Ou un téléphone dont le bootloader est déverrouillable et te permet d'installer l'OS de ton choix.
Comme, par exemple, le milieu/haut de gamme chez Sony.
(Mon X Compact fait tourner un Android 8.0 que j'ai recompilé moi-même, sans gapps ajouté ;-))
Les problèmes avec Librem:
Terminaux rares et chers. ($649 pour un téléphone dont le seul atout matériel semble être de conserver une prise jack et une batterie amovible… comme 90% des terminaux du marché).
Ecosystème limité: à moins que Librem implémente une couche de compatibilité avec Android (ce dont je doute), il va falloir se contenter du peu d'applis natives OU des versions HTML5. On y perd grandement en confort !
tiens, par exemple je n'avais pas vraiment tilté que Uber dépend aussi fortement de Google… Peut-être que ça motivera Uber à développer un support d'une API autre?
C'est très dépendant … voir totalement inopérant sans.
Qu'Uber, société privée, s'appuie autant sur les gapps peut paraitre étonnant voir dangereux car effectivement, on a vu des précédents avec les licences "Google Maps" qui, une fois que le produit avait bien perçé et été intégré un peu partout, sont devenus progressivement beaucoup plus limitée en terme d'utilisation "gratuite".
Mais après tout, il s'agit de la stratégie propre à la société Uber, qu'il fasse bien comme ils veulent.
Là ou par contre, je suis beaucoup plus gêné c'est quans je vois que:
Pour télécharger n'importe quelle appli (y compris celle de ta banque ou celle de l'Etat), il faut passer par le Google Playstore. Pourtant, héberger un APK avec une somme SHA1 signé GPG n'est pas très très compliqué…
Pour utiliser beaucoup d'applis "importantes" (encore une fois: banque, Etat), il soit nécessaire d'avoir les gapps parce qu'un petit malin à décider d'embarquer une fonction pour "trouver le DAB le plus proche" et s'appuie sur la géoloc Google…
Ca fait plusieurs mois que je trouve que la façon insidieuse qu'a Google d'imposer ses technos proprios marche très très bien auprès des différents acteurs du marché (consommateur, éditeur d'app).
C'est pour cette raison que je suis assez content de ce qui arrive à Huawei… Peut être cela permettra une prise de conscience des consommateurs et éditeurs…
Oui, j'ai lu l'info aussi.
Cependant, pas gagné que l'OS en question aie atteint un niveau de maturité suffisant pour être déployable…
Il faut aussi voir si le marché est prêt…
Oui, rien à redire à ça… mais ça ne concerne que les applications.
Ce problème se pose aussi pour les gens qui, comme moi, utilisent un AOSP et des réponses existent effectivement:
F-Droid pour un store d'applis libres.
Yalp pour récupérer les applis du google playstore sans google playstore.
Amazon Store, … pour un store propriétaire alternatif.
Le problème reste cependant entier concernant les gapps, et je ne pense pas que Huawei aie une solution toute prête à ce sujet.
C'est, à mes yeux, LE point intéressant dans cette décision de Google.
La question peut paraitre intéressante mais ici, ce serait plus OpenStack et pas sûr qu'il existe des certifications ;-)
Pour répondre à ta question en quelques mots: j'ai été amené à faire beaucoup (trop) d'AWS ces derniers mois.
Suffisamment en tout cas pour me convaincre que c'était une techno qui:
* Ne m'intéressait pas.
* N'étais pas "réutilisable" (tu manipules des concepts 100% AWS, les couches FOSS sous-jacentes sont totalement abstraites).
Même si demain on me proposait une certification AWS, je ne suis pas convaincu d'accepter…
Après, c'est très personnel: si tu es un devops, clairement, la techno AWS a la côte et c'est tout bénef' d'être certifié, ne serait-ce que pour ton CV.
Il y a plusieurs moinsages sur ce fil absolument incompréhensibles si on s'en tient à la définition du moinsage : "inutile" (et je parle pas que du moinsage de mes commentaires).
Bienvenue sur LinuxFR ou être "de l'avis général" paye plus qu'être pertinent ;-)
Je comprend pas un truc: depuis quand être homo se voit sur ta gueule ?
Depuis quand nos orientations sexuelles sont reconnaissables au premier coup d'oeil ?
Partant de là, je ne comprend pas ou est le problème à "circuler".
La sexualité est et doit rester quelque chose de personnel.
Tu me croises demain dans le métro, tu seras incapable de dire si je suis hétéro, homo, zoophile, foot fetish ou autre … et c'est TANT MIEUX. Ca ne regarde que moi.
Il n'y a pas de guerre de chapelle car comme l'a dit xev ta vision des choses est tout sauf universelle. C'est une conception de ce qu'il est acceptable de faire sur un réseau qui t'es personnelle (et je pense très très peu partagée ;-p)
Il y a guerre de chapelle quand deux écoles répandues s'affrontent (genre "firewall sur le poste de travail ou pas ;p" , "vim ou emacs").
Me concernant, je t'ai donné ma vision du réseau, issue d'années à graviter dans ce milieu à titre professionnel.
Je t'ai également fait part du manque de cohérence de ta demande initiale (un routeur clicka-convi-playskool pour parametrer du load balancing tcp over tunnel ssh de mariadb).
Je comprend parfaitement que le manque de moyen t'impose un certain nombre de "restrictions" techniques et je le respecte.
En 2003, je faisais tourner mon premier serveur qui faisait GW/Firewall/Serveur de mail/Serveur Web sur un p133 avec 64 ou 128MiB de mémoire et je faisais mes sauvegardes via un antique lecteur DAT récupéré sur un vieux serveur HP-UX… je suis passé par la.
Il y a cependant plusieurs choses qui me choquent profondément dans ta démarche:
Vouloir monter ce genre d'infra et tenir le discours du "je m'en fous du réseau, je veux cliquer et que ça marche". Encore une fois, c'est pas cohérent. Si tu veux monter une infra stable, performante et techniquement complexe tu vas être obligé à un moment ou à un autre de t'intéresser un minimum au réseau… ou d'avoir un mec qui le fait pour toi. Ou de faire du AWS/Azure/…
Vouloir assurer une production sur un gros "bidouillage"… alors que cette prod te couterait à peine plus cher et serait bien plus fiable sur un VPS ou sur un serveur dédié online à ~10€/mois. Je comprend le plaisir de monter des infras un peu folles, c'est amusant … si si vraiment. Mais il me viendrait pas à l'idée de prétendre faire de l'hébergement sérieux la dessus… Je préfèrerai faire un appel au don à mes utilisateurs pour financer l'hébergement et ne pas faire du bricolage … tes utilisateurs te le rendront quand ils auront compris que ça juste marche mieux.
'fin voilà.
Continue de t'amuser, t'as raison. Par contre, écoute les vieux geeks qui te disent que:
Pas de prod sérieuse sans un réseau qui assure à côté.
Une board ARM à 20 balles ne peut pas (d'un point de vue perf/…) faire tout ce que tu veux: rajoute un rpi ou un odroid pour le monitorin et un autre pour le load balancing… mais vraiment, un routeur, c'est mieux quand ça fait que router :-)
Apprend un peu plus de réseau: c'est pas sale et c'est vraiment utile.
Continue de t'amuser, vraiment: c'est comme ça qu'on apprend, qu'on devient un cador et qu'on monte des prods sérieuses avec 3 bouts de ficelles ;-)
Effectivement, on parle d'un outil de la suite app armor ici … pas d'un vague script shell publié par un quidam lamba: si tu ne fais pas confiance à apparmor et au binaire compilés par les mainteneurs de ta distri, il vaut mieux partir sur du LFS et faire tout toi même…
Après, peut être que, pour cet audit, le binaire en question a besoin des droits root …
Dans le cas présent, le privilège root me parait, par exemple, essentiel pour "tracer" les besoins d'un process type Apache ou autre qui est lancé en tant que root puis fait du privileges dropping après coup ..
Totalement d'accord …
Après, quand j'ai vu la photo de l'infra en question:
Un cluster web pics optimisé pour webdav, diminuer les points of failure et permettre de la montée en charge tout en diminuant la consommation en iddle (des parties de la grappe pouvant être mise hors tension).
Je me suis dit que j'allais arrêter de perdre mon temps à tenter de le raisonner ;-)
Dans TOUT routeur aujourd'hui tu trouves un logiciel proxy qui gère le NAT.
Ca veut rien dire. Enfin … ça dépend.
Si tu parles, comme je le suppose, d'un proxy HTTP, alors sache que ça zone d'action est le layer 7 du modèle OSI: le protocole HTTP
Si tu parles de NAT, tu es sur la couche 3 du modèle OSI
(Si tu connais pas: Modèle OSI).
Donc en gros ce que tu écris ne veut rien dire …
Ce logiciel EST une alternative, moins performante, à HaProxy.
Non, juste non. HA Proxy est un reverse proxy applicatif qui a des capacités à surveiller la charge d'un serveur. C'est aussi un logiciel capable d'être en frontal de grosse infrastructure web et d'encaisser des trafics de folie.
Parce qu'ils permettent tout les deux de rouler, une voiture et un chariot de supermarché ne sont pas une alternative l'un à l'autre.
Un ordinateur c'est un ordinateur: qu'il coûte 1 millions d'euros ou 1 euro.
Dénigrer des machines pour une question de prix c'est chelou. Je trouve idiot l'idée d'utiliser une machine a 1k euros (surtout pour moi qui vis 2x sous le seuil de pauvreté de mon pays) et qui consomme un bras juste pour faire tourner se que ma "carte ARM" peut faire tourner sans problème pour 5W-10W. Et vu la consommation et le prix, il est même plus facile de doubler l'ensemble des machines/services.
Bein peut être juste parce que c'est pas fiable et pas assez performant pour vraiment faire tout ça correctement ??
Bon finissons en, c'est quoi ton pays dont tu fais tant de mystère ?
ET aussi, c'est quoi cette infra que tu fais tourner, qui visiblement est suffisament critique pour que t'aies besoin de supervision, de VPN et de répartition de charge HTTP sans avoir les moyens de faire tourner ça autrement qu'avec un routeur à 100 balles ?
avoir un truc avec des softwares pré-installés qui ne nécessite pas 2 jours de ré-installation avec connexion a internet obligatoire pour re-suivre tout mes tutos (parce que juste impossible a ré-installer de tête).
Quand le truc en question est, entre autre, aussi pointu et peu "générique" que:
test en cours d'healthcheck haproxy d'un mariadb via autossh VS openvpn
En fait, ce que t'arrive pas à comprendre, c'est qu'à un moment, effectivement, il faut des compétences pour assurer tout ces services sur un réseau.
Et à un moment, quand tu fais de la répartition de charge, de la supervision, des tunnels VPN & co, et, clou du spectacle des Services critiques (OMG!!!) c'est franchement un peu illogique que de faire reposer tout ça sur … une carte ARM à 100€.
La sécurité d'une chaine repose toujours sur celle de son maillon le plus faible…
Un routeur ne faisant que du routage aujourd'hui n'a d’intérêt que dans une grande entreprise ayant besoin de scalabilité (ne serait-ce que pour le côté impossible à ré-utiliser/revendre).
Non, c'est aussi la base en PME, dès que tu veux avoir des réseaux distincts et bien isolés au sein de l'entreprise.
En fait, dès que tu sors de la configuration ou un switch 8 ports ne suffit plus, tu vas généralement avoir des switchs dédiés et des routeurs/firewall.
Ce dont tu parles, ça ne s'utilise que chez soit ou dans des petites entreprises (bar, garage automobile ou agent immobilier).
Ce priver d'une techno "parce que la CLI y a que ça de cool" c'est dommage. Surtout qu'en un bouton tactile tu as accomplis une action qui aurait nécessité en CLI d'ouvrir un telnet, d'aller voir dans la prise de Notes les commandes, puis de les taper (se qui nécessite déjà d'avoir un pc sous la main).
Après tu fais se que tu veux, perso je ne suis pas payé pour jouer l'admin réseau et souhaite donc y perdre le moins de temps 😁
Par contre sur smartphone c'est encore fort limité (activer/désactiver des trucs et checker des infos de base).
Non mais tout est dit: tu veux de l'équipement réseau pour quelqu'un qui ne connait pas le réseaux, c'est donc du SOHO, j'insiste. Une infime partie de ce qui peut s'appeler "routeur".
Bref, même pour le routeur SOHO, encore une fois, tes besoins sont confus: tu veux quelque chose de power-user qui te permette de mettre du HA proxy, et quelque chose playskool en même temps ou tu peux administrer le truc depuis ton smartphone.
Je ne sais pas si tu t'imagines la complexité du projet qui voudrait offrir une UI pour configurer de façon générique une floppée de soft type "service" (apache, transmisson, ftp, ssh, HA Proxy, vrrpd, samba, minidlna, nfs, …, ….).
Le tout de façon "jolie", voir avec une séparation backend/frontend et une jolie API-Rest pour piloter tout ça via une appli android.
Ca pourrait être la vocation d'OpenWRT, mais clairement, le côté frontend n'en est pas là (Ca reste joli pour les fonctions de base ceci dit si le thème Luci est utilisé).
Ils ne faut par contre pas négliger la puissance de la plateforme et la quantité de boulot… tu pourras faire tout ce que tu veux en terme de service, dans la limite de ton matos.
Et puis tu sais, ça reste un projet Open Source, ouvert aux contributions.
Si un tel projet te tient à coeur, n'hésite pas à t'y investir en faisant évoluer ce point négatif.
Par contre, tu devrais aller un peu plus loin que "d'après youtube".
Achète un routeur à 22€, essaye OpenWRT et reviens m'en parler ;-)
Non non, un routeur routeur comme ça.
Ce genre de routeur (les vrais quoi ;-p) ne font que du routage.
Et aujourd'hui on peut aussi gérer les routeurs via smartphone (c'est assez pratique).
En fait, je crois que, depuis le début, tu limites le produit "routeur" à une catégorie bien particulière et très "limitée" de produit: les routeurs dit "SOHO" (Small Office Home Office).
Je me vois mal configuré un routeur Cisco avec mon smartphone ;-)
Enfaîte je pensais plus à la myriade d'outils qu'il faut installer pour monter un routeur DIY. Chacun vient avec ses commandes/config spécifiques, son interface (dont bien entendu on ne retient jamais les bons numéros de port).
Ce n'est pas rendre hommage au projet OpenWRT qui, depuis des années (10? 15? Ah ce bon vieux WRT54G …) vise justement à créer LA distribution spécialisée dans cette discipline.
Et, si tu avais un peu suivi les "indices" laissés dans mon premier commentaire, tu verras par exemple que:
Une méchante majorité des produits un tantinet sérieux dans la catégorie SOHO sont compatibles OpenWRT.
Il y a même des fabricants comme GL.inet qui livre en standard leurs routeurs avec OpenWRT pré-installé + une "custo" à l'interface Web (un peu comme ferait les fabricants de téléphone avec leur surcouche maison)
Alors déjà, sache qu'il existe pas mal de hardware qui peuvent en théorie répondre à ton cahier des charges.
Ubiquity comme on te l'a déjà cité, mais également les routerboard de chez Mikrotik.
Dans un registre plus "amateur", tu as aussi GL.inet qui fait des petits routeurs bon marché et plutôt performant.
Pour être plus exhaustif, il te suffit de regarder du côté des routeurs supportés par le projet OpenWRT et tu verras qu'il y a pas mal de choses …
Ensuite, concernant le reste de tes remarques:
Un rêve dans lequel nous pouvions enfin utiliser notre routeur comme passerelle pour les services (load balancing, proxy, vpn)
D'un point de vue strictement "logique", ce n'est pas le rôle d'un routeur.
Un routeur route des paquets entre ses interfaces et c'est tout.
C'est pour cette raison que dès que tu vas sur les gammes "pro", un routeur ne fait que du routage, un firewall que du firewalling, un load balancer que du load balancing, etc…
Un rêve dans lequel on disposerait d'interfaces moderne simplifiant l'utilisation et avec des designs chatoyants ne donnant pas à un moins de vingt ans l'envie de se suicider,
Perso, je ne veux pas d'interface moderne. Pour ce genre d'équipement, je préfère une CLI qui m'offre plus de possibilité de scripting. Mais les interfaces web ne m'intéresse pas.
Question de gout hein …
Un rêve d'un ensemble d'outils correctement intégré plus tôt que "chacun son UI" ou encore "uniquement en CLI",
Hmmm n'oublie pas que l'objectif des gens qui fabriquent ce matériel est de vendre. Et, selon ton plan, comment vendre plus que son concurrent si au final, on fait la même chose ?
Un rêve dans lequel les outils ne se foutent pas de ta poire (2) et ou la gestion du réseau ne se limite pas qu'a DHCP (3),
[…]
2 ex : hairpinning, 2 logiciels pour avoir un bloqueur de pub et un rogue dns, etc
Un rêve dans lequel les routeurs n'exporteraient aucune données sans accord.
Encore une fois, ce n'est pas le rôle d'un strict routeur.
Je trouve d'ailleurs tes deux remarques un poil contradictoire: un bloqueur de pub doit "se mettre" à jour. Cette mise à jour est, en soi, déjà une exportation de données sans accord (aka "à l'adresse W.X.Y.Z il y a un routeur XXXX")
Un rêve dans lequel un routeur à 100 balles (4) ne serait pas indécemment moins puissant/sécurisé qu'un RPI ou un Odroid moitié moins chers,
Tu compares l'incomparable: un raspberry pi de dernière génération à une interface réseau Gigabit qui plafonne à … 300 Mbps. Tout bonnement inacceptable pour un routeur.
Beaucoup de carte ARM low cost qui propose plusieurs port Ethernet n'ont en fait qu'un seul PHY et sont des "switchs" et tu dois bidouiller à coup de vlan pour avoir des vrais "réseaux".
Un vrai routeur doit nécessairement avoir des vraies interfaces mais peut se passer de HDMI & co.
Ca explique un peu mieux les écarts de prix …
Et vous, malgré tout ça, avez-vous réussi à trouver (ou fabriquer) votre bonheur ?
Pour l'instant non, mais je pense de plus en plus à partir sur une solution à base de carte Atom dual lan (et tout gérer en dessous avec un switch manageable et des vlans).
3 truc tout con mais rien qu'un serveur NTP permet déjà de diminuer l'impact écologique de l'IOT de la maison (qui n'a plus besoin de demander l'heure à l'autre bout de la planète), sans compter l'aspect vie privée ou sécurité (l'IOT chinois préfèrent consommer les ressources serveurs des autres pays, se qui pourrait très bien finir en DDOS)
Encore une fois , un routeur route. Un routeur n'est pas sensé fournir de service.
Oui car dans ce cas là, ton noyau va maintenir une table ip source/port source/ip destination/port destination et n'autoriser le flux que selon ces informations.
C'est le côté statefull.
Alors qu'en stateless, dès que tu viens du port 80, c'est open.
Regarde un peu du côté de l'outil en ligne de commande conntrack qui te permet de montrer justement les connections dont le noyau s'occupe, c'est très instructif :)
C'est toi qui fait de ton usage particulier une généralité.
Lol … ah bon, tu crois que bidouiller sous Linux c'est un usage particulier ?
Et moi qui pensait que c'était un OS de bidouilleur…
Au delà de ça tu as exprimé une opinion qui relève de ton cas particulier. Si quelqu'un, un peu bidouilleur, appliquait ton opinion sans réfléchir, il se priverait d'une protection peut être inutile dans 90% des cas mais qui au final, ne mange pas de pain et qui peut sauver la mise un jour.
Au contraire, si on applique bêtement mon opinion, ça n'enlève rien à l'utilisateur, ça ne bride pas son utilisation d'internet, ça surcharge peu ou pas la machine … en fait, c'est transparent. Juste, t'as une protection supplémentaire.
Un débutant n'installe pas de services (web, ssh, ou autre)
Bien souvent, des services font partie de l'installation par défaut.
donc pas de ports ouverts, sa machine est généralement sur un réseau privé derrière une box : le pare-feu y est totalement inutile.
Sache qu'il y a pas mal de protocole qui permettent de traverser ce genre de chose. DLNA en est un.
Et au delà de ça, faire une confiance aveugle en une box opérée et administrée par un FAI me parait quelque peu dangereux.
Dernière chose: quid des wifi public que tout le monde utilise de plus en plus ?
Le rôle du pare-feu (pour ton usage) est de bloquer ou filtrer l'accès à des ports ouverts qu'on ne veut pas laisser accessibles. C'est un usage légitime mais bien particulier
Euh … je pensais que c'était pourtant la base d'un pare feu. Faudra que tu m'expliques quels sont les usages qui ne sont pas "bien particulier" dans ce cas. vraiment.
(Et si tu me parles du NAT, alors je te répondre qu'avec l'arrivée prochaine d'IPv6, on ne devrait donc plus avoir besoin de pare-feu ?)
et même dans ce cas on peut très bien se passer de pare-feu : il suffit de faire attention à ce que l'on installe et surtout comment on le configure. Et les services cela peut se lancer à la demande.
Bien sûr … mais encore une fois, je préfère mettre directement un jeu de règle iptables qui me bloque tout par défaut plutôt que de faire des update-rc.d à gogo pour enlever des services du runlevel (d'autant que lors d'un update le rc.d sera réinstallé si je ne me trompe pas …).
Le problème c'est qu'on a tellement bourré le crâne des gens avec la soi-disant nécessité absolue du pare-feu pour se protéger des « attaques » qu'ils se croient en sécurité
Rassure toi, ce n'est pas mon cas.
Au contraire.
En faisant la promotion d'un pare-feu, j'applique également un principe de base de la sécurité informatique: ne pas mettre tout ses oeufs dans le même panier.
Ce n'est pas pour rien que, lorsqu'on monte une infra réseau, on va généralement préférer utiliser des marques d'équipements différentes dans une même "chaine" réseau: si l'équipementier A a une faille et que tout le coeur de réseau s'appuie sur ses équipements, alors tout le réseau est vulnérable.
En mixant les équipementiers, on modère les impacts d'une éventuelle faille chez l'un d'entre eux.
A l'échelle d'un OS, on peut se dire qu'appliquer ce principe de précaution n'est pas totalement déconnant.
Imagine demain une régression dans le noyau qui fait que, par une manigance habile, on parvienne à arriver à accéder à un service qui n'écoute que sur localhost ?
Un parefeu aurait tout son intérêt.
alors qu'ils oublient d'appliquer les principes de base : ne pas faire tourner de services inutiles, séparation des privilèges, droits d'accès minimaux, etc.
Je suis d'accord, un pare-feu ne doit pas se substituer à une rigueur dans la gestion de son système.
Cependant, comme je te le disais:
1. C'est toujours une protection supplémentaire qui peut être utile.
2. Une machine de travail d'un dév bidouilleur finira, par nature, un peu en vrac ;-)
Ton exemple avec Wordpress le montre bien : si le service est accessible de l'Internet aucune règle iptables ne peut te prémunir contre cette faille, les principes que j'évoque le peuvent (ou au moins minimiser son impact).
On est d'accord.
Mais on est d'accord aussi sur le fait que le sujet ici, c'est un pare-feu sur un poste de travail.
Hors, je ne pense pas qu'il soit souhaitable de laisser accessible quoi que ce soit sur ce type de setup.
Donc on reste bien dans une démarche de se protéger de soi-même et d'éventuels oublis suite à expérimentation.
Donc si je comprend bien, la règle input established ne laisse passer que le retour des ports que j'ai autorisé, donc tout reste sécurisé ?
C'est ça.
Ce qui m'intrigue c'est que sur un autre forum, ainsi qu'un ami, m'ont dit "que tes règles ne servent à rien, sans ta ligne acceptant les established, rien ne passe". Commentaire à prendre en compte et possibilité de faire fonctionner le tout sans cette ligne, via une autre solution ? Ou on m'a juste embrouillé et commentaires à oublier ?
Bein, effectivement, tes règles n'autorisent que le début de la connection. Sans le established, elles ne servent donc "virtuellement" à rien.
Si tu veux faire sans la règle established, alors il te faut autoriser tout les flux un à un (comme on le ferait sur un firewall dit stateless).
1/ C'est un poil pénible à faire.
2/ Ca pourrait être exploiter par un petit malin qui, connaissant ta façon de filtrer, utiliserait un port source == 80 pour passer.
En utilisant screen, une recherche dans le tampon va te highlighter toutes les occurences.
En gros:
Tu lances screen via screen puis tu lances ton serveur.
Une fois que t'as suffisament de chose dans le terminal tu tapes ctrl-a esc puis ? (recherche arrière, ala vim).
Tu tapes le mot recherché puis entrée.
En plus tu as d'autres avantages:
* Screen travaille sur tout le buffer, y compris les pages de terminal qui ne sont plus visibles.
* Screen se détache et se rattache à volonté, donc tu peux rentrer à ta maison en coupan ton ssh sans pour autant devoir tuer ton serveur. Et une fois à la maison,hop, tu rattaches.
[^] # Re: choix cornélien
Posté par LaBienPensanceMaTuer . En réponse au journal Huawei renié par Google : une bonne nouvelle pour les smartphones libres (ou pas) ?. Évalué à 3.
Ou un téléphone dont le bootloader est déverrouillable et te permet d'installer l'OS de ton choix.
Comme, par exemple, le milieu/haut de gamme chez Sony.
(Mon X Compact fait tourner un Android 8.0 que j'ai recompilé moi-même, sans gapps ajouté ;-))
Les problèmes avec Librem:
Terminaux rares et chers. ($649 pour un téléphone dont le seul atout matériel semble être de conserver une prise jack et une batterie amovible… comme 90% des terminaux du marché).
Ecosystème limité: à moins que Librem implémente une couche de compatibilité avec Android (ce dont je doute), il va falloir se contenter du peu d'applis natives OU des versions HTML5. On y perd grandement en confort !
[^] # Re: Intérêt du libre, danger fes services
Posté par LaBienPensanceMaTuer . En réponse au journal Huawei renié par Google : une bonne nouvelle pour les smartphones libres (ou pas) ?. Évalué à 10.
C'est très dépendant … voir totalement inopérant sans.
Qu'Uber, société privée, s'appuie autant sur les gapps peut paraitre étonnant voir dangereux car effectivement, on a vu des précédents avec les licences "Google Maps" qui, une fois que le produit avait bien perçé et été intégré un peu partout, sont devenus progressivement beaucoup plus limitée en terme d'utilisation "gratuite".
Mais après tout, il s'agit de la stratégie propre à la société Uber, qu'il fasse bien comme ils veulent.
Là ou par contre, je suis beaucoup plus gêné c'est quans je vois que:
Pour télécharger n'importe quelle appli (y compris celle de ta banque ou celle de l'Etat), il faut passer par le Google Playstore. Pourtant, héberger un APK avec une somme SHA1 signé GPG n'est pas très très compliqué…
Pour utiliser beaucoup d'applis "importantes" (encore une fois: banque, Etat), il soit nécessaire d'avoir les gapps parce qu'un petit malin à décider d'embarquer une fonction pour "trouver le DAB le plus proche" et s'appuie sur la géoloc Google…
Ca fait plusieurs mois que je trouve que la façon insidieuse qu'a Google d'imposer ses technos proprios marche très très bien auprès des différents acteurs du marché (consommateur, éditeur d'app).
C'est pour cette raison que je suis assez content de ce qui arrive à Huawei… Peut être cela permettra une prise de conscience des consommateurs et éditeurs…
[^] # Re: Perdu d'avance
Posté par LaBienPensanceMaTuer . En réponse au journal Huawei renié par Google : une bonne nouvelle pour les smartphones libres (ou pas) ?. Évalué à 4.
Oui, j'ai lu l'info aussi.
Cependant, pas gagné que l'OS en question aie atteint un niveau de maturité suffisant pour être déployable…
Il faut aussi voir si le marché est prêt…
[^] # Re: Perdu d'avance
Posté par LaBienPensanceMaTuer . En réponse au journal Huawei renié par Google : une bonne nouvelle pour les smartphones libres (ou pas) ?. Évalué à 4.
Oui, rien à redire à ça… mais ça ne concerne que les applications.
Ce problème se pose aussi pour les gens qui, comme moi, utilisent un AOSP et des réponses existent effectivement:
Le problème reste cependant entier concernant les gapps, et je ne pense pas que Huawei aie une solution toute prête à ce sujet.
C'est, à mes yeux, LE point intéressant dans cette décision de Google.
[^] # Re: Open Gapps n'est pas libre
Posté par LaBienPensanceMaTuer . En réponse au journal Huawei renié par Google : une bonne nouvelle pour les smartphones libres (ou pas) ?. Évalué à 3. Dernière modification le 20 mai 2019 à 14:35.
Merci pour la précision :-)
# Mon XP avec AWS
Posté par LaBienPensanceMaTuer . En réponse au message Cloud. Évalué à 4.
Salut,
La question peut paraitre intéressante mais ici, ce serait plus OpenStack et pas sûr qu'il existe des certifications ;-)
Pour répondre à ta question en quelques mots: j'ai été amené à faire beaucoup (trop) d'AWS ces derniers mois.
Suffisamment en tout cas pour me convaincre que c'était une techno qui:
* Ne m'intéressait pas.
* N'étais pas "réutilisable" (tu manipules des concepts 100% AWS, les couches FOSS sous-jacentes sont totalement abstraites).
Même si demain on me proposait une certification AWS, je ne suis pas convaincu d'accepter…
Après, c'est très personnel: si tu es un devops, clairement, la techno AWS a la côte et c'est tout bénef' d'être certifié, ne serait-ce que pour ton CV.
[^] # Re: pas d'accord ou inutile ?
Posté par LaBienPensanceMaTuer . En réponse au message Je suis triste… J'ai assisté à l'éco-bullshit startup-nation en live.. Évalué à 3.
Bienvenue sur LinuxFR ou être "de l'avis général" paye plus qu'être pertinent ;-)
[^] # Re: Linuxfr est désormais un espace de diffusion proLGBT ?
Posté par LaBienPensanceMaTuer . En réponse au journal Agressions, insultes, harcèlement... Cinq mois de violences contre les LGBT en France. Évalué à 5. Dernière modification le 17 mai 2019 à 17:56.
Je comprend pas un truc: depuis quand être homo se voit sur ta gueule ?
Depuis quand nos orientations sexuelles sont reconnaissables au premier coup d'oeil ?
Partant de là, je ne comprend pas ou est le problème à "circuler".
La sexualité est et doit rester quelque chose de personnel.
Tu me croises demain dans le métro, tu seras incapable de dire si je suis hétéro, homo, zoophile, foot fetish ou autre … et c'est TANT MIEUX. Ca ne regarde que moi.
[^] # Re: POSIX
Posté par LaBienPensanceMaTuer . En réponse au journal Shebang #!/usr/bin/env sh : testé et approuvé. Évalué à 3.
Bash fait aussi de la substitution… après, je connais pas les capacités de zsh en la matière, je peux donc pas te dire si c'est du même niveau.
[^] # Re: Branlette intellectuelle
Posté par LaBienPensanceMaTuer . En réponse au journal Shebang #!/usr/bin/env sh : testé et approuvé. Évalué à 7.
Bein non, désolé…. De mon point de vue, la démarche est pro et propre.
Beaucoup devrait s'en inspirer, ça éviterait souvent des "chez moi ça marche ©" et autre "ah mais non, là y a pas bash, je vais devoir tout réécrire … à moins que tu me déploies bash sur les 123 serveur AIX".
[^] # Re: Mon point de vue
Posté par LaBienPensanceMaTuer . En réponse au message [Discussion] Les routeurs libre sont-ils morts ?. Évalué à 3.
Voilà, entièrement d'accord avec xev.
Il n'y a pas de guerre de chapelle car comme l'a dit xev ta vision des choses est tout sauf universelle. C'est une conception de ce qu'il est acceptable de faire sur un réseau qui t'es personnelle (et je pense très très peu partagée ;-p)
Il y a guerre de chapelle quand deux écoles répandues s'affrontent (genre "firewall sur le poste de travail ou pas ;p" , "vim ou emacs").
Me concernant, je t'ai donné ma vision du réseau, issue d'années à graviter dans ce milieu à titre professionnel.
Je t'ai également fait part du manque de cohérence de ta demande initiale (un routeur clicka-convi-playskool pour parametrer du load balancing tcp over tunnel ssh de mariadb).
Je comprend parfaitement que le manque de moyen t'impose un certain nombre de "restrictions" techniques et je le respecte.
En 2003, je faisais tourner mon premier serveur qui faisait GW/Firewall/Serveur de mail/Serveur Web sur un p133 avec 64 ou 128MiB de mémoire et je faisais mes sauvegardes via un antique lecteur DAT récupéré sur un vieux serveur HP-UX… je suis passé par la.
Il y a cependant plusieurs choses qui me choquent profondément dans ta démarche:
Vouloir monter ce genre d'infra et tenir le discours du "je m'en fous du réseau, je veux cliquer et que ça marche". Encore une fois, c'est pas cohérent. Si tu veux monter une infra stable, performante et techniquement complexe tu vas être obligé à un moment ou à un autre de t'intéresser un minimum au réseau… ou d'avoir un mec qui le fait pour toi. Ou de faire du AWS/Azure/…
Vouloir assurer une production sur un gros "bidouillage"… alors que cette prod te couterait à peine plus cher et serait bien plus fiable sur un VPS ou sur un serveur dédié online à ~10€/mois. Je comprend le plaisir de monter des infras un peu folles, c'est amusant … si si vraiment. Mais il me viendrait pas à l'idée de prétendre faire de l'hébergement sérieux la dessus… Je préfèrerai faire un appel au don à mes utilisateurs pour financer l'hébergement et ne pas faire du bricolage … tes utilisateurs te le rendront quand ils auront compris que ça juste marche mieux.
'fin voilà.
Continue de t'amuser, t'as raison. Par contre, écoute les vieux geeks qui te disent que:
[^] # Re: Gni?
Posté par LaBienPensanceMaTuer . En réponse au message AppArmor : de la sureté de lancer un audit d'application en super-utilisateur (root). Évalué à 4.
Effectivement, on parle d'un outil de la suite app armor ici … pas d'un vague script shell publié par un quidam lamba: si tu ne fais pas confiance à apparmor et au binaire compilés par les mainteneurs de ta distri, il vaut mieux partir sur du LFS et faire tout toi même…
Après, peut être que, pour cet audit, le binaire en question a besoin des droits root …
Dans le cas présent, le privilège root me parait, par exemple, essentiel pour "tracer" les besoins d'un process type Apache ou autre qui est lancé en tant que root puis fait du privileges dropping après coup ..
[^] # Re: apu
Posté par LaBienPensanceMaTuer . En réponse au message Serveur basse consommation. Évalué à 2.
Si si, du RAID hard ;-)
https://www.innodisk.com/en/products/embedded-peripheral/disk-array/EMPS-32R1
Bon ok, du 0 ou 1, c'est pas fou mais mieux que rien :-)
Après y a ça avec 4 ports, mais le fabricant semble moins connu:
https://www.amazon.fr/Iocrest-Ports-6-0-GB-PCI-Express-Controller/dp/B072BD8Z3Y
[^] # Re: Mon point de vue
Posté par LaBienPensanceMaTuer . En réponse au message [Discussion] Les routeurs libre sont-ils morts ?. Évalué à 2.
Totalement d'accord …
Après, quand j'ai vu la photo de l'infra en question:
Je me suis dit que j'allais arrêter de perdre mon temps à tenter de le raisonner ;-)
[^] # Re: Mon point de vue
Posté par LaBienPensanceMaTuer . En réponse au message [Discussion] Les routeurs libre sont-ils morts ?. Évalué à 5.
Ca veut rien dire. Enfin … ça dépend.
Si tu parles, comme je le suppose, d'un proxy HTTP, alors sache que ça zone d'action est le layer 7 du modèle OSI: le protocole HTTP
Si tu parles de NAT, tu es sur la couche 3 du modèle OSI
(Si tu connais pas: Modèle OSI).
Donc en gros ce que tu écris ne veut rien dire …
Non, juste non. HA Proxy est un reverse proxy applicatif qui a des capacités à surveiller la charge d'un serveur. C'est aussi un logiciel capable d'être en frontal de grosse infrastructure web et d'encaisser des trafics de folie.
Parce qu'ils permettent tout les deux de rouler, une voiture et un chariot de supermarché ne sont pas une alternative l'un à l'autre.
Bein peut être juste parce que c'est pas fiable et pas assez performant pour vraiment faire tout ça correctement ??
Bon finissons en, c'est quoi ton pays dont tu fais tant de mystère ?
ET aussi, c'est quoi cette infra que tu fais tourner, qui visiblement est suffisament critique pour que t'aies besoin de supervision, de VPN et de répartition de charge HTTP sans avoir les moyens de faire tourner ça autrement qu'avec un routeur à 100 balles ?
[^] # Re: Unifi
Posté par LaBienPensanceMaTuer . En réponse au message [Discussion] Les routeurs libre sont-ils morts ?. Évalué à 3.
Combien ça coute ? T'achète ça ou ?
Google m'a pas trop aidé à trouver un revendeur … tout comme le site de Jetway …
C'est intéressant le form factor… ça se racke ?
[^] # Re: Mon point de vue
Posté par LaBienPensanceMaTuer . En réponse au message [Discussion] Les routeurs libre sont-ils morts ?. Évalué à 4.
Encore une fois, tu es incohérent.
Tu ne peux pas décemment prétendre être avoir:
Quand le truc en question est, entre autre, aussi pointu et peu "générique" que:
En fait, ce que t'arrive pas à comprendre, c'est qu'à un moment, effectivement, il faut des compétences pour assurer tout ces services sur un réseau.
Et à un moment, quand tu fais de la répartition de charge, de la supervision, des tunnels VPN & co, et, clou du spectacle des Services critiques (OMG!!!) c'est franchement un peu illogique que de faire reposer tout ça sur … une carte ARM à 100€.
La sécurité d'une chaine repose toujours sur celle de son maillon le plus faible…
[^] # Re: Mon point de vue
Posté par LaBienPensanceMaTuer . En réponse au message [Discussion] Les routeurs libre sont-ils morts ?. Évalué à 4.
Non, c'est aussi la base en PME, dès que tu veux avoir des réseaux distincts et bien isolés au sein de l'entreprise.
En fait, dès que tu sors de la configuration ou un switch 8 ports ne suffit plus, tu vas généralement avoir des switchs dédiés et des routeurs/firewall.
Ce dont tu parles, ça ne s'utilise que chez soit ou dans des petites entreprises (bar, garage automobile ou agent immobilier).
Non mais tout est dit: tu veux de l'équipement réseau pour quelqu'un qui ne connait pas le réseaux, c'est donc du SOHO, j'insiste. Une infime partie de ce qui peut s'appeler "routeur".
Bref, même pour le routeur SOHO, encore une fois, tes besoins sont confus: tu veux quelque chose de power-user qui te permette de mettre du HA proxy, et quelque chose playskool en même temps ou tu peux administrer le truc depuis ton smartphone.
Je ne sais pas si tu t'imagines la complexité du projet qui voudrait offrir une UI pour configurer de façon générique une floppée de soft type "service" (apache, transmisson, ftp, ssh, HA Proxy, vrrpd, samba, minidlna, nfs, …, ….).
Le tout de façon "jolie", voir avec une séparation backend/frontend et une jolie API-Rest pour piloter tout ça via une appli android.
Ca pourrait être la vocation d'OpenWRT, mais clairement, le côté frontend n'en est pas là (Ca reste joli pour les fonctions de base ceci dit si le thème Luci est utilisé).
Ils ne faut par contre pas négliger la puissance de la plateforme et la quantité de boulot… tu pourras faire tout ce que tu veux en terme de service, dans la limite de ton matos.
Et puis tu sais, ça reste un projet Open Source, ouvert aux contributions.
Si un tel projet te tient à coeur, n'hésite pas à t'y investir en faisant évoluer ce point négatif.
Par contre, tu devrais aller un peu plus loin que "d'après youtube".
Achète un routeur à 22€, essaye OpenWRT et reviens m'en parler ;-)
[^] # Re: Mon point de vue
Posté par LaBienPensanceMaTuer . En réponse au message [Discussion] Les routeurs libre sont-ils morts ?. Évalué à 5.
Non non, un routeur routeur comme ça.
Ce genre de routeur (les vrais quoi ;-p) ne font que du routage.
En fait, je crois que, depuis le début, tu limites le produit "routeur" à une catégorie bien particulière et très "limitée" de produit: les routeurs dit "SOHO" (Small Office Home Office).
Je me vois mal configuré un routeur Cisco avec mon smartphone ;-)
Ce n'est pas rendre hommage au projet OpenWRT qui, depuis des années (10? 15? Ah ce bon vieux WRT54G …) vise justement à créer LA distribution spécialisée dans cette discipline.
Et, si tu avais un peu suivi les "indices" laissés dans mon premier commentaire, tu verras par exemple que:
Une méchante majorité des produits un tantinet sérieux dans la catégorie SOHO sont compatibles OpenWRT.
Il y a même des fabricants comme GL.inet qui livre en standard leurs routeurs avec OpenWRT pré-installé + une "custo" à l'interface Web (un peu comme ferait les fabricants de téléphone avec leur surcouche maison)
[^] # Re: Merci ! Encore quelques questions...
Posté par LaBienPensanceMaTuer . En réponse au message IPtables -configuration. Évalué à 2.
Pas du tout :-(
Me former à IPv6 est dans ma todo list depuis quelques années …
# Mon point de vue
Posté par LaBienPensanceMaTuer . En réponse au message [Discussion] Les routeurs libre sont-ils morts ?. Évalué à 4.
Alors déjà, sache qu'il existe pas mal de hardware qui peuvent en théorie répondre à ton cahier des charges.
Ubiquity comme on te l'a déjà cité, mais également les routerboard de chez Mikrotik.
Dans un registre plus "amateur", tu as aussi GL.inet qui fait des petits routeurs bon marché et plutôt performant.
Pour être plus exhaustif, il te suffit de regarder du côté des routeurs supportés par le projet OpenWRT et tu verras qu'il y a pas mal de choses …
Ensuite, concernant le reste de tes remarques:
D'un point de vue strictement "logique", ce n'est pas le rôle d'un routeur.
Un routeur route des paquets entre ses interfaces et c'est tout.
C'est pour cette raison que dès que tu vas sur les gammes "pro", un routeur ne fait que du routage, un firewall que du firewalling, un load balancer que du load balancing, etc…
Perso, je ne veux pas d'interface moderne. Pour ce genre d'équipement, je préfère une CLI qui m'offre plus de possibilité de scripting. Mais les interfaces web ne m'intéresse pas.
Question de gout hein …
Hmmm n'oublie pas que l'objectif des gens qui fabriquent ce matériel est de vendre. Et, selon ton plan, comment vendre plus que son concurrent si au final, on fait la même chose ?
Encore une fois, ce n'est pas le rôle d'un strict routeur.
Je trouve d'ailleurs tes deux remarques un poil contradictoire: un bloqueur de pub doit "se mettre" à jour. Cette mise à jour est, en soi, déjà une exportation de données sans accord (aka "à l'adresse W.X.Y.Z il y a un routeur XXXX")
Tu compares l'incomparable: un raspberry pi de dernière génération à une interface réseau Gigabit qui plafonne à … 300 Mbps. Tout bonnement inacceptable pour un routeur.
Beaucoup de carte ARM low cost qui propose plusieurs port Ethernet n'ont en fait qu'un seul PHY et sont des "switchs" et tu dois bidouiller à coup de vlan pour avoir des vrais "réseaux".
Un vrai routeur doit nécessairement avoir des vraies interfaces mais peut se passer de HDMI & co.
Ca explique un peu mieux les écarts de prix …
Pour l'instant non, mais je pense de plus en plus à partir sur une solution à base de carte Atom dual lan (et tout gérer en dessous avec un switch manageable et des vlans).
Encore une fois , un routeur route. Un routeur n'est pas sensé fournir de service.
[^] # Re: Merci ! Encore quelques questions...
Posté par LaBienPensanceMaTuer . En réponse au message IPtables -configuration. Évalué à 2.
Oui car dans ce cas là, ton noyau va maintenir une table ip source/port source/ip destination/port destination et n'autoriser le flux que selon ces informations.
C'est le côté statefull.
Alors qu'en stateless, dès que tu viens du port 80, c'est open.
Regarde un peu du côté de l'outil en ligne de commande
conntrack
qui te permet de montrer justement les connections dont le noyau s'occupe, c'est très instructif :)[^] # Re: Commencer par le début
Posté par LaBienPensanceMaTuer . En réponse au message IPtables -configuration. Évalué à 2.
Lol … ah bon, tu crois que bidouiller sous Linux c'est un usage particulier ?
Et moi qui pensait que c'était un OS de bidouilleur…
Au delà de ça tu as exprimé une opinion qui relève de ton cas particulier. Si quelqu'un, un peu bidouilleur, appliquait ton opinion sans réfléchir, il se priverait d'une protection peut être inutile dans 90% des cas mais qui au final, ne mange pas de pain et qui peut sauver la mise un jour.
Au contraire, si on applique bêtement mon opinion, ça n'enlève rien à l'utilisateur, ça ne bride pas son utilisation d'internet, ça surcharge peu ou pas la machine … en fait, c'est transparent. Juste, t'as une protection supplémentaire.
Bien souvent, des services font partie de l'installation par défaut.
Sache qu'il y a pas mal de protocole qui permettent de traverser ce genre de chose. DLNA en est un.
Et au delà de ça, faire une confiance aveugle en une box opérée et administrée par un FAI me parait quelque peu dangereux.
Dernière chose: quid des wifi public que tout le monde utilise de plus en plus ?
Euh … je pensais que c'était pourtant la base d'un pare feu. Faudra que tu m'expliques quels sont les usages qui ne sont pas "bien particulier" dans ce cas. vraiment.
(Et si tu me parles du NAT, alors je te répondre qu'avec l'arrivée prochaine d'IPv6, on ne devrait donc plus avoir besoin de pare-feu ?)
Bien sûr … mais encore une fois, je préfère mettre directement un jeu de règle iptables qui me bloque tout par défaut plutôt que de faire des
update-rc.d
à gogo pour enlever des services du runlevel (d'autant que lors d'un update le rc.d sera réinstallé si je ne me trompe pas …).Rassure toi, ce n'est pas mon cas.
Au contraire.
En faisant la promotion d'un pare-feu, j'applique également un principe de base de la sécurité informatique: ne pas mettre tout ses oeufs dans le même panier.
Ce n'est pas pour rien que, lorsqu'on monte une infra réseau, on va généralement préférer utiliser des marques d'équipements différentes dans une même "chaine" réseau: si l'équipementier A a une faille et que tout le coeur de réseau s'appuie sur ses équipements, alors tout le réseau est vulnérable.
En mixant les équipementiers, on modère les impacts d'une éventuelle faille chez l'un d'entre eux.
A l'échelle d'un OS, on peut se dire qu'appliquer ce principe de précaution n'est pas totalement déconnant.
Imagine demain une régression dans le noyau qui fait que, par une manigance habile, on parvienne à arriver à accéder à un service qui n'écoute que sur localhost ?
Un parefeu aurait tout son intérêt.
Je suis d'accord, un pare-feu ne doit pas se substituer à une rigueur dans la gestion de son système.
Cependant, comme je te le disais:
1. C'est toujours une protection supplémentaire qui peut être utile.
2. Une machine de travail d'un dév bidouilleur finira, par nature, un peu en vrac ;-)
On est d'accord.
Mais on est d'accord aussi sur le fait que le sujet ici, c'est un pare-feu sur un poste de travail.
Hors, je ne pense pas qu'il soit souhaitable de laisser accessible quoi que ce soit sur ce type de setup.
Donc on reste bien dans une démarche de se protéger de soi-même et d'éventuels oublis suite à expérimentation.
[^] # Re: Merci ! Encore quelques questions...
Posté par LaBienPensanceMaTuer . En réponse au message IPtables -configuration. Évalué à 2.
C'est ça.
Bein, effectivement, tes règles n'autorisent que le début de la connection. Sans le established, elles ne servent donc "virtuellement" à rien.
Si tu veux faire sans la règle established, alors il te faut autoriser tout les flux un à un (comme on le ferait sur un firewall dit stateless).
Par exemple, pour le web:
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT #flux sortant
iptables -A INPUT -p tcp --sport 80 -j ACCEPT #flux retour
Sauf que:
1/ C'est un poil pénible à faire.
2/ Ca pourrait être exploiter par un petit malin qui, connaissant ta façon de filtrer, utiliserait un port source == 80 pour passer.
# GNU screen
Posté par LaBienPensanceMaTuer . En réponse au message Terminal: surbrillance d'occurrences multiples d'un texte. Évalué à 3.
En utilisant screen, une recherche dans le tampon va te highlighter toutes les occurences.
En gros:
screen
puis tu lances ton serveur.ctrl-a esc
puis?
(recherche arrière, ala vim).En plus tu as d'autres avantages:
* Screen travaille sur tout le buffer, y compris les pages de terminal qui ne sont plus visibles.
* Screen se détache et se rattache à volonté, donc tu peux rentrer à ta maison en coupan ton ssh sans pour autant devoir tuer ton serveur. Et une fois à la maison,hop, tu rattaches.