cg a écrit 2086 commentaires

Je me rend compte que je ne sais même pas si mon ordi est sur X11 ou Wayland (j'ai vérifié, et c'est X11).

Ceci dit, il y a des technologies (non spécifiques à Linux) qui ont mis vachement de temps à s'imposer, comme le Ogg Vorbis ou le PNG par exemple.

Peut-être pas un core dev, mais un peu :

[…] I fixed enough mpv Wayland bugs that I eventually gained commit rights […]. Thus, I became the de-facto mpv Wayland developer.

Divagations

Ah ah ok, j'ai compris (enfin je crois), en me remémorant les migrations de nfs3 vers nfs4.

Il y a un truc pas du tout intuitif, c'est que quand tu mets ceci dans le /etc/exports :

/srv/nfsroot        192.168.1.0/255(rw)
/srv/nfsroot/boring 192.168.1.0/255(rw)
/srv/nfsroot/fun    192.168.1.0/255(rw)

Pour y accéder en nfs3, tu montes avec : mount serveur:/srv/nfsroot/boring /mnt
Mais en nfs4 (ou 4.2 ?), il faut faire : mount serveur:/boring /mnt

(c'est ce qu'on voit dans la commande qui force le nfs 4.2 : mount.nfs4: mounting 192.168.1.16:/srv/partagenfs failed, reason given by server: No such file or directory.)

Hypothèse foireuse : il doit exister soit un downgrade en nfs3 en cours de route, soit un mode de compatibilité, qui fait que les ports 111 et consorts sont utilisés quand même.

J'ai vu des infos intéressantes sur le wiki de Archlinux, en particulier au niveau de la mention fsid=0, à laquelle je n'avais jamais trop fait attention.

Chez toi

Au final, je pense que si tu changes le premier champ de la fstab comme ceci :

192.168.1.16:/ /media/partagenfs/ nfs user,rw,x-systemd.requires=NetworkManager-wait-online.service,noatime,intr 0 0

Ça devrait fonctionner avec seulement le port 2049.

Chez moi

Par exemple dans un de mes /etc/exports j'ai :

/vol       192.168.0.0/23(rw,async,fsid=0,crossmnt,no_subtree_check)
/vol/data  192.168.0.0/23(rw,async,no_subtree_check)

et dans /proc/mount :

unserveur.interne.example.com:/data /mnt/boring nfs4 
    rw,relatime,vers=4.2,rsize=1048576,wsize=1048576,
    namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,
    clientaddr=192.168.1.42,local_lock=none,addr=192.168.0.12 0 0

et dans la config autofs :

automountInformation: -fstype=nfs4,async unserveur.interne.example.com:/data

On voit bien que /vol côté serveur devient / côté client, et que je monte le sous-répertoire /data. Ça m'avait surpris lors du passage des serveurs de Debian 8 à Debian 10, il y a quelques années, j'avais totalement oublié.

Chouette !

J'ai revérifié, et sur mon infrastructure, il n'y a que le port 2049 utilisé en TCP pour NFS. Pourtant j'ai bien un processus rpc.mountd :-/. J'utilise nfs 4.2, sur Debian 11 (client et serveur).

Wikipedia nous dit ceci, aussi :

One big advantage of NFSv4 over its predecessors is that only one UDP or TCP port, 2049, is used to run the service, which simplifies using the protocol across firewalls.

Peut-être que quand tu fais le mount, le client nfs fait un genre de sondage pour déduire quelle version utiliser, et choisis NFS4 à la fin ?

Si tu montes l'export directement dans la ligne de commande, avec la version, et seulement le port 2049 ouvert, est-ce que ça fonctionne ? Je suis curieux ;) :

mount -t nfs4 -o nfsvers=4.2 192.168.1.16:/srv/partagenfs /media/partagenfs/
(ou bien)
mount -t nfs4 -o nfsvers=4.2 192.168.1.16:/               /media/partagenfs/
(ou bien)
mount -t nfs4 -o nfsvers=4 192.168.1.16:/srv/partagenfs  /media/partagenfs/

Dans la même logique de faire le rendu principalement côté serveur, il y a aussi stimulus, sous-titré comme "un framework javascript léger pour le HTML que vous avez déjà".

C'est peut-être parce que ces règles sont avant celles qui autorisent le port 2049 :

-A INPUT -p tcp -m tcp --tcp-flags FIN,PSH,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP

Mais du coup je me demande pourquoi ssh (port 22) fonctionnerait.

Excuse mon ignorance, mais que veux tu dire par "booter sans timeout" ? Cela signifie qu'avec autofs tu n'as pas de délais dû à la réponse NFS du serveur ?

Ah pardon, j'ai été un peu vite et ce n'était pas très clair. C'est dans le cas où le serveur NFS est éteint. Le point de montage NFS ne fait alors pas partie de la séquence de démarrage, mais est monté à la demande automatiquement, et démonté lorsqu'il n'est plus accédé.

C'est très pratique.

Ton journal me fait furieusement penser au déplombage des jeux sur disquette des années 80/90 :)

Excellent !

Vu que tu utilises le port tcp 2049, j'imagine que tu cherches à utiliser nfs4, mais est-ce vraiment le cas ?

Selon les versions et les fonctionnalités, il faut parfois ouvrir d'autres ports, pour les appels RPC (le 111 en udp et tcp par exemple, et parfois même des plages de ports). Tu peux forcer la version de NFS avec l'option nfsvers.

Sinon, au passage, pour quand tu auras réglé ton problème de firewall : j'utilise autofs pour monter les exports NFS à la demande. Ça permet de booter sans timeout même si le serveur NFS est éteint.

b/ il faut payer pour récupérer les ordis
c/ une […] mauvaise surprise, c'est qu'ils balancent les données en pâture, au final.

Comment en être surpris ? Il ne faut jamais payer les rançons, et bien sûr que les données vont être revendues/exploitées si elles ont de la valeur. Faut pas croire que les pirates vont tenir parole.

Le processus normal en cas de perte de données, c'est de repartir des sauvegardes, et travailler à empêcher que ça recommence.

Et il y a le même réglage dans Thunderbird pour les serveurs de courrier en retard (Rogntudju).

Et ça marche, tant que Firefox et Thunderbird ne suppriment pas totalement TLS1.0/TL1.1. Avec les versions ESR on est tranquille encore deux ans.

Dans le genre avec HP : sur les systèmes Apollo 6000 Gen9 (des machins très très chers), l'accès Web à l'admin du module réseau requiert Flash. Bon, il y a une alternative par SSH, mais ça fait zarbi de voir du flash dans un matériel comme ça :).

Au pire, l'imprimante peut sans doute s'administrer en http, en clair.
Et pour reprendre ce que dit Polux, avec un proxy https devant, ça fait la blague.

C'est pénible, mais ça reste faisable.

Si on veut taper sur Brother (oh oui, on veut, c'est dredi non ?), on peut parler des formats de toner incompatibles d'une génération à une autre sur une même gamme (donc le stock de toner devient inutilisable après un renouvellement), ou des drivers proprio en 32 bits pour Linux (un peu moins grave quand on a IPP Everywhere).

ah oui bien sûr, suis-je bête !

Avec ldapsearch tu peux utiliser le user uid=kadmin,ou=kerberos,ou=Services,dc=mon,dc=dom pour tester, non ?

mon programme se base sur une séparation complète : plus de google, nulle part

C'est moins sous ton contrôle direct, mais google est hyper présent en ligne, via ses différents services et ses CDN :

• google cloud platform
• recaptcha
• google analytics, bien qu'illégal en France (ou en Europe ?)
• youtube
• les frames "agenda" qui embarquent un encart google agenda
• le service de publicité, bien sûr
• gstatic (caches de fontes/polices entre autres)
• tous tes correspondants qui sont sur GMail et qui permettent à Google de te profiler (ou de faire des recoupements entres les utilisateurs GMail qui te connaissent)

… et sans doute plein d'autres trucs que j'oublie.

Bref, on a pas le cul sorti des ronces, comme on dit :)

C'est vrai que la confusion autour de Perl 6 a fait chuter la popularité de ce langage assez vite. Toutefois, à la fin des années 1990 et au début des 2000, c'était très utilisé, y compris pour du CGI. Et autant dire que pendant cette période chaotique (la folie des dotcom), beaucoup de code a été écrit, et je ne serais pas surpris qu'il en reste un bon paquet.

Dans l'infrastructure dont j'ai hérité au boulot, et je pense que c'est le cas dans beaucoup d'entreprises un peu anciennes (pour mon cas, créée en 1983), il y a toujours quelques scripts d'admin en Perl qui traînent, et qui continuent de fonctionner modulo 2-3 ajustements.

De temps en temps, je me sers de Perl comme filtre sur la ligne de commande, à la place de awk ou sed, parce que je connais mieux la syntaxe et que c'est plus lisible (c'est dire !).

Sur Archlinux, Perl n'a pas l'air très essentiel, j'ai fait un sudo pacman -R perl, et rien de bien méchant n'est sorti. Ceci dit, peut-être que les paquets dépendent des libs plutôt que de l'interpréteur directement (flemme de vérifier).

Ah, tiens, le code de Slashdot (slashcode) est en Perl aussi. Mais, oui, c'est ancien.

Je connaissais pas, c'est chouette.

Et pour un francophone de France, la variante québécoise fait plaisir à lire :).

On dirait que kadmin.local veut écrire, or dans tes ACLs il n'y a que l'autorisation de lire pour le dn kadmin, si j'ai bien suivi :

to dn.subtree="cn=krbContainer,ou=kerberos,ou=Services,dc=mon,dc=dom"
    by dn.exact="uid=kdc,ou=kerberos,ou=Services,dc=mon,dc=dom"
    read by dn.exact="uid=kadmin,ou=kerberos,ou=Services,dc=mon,dc=dom"  <--- là
    write by * none                                                      <--- et là

Peut-être peux-tu essayer avec ldapsearch et ldapmodify déjà, pour tester une lecture et une écriture sans avoir kadmin.local dans l'équation ?

En l'occurrence, le NVMe va chatouiller les 200Gbps, et avec des usages comme le NVMe-oF, oui, ça compte.

Et à ce niveau, c'est la qualité du dissipateur de chaleur qui va faire la différence, et la rouille, ça dissipe mal ;).

Il y a quelques temps, j'étais à une expo d'art numérique, et il y avait plein de "vieilles" bécanes allumées, dont un CPC. Sans surveillance !

Après un bon effort de mémoire et quelques *SYNTAX ERROR*, j'ai programmé une petite boucle infinie qui affichait en zigzag un message d'amour pour ma copine :p.

Le programme a du mourir à l'extinction de l'expo le soir… Mais mon amour, lui, est toujours là <3.

Voilà qui va faire une bonne campagne de pub pour Next Inpact :).

Et une vilaine presse à l'attaquant.

pourquoi ne pas utiliser POP3 pour faire comme du POP3, plutôt que de scripter IMAP

C'est aussi simple d'utilisation, point de scripting là-dedans, je fais getmail -d, ça récupère mes messages et les efface du serveur. IMAP prévoit plein de bonnes choses pour organiser ses messages en dossiers et faire de la recherche côté serveur, mais en aucun cas ne t'oblige à le faire. La fonction de suppression fait même partie du protocole depuis la première version ;).

Après, on peut me considérer comme déviant :p de ne pas pouvoir accéder à mes mails de n'importe où n'importe quand. Perso je trouve que c'est un avantage, comme ne pas avoir de smartphone, par exemple.

En effet, c'est peut-être encore la meilleure solution.

Un autre exemple, alors, très réel. À mon boulot, quand une personne s'en va de l'entreprise, j'archive ses données, puis suppression définitive après 2 ans. Les archives sont un joli tar compressé.

Les données, ce sont :
* le homedir
* la mailbox
* les infos LDAP

De temps en temps, je dois retourner gratter dans la mailbox ainsi archivée pour retrouver une info (car hélas, car les boîtes à lettres sont utilisées comme le stockage fourre-tout/universel favori des utilisateurs, et contiennent parfois des infos qui n'existent nulle part ailleurs).

Donc je untar la mailbox (en maildir), et je peux la lire directement avec mutt -f lerépertoire. Pour faire la même chose avec Thunderbird (par exemple pour mettre la boîte à dispo de quelqu'un qui n'apprécie pas le charme de mutt ^.), je dois passer par un plugin de conversion ou d'import, ou encore remettre la boîte à lettre sur le serveur IMAP, créer un compte bidon le temps de la recherche. Rien d'impossible, rien d'insurmontable. Juste un (petit) regret.

Pour résumer, je trouve ça chagrinant de ne pas pouvoir lire une BAL qui soit dans un format standard directement avec Thunderbird.

J'en profite pour faire la promo de l'extension ImportExportTools-NG, qui m'a servi à l'occasion.

Si je me souviens bien, la communauté Thunderbird s'est prise en main il y a quelques années en montant leur propre fondation (avant ils étaient encore lié fiscalement et avec les outils de développement à la fondation Mozilla).

C'est une histoire mouvementée, on dirait que Thunderbird est plus ou moins revenu dedans : « Thunderbird fait désormais partie de MZLA Technologies Corporation, une filiale détenue à 100 % par la Fondation Mozilla. »

Ce qui ne change rien sur le choix des technos, ils font ce qu'ils veulent hein :)