave celeron 400 ne pourra pas décoder), je galèrerai probablement des jours à faire accepter à mon X11 (tu sais, l'ancêtre de Xorg) un moniteur 16/9 actuel, etc…
Cracher sur M$ c'est drôle, mais faut quand même être un peu objectif sous peine de perdre toute crédibilité …
# Curiosité...
Posté par LaBienPensanceMaTuer . En réponse au journal ulimits: appliquer des limitations de ressources sans PAM. Évalué à 4.
Ma curiosité est piquée ….
A part de la distrib "custom" ayant pour vocation d'être embarquée, quelle distribution GNU/Linux moderne n'embarque pas PAM actuellement ?
(Je me souviens avoir bossé il y a environ 10 ans sur PAM et c'était globalement très très répandu).
[^] # Re: IPsec
Posté par LaBienPensanceMaTuer . En réponse au message Réseau Privé Virtuel. Évalué à 1.
D'ou ça sort qu'OpenVPN ne gère que TCP et UDP ?
Déjà, cette affirmation est hasardeuse de part sa formulation. Parles tu des protocoles que tu peux faire passer dans ton tunnel OpenVPN ou des protocoles utilisés pour les paquets OpenVPN ?
[^] # Re: Configuration iptables
Posté par LaBienPensanceMaTuer . En réponse au message Configuration DHCP. Évalué à 0.
Oublie iptables, c'est la massue pour chasser le microbe !
Tu peux répondre à ta problématique seulement via de la config de ton service DHCP.
Va donc lire la page de man au lieu d'écouter les aneries des gens mal informés. …
[^] # Re: Configurer le pare-feu
Posté par LaBienPensanceMaTuer . En réponse au message Configuration DHCP. Évalué à 1.
Je rajouterai un extrait de la page de man:
Declarations about network topology include the shared-network and the subnet declarations. If clients on a subnet are to be assigned addresses dynamically, a range declaration must appear within the subnet declaration.
For clients with statically assigned addresses, or for installations where only known clients will be served, each such client must have a host declaration.
If parameters are to be applied to a group of declarations which are not related strictly on a per-subnet basis, the group declaration can be used.
Et je rajouterai un conseil: il ne faut pas hésiter à lire la page de man ;-)
Pour celle-ci c'est dhcpd.conf(5).
[^] # Re: Configurer le pare-feu
Posté par LaBienPensanceMaTuer . En réponse au message Configuration DHCP. Évalué à 0.
Non, tout faux.
Il suffit de ne pas définir de pool d'adresse par défaut et juste des fixed-adress pour tes clients, et rulez …
[^] # Re: Un contournement ...
Posté par LaBienPensanceMaTuer . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 4.
Pas tant que ça visiblement …
Utiliser les emails != auto-héberger ses emails.
Puisque les comparaisons avec l'automobile semblent être de mise, je dirai que je conduis une voiture, parfois je fais ma vidange et 2/3 autres opérations de maintenance moi-même, mais si jamais un jour je dois changer un joint de culasse ou faire la distribution, je passerai probablement par les services d'un professionnel.
Pour la bonne et simple raison qu'utiliser une voiture ne fais pas de moi un mécanicien.
Bein les mails c'est la même chose… Mme Michu utilise le mail, mais n'a aucune envie de s'emmerder à les héberger.
Si un jour, 99% des utilisateurs de voiture demandent aux constructeurs automobile à ce que le changement de courroie de distribution soit facilité, peut être qu'ils feront en sorte de leurs prochains modèles puissent voir leurs distributions changée en deux coups de cuillère à pot.
Si un jour, 99% des internautes français décidaient d'héberger leurs email sur un vieux P2 400 raccordé à leurs ADSL, peut être que le micro-système des industriels de l'internet changerait un peu de point de vue quant au bloc d'ip résidentiel & co.
Bon … tu sembles manquer d'imagination "technique" …. voici un petit exemple de setup qui résoud tout tes problèmes de mails:
_ 1 serveur dédié faisant tourner OpenVPN sur, par exemple, le réseau 10.42.42.0/24. Son adresse est 10.42.42.1.
_ Ton "serveur" sur ADSL (loool) qui fait tourner un client OpenVPN vers ton dédié. Son adresse est 10.42.42.2.
_ Ton postfix configuré pour n'être qu'un relais sur ton domain: tout les mails reçus sont automatiquement rebalancés au MX primaire: ton serveur sur ADSL, 10.42.42.2
Résultat: tes mails ne passent qu'un poulième de secondes sur le serveur dédié… et finissent très rapidement au chaud dans ton salon, à l'abri des vilains chinois du FBI !
Ce setup est on ne peut plus robuste, on ne peut plus "standard" et s'appuie sur des technos OpenSource grandement éprouvée…
En plus, le jour ou ton ADSL ou ton vieux P2 400 est en carafe, les mails restent bien au chaud sur ton dédié, patientant sagement le retour de copain MX primaire …
Après, si cela n'est pas suffisant pour toi, je t'invite à te demander:
_ Ce que peut faire ton FAI en terme d'inspection de ta vie numérique.
_ Ce que peut faire ton FAI quand un de ses routeurs voit un paquet à destination de ton IP et le port 25.
_ Ce qu'il est possible de faire en mode "man-in-the-middle" dans le cas d'un serveur qui viendrait faire coucou au tiens en TLS.
La sécurité doit toujours être considérée en fonction des données à protéger…
Je peux comprendre que tu sois un peu parano, et c'est d'ailleurs une qualité à mon sens en informatique, mais penses tu réellement que les contraintes que tu t'imposes correspondent réellement à tes besoins ? :)
# Un contournement ...
Posté par LaBienPensanceMaTuer . En réponse au journal L'autohébergement, c'est pas gagné. Évalué à 9.
Comme les gens le disent sur le reste de ce thread, une connection grand public n'est effectivement pas faites pour émettre des mails … du moins dans l'imaginaire des FAIs et des sites de blacklist.
Dès lors, il ne te reste guère qu'une solution: passer par un relais extérieur.
Celui de ton FAI ne te convient pas, la faute à l'absence de TLS… n'aurais tu pas un ami avec un serveur dédié qui pourrait faire office de relay pour toi ?
Ou mieux, n'as tu pas 5€/mois à dépenser pour louer un dédié ou un dédié virtuel et y installer un postfix qui ferait relais (en utilisant soit un lien VPN entre les deux et n'autoriser que le relais provenant de la plage d'adresse de ton VPN, soit en utilisant de l'authentification SASL entre les deux).
Le gros problème des connections ADSL & co offerte par les FAI grand public, c'est qu'elles ne sont pas vouées à héberger de genre de service considérés comme "professionnels".
Si, à un instant t, cela fonctionne, rien ne garantit qu'il en sera de même à t+1 mois ou t+2 ans… cette incertitude fait que, à mon sens, l'hébergement de mail sur une ADSL ou autre est à proscrire…
Si tu passes par un relais externe, pense bien à mettre à jour les enregistrements SPF & co …
[^] # Re: US international
Posté par LaBienPensanceMaTuer . En réponse au journal Ou en est RuggedPOD ? Premiere VM a 1 euro annoncee. Évalué à 2.
Hmmm … winwin le fait nativement assez facilement non ?
Je me souviens de l'icône de la langue dans le systray ou il suffisait de rajouter une nouvelle langue pour pouvoir y basculer rapidement à la souris ou avec la combinaison alt+shift (ce qui m'a provoqué pas mal de suée à l'époque ou j'étais forcé d'utiliser un putty pour faire du irssi)
[^] # Re: alimentation ?
Posté par LaBienPensanceMaTuer . En réponse au journal RuggedPOD: le serveur dans le jardin ?. Évalué à 1.
Hmmm "cable spécifique" … ça craint pour des serveurs dont l'un des avantages proclamés est de s'appuyer sur des composants "grand public"…
[^] # Re: Mais pourquoi ?
Posté par LaBienPensanceMaTuer . En réponse au journal RuggedPOD: le serveur dans le jardin ?. Évalué à 2.
Et c'est sensé être plus sûr ? Va dire ça aux jeunes russes (mais pas que) dont le passe-temps est justement d'aller se promener sur le toit des immeubles ;-)
Ahahaha … j'imagine le changement de composants hardware un jour de grosse chute de neige: un gros barbu saucissonné dans un blouson de ski avec une pelle sur l'épaule… les délais de reprise sur incident risquent d'être rallongés, à moins qu'on rajoute un cours "pelle, pioche et brouette" au différents cursus informatique (car les informaticiens ne sont pas les meilleurs au maniement de la pelle, sans vouloir rentrer dans les stéréotypes).
Hmmm … tu sais que dans le sud de la France, certains incendie "sautent" les autoroutes ?
Quid d'un incendie dans le bois qui borde ton "champ de données" ? De ce que j'ai pu glaner sur le net, ça peut quand même monter à 900°C…
Je rajouterai un autre point qui me parait intéressant … vous êtes vous rapprochés des assureurs ?
En effet, les datacenters conventionnels sont (j'imagine) assurés pour tout un tas d'hypothétiques problèmes: destruction, intempéries, vol, etc…
Les primes d'assurances pour ces différents risques sont probablement liées à la sécurité de l'infrastructure vis à vis de ces mêmes risques.
La prime d'assurance (pour risques équivalent) pour ton datacenter outdoor risque d'être tout simplement dissuasive (et de consommer toutes les économies amenées par ton système).
# Mais pourquoi ?
Posté par LaBienPensanceMaTuer . En réponse au journal RuggedPOD: le serveur dans le jardin ?. Évalué à 3.
Salut,
C'est mignon votre histoire, mais ça sert à quoi au juste ?
Foutre son serveur dans le jardin, c'est probablement génial, mais l'intérêt de la manoeuvre m'échappe et le site du projet ne m'a pas aidé à saisir ce dernier …
[^] # Re: Deux choses me laissent perplexe
Posté par LaBienPensanceMaTuer . En réponse au journal Auto-hébergement: pas toujours évident.... Évalué à 2.
Ta réponse est intéressante car dans ton cas, l'auto-hébergement semble bien géré et donc compatible avec les contraintes de sécurité des données personnelles si chères aux auto-hébergeurs.
Juste une petite question, tu écris:
Ca veut dire que ton serveur principal n'est pas physiquement chez toi ?
C'est important … juste pour rappeler que les sauvegardes, pour être réellement fiables, doivent être faites sur un site distant (pour éviter que le serveur et son backup partent en cendres en cas d'incendie, ou sous le bras d'un voleur en cas de cambriolage).
[^] # Re: Pourquoi toujours le cas du mail ?
Posté par LaBienPensanceMaTuer . En réponse au journal Auto-hébergement: pas toujours évident.... Évalué à -1.
Alors ça, en 13 ans d'hébergement de mes mails, ça ne m'est JAMAIS arrivé.
Si tu finis sur spamhaus, c'est toujours que t'as chié à un moment et que ton MTA était configuré en Open Relay OU qu'on t'a volé tes identifiants et qu'un spammeur s'en sert pour tenter de vendre du viagra à la planète.
D'ailleurs, je vois pas trop ce que pourrait être un faux positif en fait …
[^] # Re: Pourquoi toujours le cas du mail ?
Posté par LaBienPensanceMaTuer . En réponse au journal Auto-hébergement: pas toujours évident.... Évalué à 1.
Tout dépend de l'usage que tu as du mail et surtout de l'ancienneté de ton domaine..
Personnellement, j'hoste mes mails depuis 2003 (le premier qui me traite de vieux, je lui casse la bouche à coup de canne!) et même avec de bonnes habitudes (utilisation d'alias pour les sites de faible confiance, etc…) je reçois de plus en plus de spam.
Plus le domaine est ancien, plus la probabilité de le voir être pris pour cible des spammeurs augmente…
# Deux choses me laissent perplexe
Posté par LaBienPensanceMaTuer . En réponse au journal Auto-hébergement: pas toujours évident.... Évalué à 7.
L'auto-hébergement comme son nom l'indique consiste à héberger soi-même les services que l'on confie généralement à des tiers "privateurs" de liberté.
Est il nécessaire, dans ce cas, de faire la distinction entre "logiciel pour l'auto-hébergement" et "logiciel" (tout court) ?
Que le service soit hébergé sur un serveur dans ton salon, sur un serveur dédié racké dans un datacenter ou encore sur une VM d'un gros serveur à <inserer ici le nom de ton hébergeur favori> change t il quoi que ce soit au fonctionnement de ce service ? A mon sens non.
De la même façon, les hébergeurs qui s'appuient sur des softs libres pour proposer un service privateur utilisent les même logiciels que toi et moi… sans pour autant faire de l'auto-hébergement ;-)
Pour être plus juste, il faudrait plutôt parler de pénurie d'applicatifs "serveurs" libres que d'applicatifs "pour l'auto-hébergement".
Un autre point me fait sourire, tu évoques la simplicité dans le processus d'hébergement.
L'administration système est un métier et "simplifier" ce dernier représente pour moi un risque non négligeable.
Si demain Mme Michu est capable de déployer un serveur pour l'auto-hébergement sur son petit PC, quid du jour ou une énorme faille de sécurité vient toucher la configuration "par défaut" d'un service ? Quid du jour ou, pour une obscure raison, le MTA du serveur se vautre et ne se relance pas ? Ce jour là, les belles idées de l'auto-hébergement qui est plus fiable et plus sécurisé que google et ses amis voleront en éclat.
Certes, aujourd'hui, les gens qui se lancent dans l'auto-hébergement ont une bonne culture de l'informatique et peuvent généralement faire face à 90% des problèmes rencontrés … mais mon expérience dans l'administration système me pousse à croire que les 10% restants, les problèmes réellement velus (le genre de problème où il faut strac-er le process pour voir qu'il se vautre à tel endroit), peuvent amener au mieux un bon gros mal de tête et au pire la perte de quelques mails "importants".
Niveau "sécurité", on repassera …
Pour résumer, j'ai l'impression que dans ton journal, tu demandes un peu tout et son contraire: simplicité d'un côté, exhaustivité des fonctions proposées de l'autre.
A mes yeux, simplicité et exhaustivité sont tout bonnement incompatibles aujourd'hui…
Allé, j'ai envie de lancer un petit sondage aux amateurs d'auto-hébergement qui tiendra en quelques questions:
_ Les systèmes de fichiers qui reçoivent vos mails et documentroot sont ils sur du RAID ?
_ En cas de panne hardware (CPU fendu, carte mère HS, disques HS), en combien de temps pouvez vous remonter une configuration "de backup" et, si les disques sont en cause, en combien de temps pouvez vous remonter un l'OS et ses services à l'identique ?
_ Votre noyau est il "hardené" ? (patch contre les stacks/heap/whatever overflow, adresses mémoire aléatoire, support des modules desactivés, etc…).
_ Vos différents services sont ils isolés au sein de différents containers (LXC, VZ, whatever) ?
_ Quelle est la fréquence de vos backups mail et web et quel est le support ?
_ Si le support de vos backups est un serveur sur internet administré par un tiers (ftp de free, cloud amazon), quelle méthode de chiffrement utilisez vous pour ces derniers ?
Ce petit sondage, si il est un peu suivi, devrait nous permettre d'y voir un peu plus clair sur la réalité de l'auto-hébergement: ce qu'il est théoriquement possible de faire, on le sait tous … mais qu'en est il de ce que peux faire un geek passionné sur son temps libre ?
A vos commentaires !
# Tu vas passer pour une Diva ...
Posté par LaBienPensanceMaTuer . En réponse au journal Besoin d'arguments pour obtenir une station de travail sous GNU/Linux ?. Évalué à 10.
Se sentir "Che-guevariste" dans l'âme, c'est cool, ça fait classe et ça gonfle l'égo
Après, tu risques de passer auprès des décideurs pour une diva, un de ces mecs qui vient juste d'arriver dans la boite et veut tout révolutionner, là ou d'autres se contentent de ce qu'ils ont depuis des années sans broncher.
Ensuite, les décideurs vont se dire "purée, on passera plus par cette boite de presta, ils nous fournissent des divas in-manageables" et ta boite perdra ses entrées dans la boite en question.
Vu qu'ils seront dégoutés de perdre le compte, ils vont se venger en t'envoyant faire du visual basic sur un 486DX33 au fin fond des Vosges… tu sais, dans cette boite ou "on fait de la sécurité" et ou seul un poste en libre service dans l'open-space est connecté à Internet… oui, oui, ce poste ou tout les ports USB ont été remplis de colle industrielle et ou l'accès internet est filtré par un Proxy digne des chinois
Mais revenons à cette réunion avec les décideurs … on va te rire au nez en te disant que la boite ne peut pas assumer l'achat de 700€ * "le nombre de dev" stations de travail et que les serveurs de compilation sont là pour ça.
Et là dessus, les décideurs vont te sortir un lot d'arguments qu'ils auront récupérés au préalable auprès du décideur ayant fait ce choix technique…
C'est là qu'on te dira qu'avant, la boite fonctionnait selon ton système, mais qu'ils ont tellement eu de merdes parce que les PC des développeurs étaient mal maintenus (mauvaise version de la toolchain, mauvaises versions des libs, mauvais çi et ça, etc…) qu'ils ont décidé de tout basculer sur un serveur de compilation à l'environnement maitrisé et surtout identique pour tous.
Car je pense que le fond du problème est là : un serveur de compilation, ça sert pas juste à faire chier, mais ça sert aussi à s'assurer que tout le monde compile strictement dans les même conditions.
On te rétorquera ensuite qu'en plus, la mise à jour des toolschains, des compilos, etc… prend du temps et qu'on veut pas voir X développeurs perdrent N heures à faire ça alors que l'admin du serveur de compilation peut le faire pour tout le monde en N/2 heures vu qu'il fait ça depuis toujours.
Avec un peu de chance d'ailleurs, les toolchains & co seront sous NDA, et seul l'admin barbus qui s'essuie les mains dans ses cheveux après être allé pisser détient "l'habilitation" pour se connecter au FTP de pour récupérer la toolchain.
Faut essayer de voir au delà de ton strict point de vue de développeur. Peut être es tu suffisament compétent pour gérer ce genre de choses toi même, mais ce n'est pas le cas de tous. Sachant qu'il faut "un système pour les gouverner tous", la boite ou tu fais le mercenaire a probablement opté pour un nivellement par le bas (très à la mode actuellement) pour s'assurer la sécurité nécessaire à des releases sereines.
++
[^] # Re: La bombe atomique, la mouche, tout ça
Posté par LaBienPensanceMaTuer . En réponse au message Clone OpenSource de iGoogle, NetVibes & co. Évalué à 1.
Comme tu le fais très justement remarquer dans le titre de ton commentaire, c'est du lourd :-)
Je garde cependant cette piste sous le coude, si je trouve rien de plus "simple" à déployer (mais dernières tentatives d'installer cet OSWappli s'étaient soldées par la perte de quelques cheveux et un échec retentissant…)
[^] # Re: Posh Portal
Posté par LaBienPensanceMaTuer . En réponse au message Clone OpenSource de iGoogle, NetVibes & co. Évalué à 1.
Hmmm … ça c'est une piste qu'elle est intéressante… je vais tester et je ferai un petit retour :)
[^] # Re: thunderbird...
Posté par LaBienPensanceMaTuer . En réponse au message Clone OpenSource de iGoogle, NetVibes & co. Évalué à 1.
L'idée est intéressante mais ne remplit pas mes besoins essentiellement sur un point: la synchro de mes lectures de flux RSS.
Je veux pouvoir consulter mes flux depuis le PC du boulot, le PC de la maison, etc… sans avoir à me taper les articles déjà lu, d'ou l'intérêt d'une appli web.
En outre, je trouve Thunderbird un poil trop lourd, et surtout certaines fonctions sont cruellement mal codée (recherche dans les mails par exemple).
Merci ceci dit ;-)
[^] # Re: Mes deux sous ...
Posté par LaBienPensanceMaTuer . En réponse au journal Numéricable et moi.. Évalué à 1.
Et en quoi est-ce contradictoire ?
[^] # Re: Mes deux sous ...
Posté par LaBienPensanceMaTuer . En réponse au journal Numéricable et moi.. Évalué à 2.
Et qui te dit que le monsieur est pas fan d'Aquarium TV? Ou de Romanian New ? hein ? hein ? (c'est agaçant n'est ce pas, ce mode d'expression agressif …)
Ce n'est pas parce que la télé roumaine ou aquarium TV ne t'intéresse pas que cela est le cas pour tout le monde.
Personnellement, si je souscris à un service, j'aime pouvoir en jouir entièrement …
Peut être également que le monsieur aurait aimé souscrire à une chaine de télé payant via l'offre de son FAI ? Tu crois pas ? Hein ? Hein ?