cg a écrit 1449 commentaires

Mais il est déjà mort !

---

met de l'huile dans les gonds et sort

avec l'excellent tcpdump, et ça a donné le non moins excellent Wireshark.

Ruby On Rails va encore plus vite :

$ time curl -Ss https://linuxfr.org/nodes/127931/comments/1892762|grep -o "la liste des carrés des entiers jusqu'à 1 million."
la liste des carrés des entiers jusqu'à 1 million.

real    0m0.105s
user    0m0.022s
sys     0m0.010s

Vraiment formidable !

D'ailleurs encore merci pour ton excellente série sur le sujet.

Pareil, je suis sur swissbackup, chiffré côté client par rclone pour mes backups offsite. Si ton borg fait déjà le chiffrement, tu auras une configuration vraiment très simple.

KDrive est un service de synchronisation automatique pour avoir ses données accessibles sur plusieurs appareils, ce n'est pas tellement adapté pour des sauvegardes.

Voir ici pour la différence entre les deux : https://www.infomaniak.com/en/swiss-backup .

Backblaze est à peu près au même tarif que InfoManiak, sinon (5€/To/mois en gros).

Hello, alors non, ça ne marchera pas :(.

Les zones DNS reverse sont des zones "normales". Quand une requête DNS a lieu, le resolveur va demander "qui est le NS pour bbb.aaa.196.78.in-addr.arpa, de la même manière que pour un nom comme www.perdu.com.

Concrètement :

$ dig ns bbb.aaa.196.78.in-addr.arpa

; <<>> DiG 9.18.3 <<>> ns bbb.aaa.196.78.in-addr.arpa
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;bbb.aaa.196.78.in-addr.arpa.   IN      NS
;; AUTHORITY SECTION:
197.196.78.in-addr.arpa. 900    IN      SOA     ns2-rev.proxad.net. hostmaster.proxad.net. 2003061901 21600 3600 1209600 86400

et en version courte :

$ dig ns 197.196.78.in-addr.arpa +short
ns2-rev.proxad.net.
ns3-rev.proxad.net.

Et tu n'as pas la main pour dire d'utiliser ton serveur DNS au lieu de celui de ns2-rev.proxad.net.

Pour pouvoir le faire, il faudrait que Proxad accepte de faire une délégation d'une zone reverse en a.b.c.d/32 (seulement ton IP publique quoi). Bonne chance ;). S'ils acceptaient, tu pourrais alors être autoritaire sur la réponse.

Bref, c'est pas gagné !

J'ai l'impression que ce bricolage est mon dernier espoir d'apparaître "propre" vis à vis des autres.

Même si tu avais un reverse propre, rien que le fait d'arriver d'un bloc d'IP de connexions résidentielles suffit à passer pour un spammeur. Il y a pas mal de retours d'expériences là-dessus sur linuxfr.

Salut,
j'ai peut-être pas tout saisi, mais voici ce qui me semblerait possible avec Bind.

Est-ce que j'aurai un intérêt à gérer sur mon bind local la zone example.com ?

Oui, sans doute. En tout cas ce n'est pas gênant.

Tu as une zone example.com, une zone marue205.example.com, des zones reverse par exemple 0.168.168.in-addr.arpa). Ce qui est dans marue205.example.com n'existe qu'en interne.

Un intérêt de gérer aussi example.com en interne, c'est que tu peux dire à Bind de renvoyer des IPs différentes selon que le demandeur provient d'un réseau ou un autre. Ça s'appelle une vue.

Par exemple, pour mail.example.com, tu renvoies 192.168.1.12 si la requête vient de dedans, et 83.x.y.z si elle vient d'Internet. En pratique, ce sont des zones différentes, qui sont servies en fonction de l'origine de la requête.

(Sous réserve des offres OVH) Et pour enfoncer le clou, cette zone "publique", tu peux sans doute l'envoyer depuis ton serveur primaire sur un serveur public d'OVH qui sert de secondaire (ou de primaire public). Ainsi, tu gères tes zones (internes et publiques) en interne, et OVH s'occupe de rendre accessible tes enregistrements publics.

Et si c'est le cas est-ce le nom DNS de mes machines locales resterait marue205 ou bien marue205.exemple.com ?

Ça dépend de la configuration du résolveur.

Si tu as dans le resolv.conf :

search marue205.example.com

alors tu peux faire ping totor, ce sera complété en totor.marue205.example.com. (voir le manuel de resolv.conf)

On va prendre un exemple simple :
écrire la liste des carrés des entiers jusqu'à 1 million.

~$ time echo "la liste des carrés des entiers jusqu'à 1 million."
la liste des carrés des entiers jusqu'à 1 million.

real    0m0.000s
user    0m0.000s
sys     0m0.000s

Vala vala ;)

Un pentester touche sa bille

Tsss, les vrais pentesters se servent de plumes.

J'ai cette config en place, sur du Debian 10 puis 11, depuis 2-3 ans, sur 3 modèles de laptop différents.

L'idée générale est de forcer Xorg à utiliser la carte NVidia, et configurer la carte Intel comme un chemin vers la sortie vidéo, avec les extensions RandR. Comme c'est sur des laptops utilisés pour de la 3D, on veut toujours utiliser le GPU NVidia.

Config Xorg globale : /etc/X11/xorg.conf.d/50-optimus.conf

Section "Module"
    Load "modesetting"
EndSection

Section "Device"
    Identifier "nvidia"
    Driver "nvidia"
    BusID "PCI:1:0:0"
    Option "AllowEmptyInitialConfiguration"
EndSection

Configuration des sorties à l'ouverture de session et dans lightdm : /etc/X11/Xsession.d/90-optimus et /usr/local/bin/optimus.sh

l'un pourrait être un lien symbolique vers l'autre ou le même fichier, mais dans mon cas j'avais besoin de séparer les étapes.

#!/bin/sh
xrandr --setprovideroutputsource modesetting NVIDIA-0
xrandr --auto

Appel du script depuis lightdm : /etc/lightdm/lightdm.conf

[LightDM]

[Seat:*]
display-setup-script=/usr/local/bin/optimus.sh

[XDMCPServer]

[VNCServer]

Le wiki de Archlinux a pas mal d'infos sur le sujet, mais c'est parfois compliqué de s'y retrouver.

Bien sûr certains éléments peuvent varier, comme le BusId pour la carte NVidia.

Pour utiliser un écran externe branché après l'ouverture de session, on doit lancer /usr/local/bin/optimus.sh manuellement (mais peut-être qu'avec un environnement de bureau ça se fait tout seul). Sinon en branchant l'écran externe avant de se loger ça fonctionne pour nous.

Chaque mot de passe reste le même tant que les données la fiche ou le mot de passe maître saisi au lancement du logiciel ne sont pas modifiés.

Ça me semble dangereux, non ? Au changement de mot de passe maître, les mots de passe calculés changent… Et donc il faut les changer sur tous les sites concernés ?

Étant utilisateur de gestionnaire de mot de passe avec quelque chose comme ~350 entrées au boulot, et ~80 en perso, je ne me vois pas jongler avec ceci.

Il y a peut-être un cas d'usage à dériver des mots de passe à partir d'autres infos (pour une paire de clés privée/publique, je vois bien), mais j'avoue que ça m'échappe dans ce cas :-/.

Au final, ça me rend vraiment curieux de savoir ce qui a mené à mettre ce comportement en place.

Ceci dit, j'ai sans doute parlé un peu vite : d'après ce graphique et Wikipedia, la proportion de pourriel aurait baissé de 95% à environ 50% ces 10 dernières années.

Après, va savoir si c'est une mesure défensive ou une mesure biaisée qui a fait baisser le chiffre :D.

Hello,
je ne suis pas certain de comprendre le stockage des mots de passe :

• Le logiciel génère des mots de passe qui ne sont pas enregistrés, mais calculés […]
• Mot de passe généré mais non stocké […]
• Mot de passe stocké dans la base […]

Quand on change de mot de passe maître, on peut toujours déchiffrer ses mots de passes ?

Vu que tu as l'infâme combo Intel/NVidia Optimus, ça me semble utile de décrire comment est configuré le passage d'un GPU à un autre.

Par exemple, je force XOrg à toujours utiliser la carte NVidia, la carte Intel ne sert qu'à passer les pixels à l'écran.

Il existe d'autres méthodes, et peut-être même que tu es sur Wayland ?

J'ai compris que la remarque de Glandos est plutôt d'accepter les messages en provenance de serveurs qui ne soient pas des poids lourds du Net.

Car malgré qu'on se plie à SPF, DKIM, DANE et que sais-je, les gros relais de messagerie rejettent toujours les petits relais, ce qui pénalise l'auto-hébergement, entre autres.

Pourtant, le volume de spam ne réduit pas tellement…

Je vais me contenter de cette question :) :

Est-ce qu'on peut créer et peupler un proxmox standalone et plus tard, en faire un cluster en conservant sa config et ses VM/containers ?

Oui. Par contre passer de 2 à 1 nœud est moins bien vécu.

Je ne comprend pas vos remarques sur la config réseau et Debian. On peut gérer le réseau à partir de /etc/network/interfaces sans soucis, la config n'a pas changé depuis 20 ans, modulo quelques modifs mineures (par exemple, on peut maintenant mettre address 192.168.1.1/24 au lieu de préciser le netmask dans une ligne séparée).

C'est même mieux : si NetworkManager est installé, il va ignorer les interfaces déclarées dans /etc/network/interfaces, ce qui permet d'avoir par exemple l'Ethernet filaire géré par le fichier de config et le Wifi géré par Network Manager.

Au final, c'est plutôt bien fait.

Et si jamais Network Manager s'incruste en tant que dépendance d'un environnement de bureau, il suffit de le désactiver. Tout se passe très bien, je vous assure ;).

S'il fallait râler, je dirais que le truc qui marche mal, c'est le redémarrage de la config réseau (ifdownup -a ou systemctl restart networking) quand on a changé des trucs dedans, mais de mémoire c'est pété depuis que j'utilise Debian (depuis le début quoi :D). Je n'ai pas essayé avec les units type link à la sauce systemd, mais mon petit doigt me dit que ça règle le problème.

Il faut préciser que la décision concerne le droit États-unien. Ceci dit ça reste une bonne nouvelle !

Tu peux passer le circuit électrique dans un simulateur comme ngspice, mais pas exécuter un firmware. Pour ceci, il faudrait un émulateur (ou une machine virtuelle) du processeur ciblé.

Je ne sais pas s'il existe des logiciels de CAD qui permettent de tester le code d'un firmware par-rapport au circuit en cours de conception.

Bonjour,
est-ce que l'outil hplip est installé ? C'est un genre de gestionnaire d'imprimantes et scanner pour les machines HP. Ça gère plus ou moins bien les drivers pour les imprimantes HP.

Il faudrait préciser comment l'imprimante est installé, sur quelle distribution/version, etc…

Comme déjà mentionné, avec Kicad, tu peux faire le schéma, la carte, les fichiers de fabrication. Le logiciel n'est pas super facile de prise en main, mais c'est assez efficace une fois la logique comprise.

Avec ngspice, tu peux simuler le circuit, mais pas le firmware.

Si ton microcontrôleur est un AVR (Arduino ou pas), à une époque on pouvait le brancher en mode debug avec avr studio (via Wine) et contrôler l'exécution pas à pas, c'est peut-être encore possible. Il existe peut-être la même chose pour PIC.

Concernant SPF et DKIM dans les filtres anti-spam, il est brièvement mentionné dans la documentation de SpamAssassin qu'avoir une config correcte ne doit pas trop favoriser le message, car les spammers s'ajusteraient assez vite si c'était le cas.

(et le plaisir du moinssage car je ne suis pas "gentil" à montrer les mots qu'on tort)

Tu es précisément en train de tordre les mots en […]

… confondant tordre avec tort ;).

Dans ce contexte de venir jouer sur le sens des mots, je trouve que c'est cocasse.

Oui tout est relatif ;). Beaucoup d'entreprises changent leurs serveurs tous les 3-5 ans. Là ils ont fonctionné presque 15 ans en continu.

Et puis le vieux des uns fait le neuf des autres ! Ces serveurs sont replacés par des machines qui ont elle-même 4-5 ans justement, achetées d'occasion.

Au sujet de Grenoble : si tu es intéressé, il y a des gens qui m'ont contacté et semblent être à moins de 30km de Grenoble. Peut-être est-ce possible de faire cotransport ?

Si besoin, j'ai quelques serveurs à donner.

Je me demande, vu que la liaison Internet est un FTTH grand public, avec sans doute peu d'IPs publiques, comment ça se passe niveau attribution/partage de l'IP/des IPs ? Il y a un proxy redirecteur en frontal ?