ah bein ça … je répondais juste a la demande initiale d'empecher un utilisateur lambda d'executer le reboot, je n'aime pas contester la pertinence des demandes des gens (ou en tout cas pas up-front ).
Effectivement pour le ctrl-alt-suppr/bouton power c'est init qui va le déclencher donc il faut aussi configurer ça, ça doit être documenté quelque part.
Exemple, je veut interdire un utilisateur non sudoers/root de pouvoir utiliser /usr/sbin/reboot
Bein c'est déjà le cas, reboot/poweroff sont des actions privilégiés, pour les utiliser il faut être root ou respecter certaines règles.
Dans un système réçent ces commandes vont être des liens vers systemctl, difficile à en bloquer l'execution via chmod sans limiter les fonctionnalités de systemd pour les utilisateurs, par contre les décisions d'autorisations pour reboot/shutdown (ainsi que d'autres actions normalement privilégiées telles que le montage/demontage de disques) vont passer par le filtre "policy-kit".
Selon ta version de policy-kit la configuration va varier mais il est possible de configurer l'outil pour que les utilisateurs locaux n'aient plus l'autorisation de reboot, exemple:
Maintenant que j'ai modifié mon /etc/hostname, j'ai supprimé la ligne MON.IP MON_DOMAIN.FR
Déjà je ne vois pas trop le rapport avec la choucroute (la creation de ton annuaire ldap)
Ensuite editer le /etc/hosts … mauvaise idée a priori
Du coup, je dois faire une entrée avec le ldif suivant ?
Tu ne "dois" rien, c'est à toi de décider tout d'abord quelle sera ta structure ldap, et surtout une fois que tu l'as décidé il faut arreter de la changer toutes les 5 minutes …
En revanche, j'ai bien pu ajouter l'entrée "dc=freewind, dc=fr"
Heu .. non
root@homeserv:~/ldap/freewind.fr# ldapadd -x -H ldap://localhost -D 'cn=admin,dc=nodomain' -f base.ldif
adding new entry "dc=freewind, dc=fr"
ldap_add: Server is unwilling to perform (53)
additional info: no global superior knowledge
=> unwilling == pas d'accord
=> "no global superior knowledge" = pas de branche à laquelle raccrocher la nouvelle entrée, ce qui n'est pas surprenant vu qu'a priori tu as re-créer un annuaire avec une racine "dc=nodomain" et que tu vaut rajouter l'entrée "dc=freewind" sur l'element "dc=fr"
Donc je répète ce que j'ai dit plus haut: si tu veut/doit mettre en place un annuaire LDAP oublie tout les tuto que tu as lu et documente toi sur les annuaires LDAP et sur l'administration d'OpenLDAP avant de taper n'importe quoi sans comprendre.
Un annuaire est basé une structure logique et administrative qu'il faut avoir définie AVANT de l'utiliser, ce n'est pas une simple base de donnée SQL
Il y a quelque chose que tu ne semble pas comprendre, un annuaire LDAP est un arbre, au sens mathématique du terme.
Tu as semble t'il créer ton arbre avec la racine "dc=fr", tu ne peut donc pas rajouter un element dans "dc=com" -> "dc=example" car "dc=com" n'existe pas dans ta configuration.
Quand à "dpkg-reconfigure slapd" il ne rajoutera jamais tout seul "dc=example,dc=com" car ta base ldap est déjà initialisée.
Tu peut rajouter un "dc=tondomaine,dc=fr" puis ensuite un "ou=People,dc=tondomaine,dc=fr" dans ta base même si on essaye plutot d'avoir directement "dc=tondomaine,dc=fr" en racine
Il m'est déjà arrivé d'avoir des cas de "PC défectueux" qui sont en fait des cas d'usages incorrect par l'utilisateur. Mais pas forcement des usages conscient.
ça peut être tout simplement des mains qui se placent aux mauvais endroit, ou un potentiel static de l'utilisateur qui est trop important.
Nous avons une douzaine de serveurs SQL qui tournaient sous mysql 5.5, l'upgrade debian/stretch à imposé la migration sur mariadb 10.0, résultat les requêtes de recherches de notre application on nécessité l'ajout d'un /tmp de 100Go (sur des machines dont la racine fait 10Go, + volume séparé pour le /var/lib/mysql) car le parser analyse mal les requêtes et génère des fichiers temporaires énormes (et donc des temps de requêtes supérieurs a 3 minutes).
Accessoirement les saturations de /tmp entrainement des blocages d'écritures des relay-logs, avec corruption, alors même que le relay-logs n'est pas sur la même partition.
Pour l'instant mes tests montrent que seul un passage à mariadb 10.4 permet de retrouver un parseur digne de mysql 5.5 mais il est tout juste sorti et je n'ai pas encore suffisamenet analysé les impacts
Mais justement, désolé de forcer mais je maintiens, ma préférence est clair : AUCUN DES DEUX. Il y a une vraie différence entre "je m'en fous" et "je ne veux ni l'un ni l'autre".
Heu… Non il n'y en a pas et notamment car il n'est pas envisageable dans notre constitution de ne pas avoir de gouvernement (après on peut vouloir changer ça aussi mais bon…)
Et je veux que si la majorité ne préfère aucun des deux, il puisse y avoir de nouvelles élections avec de nouveaux candidats.
Lesquels ? Des inconnus sortis d'où ? Comme tu le dis il y a des affiliations politiques, des partis qui ont élus leurs candidats, s'ils ne te conviennent pas tu peut au choix t'inscrire dans un de ces partis et monter les échelons ou participer au vote pour que le candidat te représente mieux ou monter ton parti politique.
Mais l'idée que la prise en compte des bulletins blancs amène 1/des reports d'élections et 2/l'apparition spontanée de nouveaux candidats qui plairaient à tout le monde est carrément invraisemblable…
(la question ne se pose plus dans le cas d'un scrutin à jugement majoritaire au passage…)
Clairement ce scrutin marche tellement bien dans la structure debian que tout le monde suit le dpl sans se plaindre… Oh wait…
Après oui ça serait probablement un peu mieux que le scrutin actuel… En théorie.. Je n'imagine pas le bordel de la saisie des résultats d'un scrutin majoritaire avec 50 millions d'électeurs et une douzaine de choix dans plusieurs milliers de centre de dépouillement. Avec en plus la complexité/difficulté du vote pour les électeurs les moins aisés mentalement.
Wrong choice, try again?
D'expérience mysql est toujours devant Maria en terme de perf à releases équivalentes, et Maria a de grosses 'régression' de parsing/perfs qui commencent tout juste à s'améliorer en 10.4 (ie on retrouve les perfs de mysql 5.5)
… il suffit donc de dire que le cookie de tracking est nécessaire au bon fonctionnement du site et zou pas besoin de demander le consentement ?
Non justement, du coup il y a un magnifique "il est précisé que cet « intérêt légitime » peut ne pas prévaloir sur les intérêts, les libertés et droits fondamentaux de la personne (par exemple un enfant)." …. comment je sais que l'adresse IP est celle d'un enfant ?
Rien à voir, c'est toi qui défini "traiter des données personnelles" comme étant "pister les utilisateurs".
Avoir des journaux d'accès et d'erreur sur ton serveur web rentre dans le cadre "traitement automatisé de données" et en plus ça contient des "données personnelles" (adresse IP)…
Pour moi la plus grosse faille du RGPD est que techniquement ce n'est pas possible de faire un truc full-rgpd-compliant:
tu refuse le traitement automatisé de tes données personnelles: ok, comment je stocke ton refus sans traiter automatiquement tes données ?
tu te connecte à un serveur web: comment je te demande l'accord de traiter ta première donnée 'personnelle' (ton adresse IP) avant même de pouvoir te répondre, de loguer ta requete, …
Mais j'avais déjà passé la journée à chercher des solutions via Google, et rien marchait… Je commençais à fatiguer.
parce qu'en général les gens cherchent des solutions "finales" sur google en se basant sur un problème générique, au lieu de lire tout simplement ce que le système renvoi ^
Je suppose que vous avez déjà rencontré ce type d'erreur ?
Celle la non pas particulièrement, mais les appli qui ne demarrent pas en général oui ^
Combien d'années de métier ?
Heu, 15 de métier, 20 de linux et 30 d'informatique en général XD
Pour être plus précis dans ton premier "dump" il y avait:
Job for ssh.service failed because the control process exited with error code.
See "systemctl status ssh.service" and "journalctl -xe" for details.
Deux écoles ici, soit à la systemd, lancer: "systemctl status ssh.service" puis "journalctl -xe" si le premier n'aide pas assez.
Soit directement lancer à la main "/usr/sbin/sshd -t", qui est la commande utilisé par systemd pour vérifier que le service peut démarrer (dans le cas du service ssh) et qui ici à renvoyé une erreur (status=255/EXCEPTION), vous aurais sorti directement le message
Next est unique car il n’expose pas d’API, il est totalement ouvert et programmable, et qui plus est programmable à chaud
Comment est-ce que le projet peut être ouvert et programmable sans exposer d'interface de programmation de l'application (Application Programming Interface) ??
Je ne parle pas de l'ajout de-Wvla mais bien du processus qui a précédé de modification du code pour enlever les différents usages de vla. (ie je ne parlais pas d'un programme au sens informatique)
C'était vrai avec l'ANSI C, ce n'est plus exact avec le C "d'aujourd'hui" (C99 & +), qui supporte les variables length array dans certaines conditions (pas dans les structures), ou les extensions GCC qui le supportent quasiment partout.
Après c'est un trade-off en performances qui ne convient pas à Linus pour le kernel par exemple, personnellement je pense que si ses arguments sont surement vrai aujourd'hui ils sont aussi probablement corrigeable, et qu'une facilité et uniformité d'écriture apporte un plus en sécurité mais bon, le kernel est maintenant VLA-free depuis plus d'un an.
A savoir que l'équipe du kernel linux à "récemment" introduit un programme de suppression de tout code VLA pour des raisons de performances et de sécurité (https://lkml.org/lkml/2018/3/7/621)
[^] # Re: Merci
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Chmod 700 /usr/sbin. Évalué à 2.
ah bein ça … je répondais juste a la demande initiale d'empecher un utilisateur lambda d'executer le reboot, je n'aime pas contester la pertinence des demandes des gens (ou en tout cas pas up-front ).
Effectivement pour le ctrl-alt-suppr/bouton power c'est init qui va le déclencher donc il faut aussi configurer ça, ça doit être documenté quelque part.
pour le reste…
[^] # Re: Merci
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Chmod 700 /usr/sbin. Évalué à 3.
Bein c'est déjà le cas, reboot/poweroff sont des actions privilégiés, pour les utiliser il faut être root ou respecter certaines règles.
Dans un système réçent ces commandes vont être des liens vers systemctl, difficile à en bloquer l'execution via chmod sans limiter les fonctionnalités de systemd pour les utilisateurs, par contre les décisions d'autorisations pour reboot/shutdown (ainsi que d'autres actions normalement privilégiées telles que le montage/demontage de disques) vont passer par le filtre "policy-kit".
Selon ta version de policy-kit la configuration va varier mais il est possible de configurer l'outil pour que les utilisateurs locaux n'aient plus l'autorisation de reboot, exemple:
/etc/polkit-1/rules.d/20-disallow-shutdown.rules:
Ou pour policykit <= 0.105:
/etc/polkit-1/localauthority/50-local.d/20-disallow-shutdown.pkla:
https://superuser.com/questions/354678/what-is-the-correct-way-to-prevent-non-root-users-from-issuing-shutdowns-or-rebo
# auditd
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Logs des permissions des dossiers. Évalué à 5.
Normalement tu peut faire ça via auditd
Point de départ:
https://access.redhat.com/solutions/10107
[^] # Re: Besoin de te documenter sur LDAP
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Configuration serveur LDAP. Évalué à 2.
oh la la …
Déjà je ne vois pas trop le rapport avec la choucroute (la creation de ton annuaire ldap)
Ensuite editer le /etc/hosts … mauvaise idée a priori
Tu ne "dois" rien, c'est à toi de décider tout d'abord quelle sera ta structure ldap, et surtout une fois que tu l'as décidé il faut arreter de la changer toutes les 5 minutes …
Heu .. non
=> unwilling == pas d'accord
=> "no global superior knowledge" = pas de branche à laquelle raccrocher la nouvelle entrée, ce qui n'est pas surprenant vu qu'a priori tu as re-créer un annuaire avec une racine "dc=nodomain" et que tu vaut rajouter l'entrée "dc=freewind" sur l'element "dc=fr"
Donc je répète ce que j'ai dit plus haut: si tu veut/doit mettre en place un annuaire LDAP oublie tout les tuto que tu as lu et documente toi sur les annuaires LDAP et sur l'administration d'OpenLDAP avant de taper n'importe quoi sans comprendre.
Un annuaire est basé une structure logique et administrative qu'il faut avoir définie AVANT de l'utiliser, ce n'est pas une simple base de donnée SQL
[^] # Re: Besoin de te documenter sur LDAP
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Configuration serveur LDAP. Évalué à 2.
bein tu créé l'entrée comme n'importe quelle entrée ldap, via un ldapadd avec le ldif qui va bien, dans le cas présent
# Besoin de te documenter sur LDAP
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Configuration serveur LDAP. Évalué à 3.
Salut,
Il y a quelque chose que tu ne semble pas comprendre, un annuaire LDAP est un arbre, au sens mathématique du terme.
Tu as semble t'il créer ton arbre avec la racine "dc=fr", tu ne peut donc pas rajouter un element dans "dc=com" -> "dc=example" car "dc=com" n'existe pas dans ta configuration.
Quand à "dpkg-reconfigure slapd" il ne rajoutera jamais tout seul "dc=example,dc=com" car ta base ldap est déjà initialisée.
Tu peut rajouter un "dc=tondomaine,dc=fr" puis ensuite un "ou=People,dc=tondomaine,dc=fr" dans ta base même si on essaye plutot d'avoir directement "dc=tondomaine,dc=fr" en racine
# PEBKA
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Idées pour provoquer un bug / diagnostic.. Évalué à 3.
Il m'est déjà arrivé d'avoir des cas de "PC défectueux" qui sont en fait des cas d'usages incorrect par l'utilisateur. Mais pas forcement des usages conscient.
ça peut être tout simplement des mains qui se placent aux mauvais endroit, ou un potentiel static de l'utilisateur qui est trop important.
[^] # Re: Mariadb
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message sécuriser un serveur web auto hébergé. Évalué à 2.
source: experience professionnelle
Nous avons une douzaine de serveurs SQL qui tournaient sous mysql 5.5, l'upgrade debian/stretch à imposé la migration sur mariadb 10.0, résultat les requêtes de recherches de notre application on nécessité l'ajout d'un /tmp de 100Go (sur des machines dont la racine fait 10Go, + volume séparé pour le /var/lib/mysql) car le parser analyse mal les requêtes et génère des fichiers temporaires énormes (et donc des temps de requêtes supérieurs a 3 minutes).
Accessoirement les saturations de /tmp entrainement des blocages d'écritures des relay-logs, avec corruption, alors même que le relay-logs n'est pas sur la même partition.
Pour l'instant mes tests montrent que seul un passage à mariadb 10.4 permet de retrouver un parseur digne de mysql 5.5 mais il est tout juste sorti et je n'ai pas encore suffisamenet analysé les impacts
[^] # Re: linuxfr.gouv.fr
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Le sujet dont tout le monde a envie de parler, mais qu'on n’ose pas.. Évalué à 3.
Heu… Non il n'y en a pas et notamment car il n'est pas envisageable dans notre constitution de ne pas avoir de gouvernement (après on peut vouloir changer ça aussi mais bon…)
Lesquels ? Des inconnus sortis d'où ? Comme tu le dis il y a des affiliations politiques, des partis qui ont élus leurs candidats, s'ils ne te conviennent pas tu peut au choix t'inscrire dans un de ces partis et monter les échelons ou participer au vote pour que le candidat te représente mieux ou monter ton parti politique.
Mais l'idée que la prise en compte des bulletins blancs amène 1/des reports d'élections et 2/l'apparition spontanée de nouveaux candidats qui plairaient à tout le monde est carrément invraisemblable…
Après oui ça serait probablement un peu mieux que le scrutin actuel… En théorie.. Je n'imagine pas le bordel de la saisie des résultats d'un scrutin majoritaire avec 50 millions d'électeurs et une douzaine de choix dans plusieurs milliers de centre de dépouillement. Avec en plus la complexité/difficulté du vote pour les électeurs les moins aisés mentalement.
[^] # Re: Mariadb
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message sécuriser un serveur web auto hébergé. Évalué à 2.
Franchement c'était plus pour l'info, je doute que tu le sente passer t'embete pas à remettre un mysql.
# Mariadb
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message sécuriser un serveur web auto hébergé. Évalué à 2.
Wrong choice, try again?
D'expérience mysql est toujours devant Maria en terme de perf à releases équivalentes, et Maria a de grosses 'régression' de parsing/perfs qui commencent tout juste à s'améliorer en 10.4 (ie on retrouve les perfs de mysql 5.5)
[^] # Re: ip table
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message sécuriser un serveur web auto hébergé. Évalué à 2.
Shore wall n'étant qu'un frontend à iptable
[^] # Re: Accuse-t-on les mauvaises personnes des dérives du RGPD?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal J'accepte. Évalué à 0.
… il suffit donc de dire que le cookie de tracking est nécessaire au bon fonctionnement du site et zou pas besoin de demander le consentement ?
Non justement, du coup il y a un magnifique "il est précisé que cet « intérêt légitime » peut ne pas prévaloir sur les intérêts, les libertés et droits fondamentaux de la personne (par exemple un enfant)." …. comment je sais que l'adresse IP est celle d'un enfant ?
[^] # Re: Accuse-t-on les mauvaises personnes des dérives du RGPD?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal J'accepte. Évalué à -1.
Rien à voir, c'est toi qui défini "traiter des données personnelles" comme étant "pister les utilisateurs".
Avoir des journaux d'accès et d'erreur sur ton serveur web rentre dans le cadre "traitement automatisé de données" et en plus ça contient des "données personnelles" (adresse IP)…
[^] # Re: Accuse-t-on les mauvaises personnes des dérives du RGPD?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal J'accepte. Évalué à -5.
Pour moi la plus grosse faille du RGPD est que techniquement ce n'est pas possible de faire un truc full-rgpd-compliant:
[^] # Re: conf
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Accès ssh défaillant suite à migration Debian 9 > 10 (résolu). Évalué à 4. Dernière modification le 08 novembre 2019 à 15:46.
parce qu'en général les gens cherchent des solutions "finales" sur google en se basant sur un problème générique, au lieu de lire tout simplement ce que le système renvoi ^
Celle la non pas particulièrement, mais les appli qui ne demarrent pas en général oui ^
Pour être plus précis dans ton premier "dump" il y avait:
Deux écoles ici, soit à la systemd, lancer: "systemctl status ssh.service" puis "journalctl -xe" si le premier n'aide pas assez.
Soit directement lancer à la main "/usr/sbin/sshd -t", qui est la commande utilisé par systemd pour vérifier que le service peut démarrer (dans le cas du service ssh) et qui ici à renvoyé une erreur (status=255/EXCEPTION), vous aurais sorti directement le message
[^] # Re: conf
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Accès ssh défaillant suite à migration Debian 9 > 10 (résolu). Évalué à 7.
=> ta configuration n'est pas compatible
=> supprime la ligne 29 de /etc/ssh/sshd_config et ça devrait être bon
# qu'es-ton supposé comprendre ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Question. Évalué à 2.
Sooooo, on est sensé comprendre quoi du dump ? qu'est que tu veut exactement ?
Un truc du genre:
ping1=2
ping2=3
ping3=2
ping4=4
..
? (si oui ça va être inutilisable, charge plutot ton fichier dans un tableau par exemple)
# imapsync
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Backup de mails avec Thunderbird (ou autres ...). Évalué à 3.
imapsync sur un Maildir local ?
# dychotomie
Posté par -=[ silmaril ]=- (site web personnel) . En réponse à la dépêche Next v1.3.0, le navigateur web entièrement programmable. Évalué à 5.
Comment est-ce que le projet peut être ouvert et programmable sans exposer d'interface de programmation de l'application (Application Programming Interface) ??
[^] # Re: C99: Variable Length Array
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message langage C : pourquoi on ne peut pas allouer la taille d'un tableau pendant l'exécution du programme?. Évalué à 2.
Je ne parle pas de l'ajout de-Wvla mais bien du processus qui a précédé de modification du code pour enlever les différents usages de vla. (ie je ne parlais pas d'un programme au sens informatique)
[^] # Re: C99: Variable Length Array
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message langage C : pourquoi on ne peut pas allouer la taille d'un tableau pendant l'exécution du programme?. Évalué à 3.
Autre note: le VLA est possible en C / via C99 mais pas en C++
[^] # Re: Les différentes types d'allocation
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message langage C : pourquoi on ne peut pas allouer la taille d'un tableau pendant l'exécution du programme?. Évalué à 4.
C'était vrai avec l'ANSI C, ce n'est plus exact avec le C "d'aujourd'hui" (C99 & +), qui supporte les variables length array dans certaines conditions (pas dans les structures), ou les extensions GCC qui le supportent quasiment partout.
Après c'est un trade-off en performances qui ne convient pas à Linus pour le kernel par exemple, personnellement je pense que si ses arguments sont surement vrai aujourd'hui ils sont aussi probablement corrigeable, et qu'une facilité et uniformité d'écriture apporte un plus en sécurité mais bon, le kernel est maintenant VLA-free depuis plus d'un an.
[^] # Re: C99: Variable Length Array
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message langage C : pourquoi on ne peut pas allouer la taille d'un tableau pendant l'exécution du programme?. Évalué à 3.
A savoir que l'équipe du kernel linux à "récemment" introduit un programme de suppression de tout code VLA pour des raisons de performances et de sécurité (https://lkml.org/lkml/2018/3/7/621)
[^] # Re: Tableau statique
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message langage C : pourquoi on ne peut pas allouer la taille d'un tableau pendant l'exécution du programme?. Évalué à 5.
ou utiliser un compilateur C datant de moins de 20 ans supportant le C99 (voir mon commentaire) ^