cg a écrit 1784 commentaires

En effet, kdrive et swiss backup sont deux services différents.

kdrive va te faire des synchros entre appareils, Swissbackup est un stockage objet compatible Swift destiné à y mettre des fichiers.

Je m'attendais à suer un peu pour configurer rclone, mais en fait, le site de Infomaniak t'affiche les commandes à taper et génère même un bout de conf rclone. Par contre ce bout de conf est pour un bucket non chiffré.

Donc infomaniak te crée un premier bout de config rclone.conf, à mettre dans .config/rclone/rclone.conf:

[swissbackup]
type = swift
user = SBI-ABC123
key = dslkdlj43lk
auth = https://swiss-backup02.infomaniak.com/identity/v3
domain = default
tenant = sb_project_SBI-ABC123
tenant_domain = default
region = RegionOne
storage_url =
auth_version =

Ceci te crée un "remote" nommé swissbackup.
Et ensuite, si tu veux des backups chiffrés, tu ajoutes un remote dans ce remote (ici swissbackup:secret) :

[secret]
type = crypt
remote = swissbackup:secret
password = kljferklfjerklfjewrklgjwrefrjrklgwrjgl [etc...]
password2 = fsdfjldfjasdlfjdsl [etc...]


Avec rclone config, ça se fait très simplement, faut répondre à des questions. J'ai ensuite trouvé ces options pour ne pas sauvegarder des trucs inutiles et accélérer les transferts :
rclone --log-file=/tmp/backup-swiss.log sync -Pl --skip-links --transfers=32 --exclude "/.mu/**" --exclude "/.cache/**" --exclude "/.config/discord/Cache/**" --exclude "/.config/discord/Code\ Cache/**" --exclude "/Downloads/**" --delete-excluded /home/moi secret:moi


Les options :

-P : indiquer l'avancement (progress)
-l : convertir les liens symboliques en fichiers normaux (et inversement au restore)
--skip-links : ne pas buter sur les liens symboliques mal transférés.
--delete-excluded : supprimer, côté backup, les fichiers exclus (pratique si on complète la liste d'exclusion après un premier backup.

Avec cette config, ça prend 10 minutes avec des pointes à 40Mbps pour tout scanner et envoyer les changements. Le plus gros du temps est dans mon dossier de mails qui est en maildir et contient environ 70000 petits fichiers.

À la fin, avec rclone-browser, tu peux aller vérifier à la main qu'il y a bien ce que tu crois sur les serveurs distants. Je te recommande de tester avec un petit sous-répertoire léger, ça m'a pris quelques essais de comprendre la syntaxe d'exclude !.

J'ai mis mes options dans un script et hop.

~$ backup-swiss
Enter configuration password:
password:
Transferred: 42.394 MiB / 42.394 MiB, 100%, 142.500 KiB/s, ETA 0s
Checks: 127579 / 127579, 100%
Deleted: 1 (files), 0 (dirs)
Transferred: 78 / 78, 100%
Elapsed time: 8m15.0s


Faut que tu lises Reprendre la terre aux machines.
(la couverture est à chier mais le livre est bien)

Et donc pour les autres pays ce serait :

"croissance" = performances - bien-être.

Ça me semble honnête :-/.

la version de ton linux est vieille, peut-etre qu'il ne part pas en NFSv4 mais en v3 ou bien certaines options ne sont pas possibles justement à cause de son age

On dirait bien que tu as mis le doigt dessus : User Xattr Support Finally Landing For NFS In Linux 5.9 (article de 2020)

Merci, mais qu'as-tu choisi par exemple (si ça te semble honnête de l'écrire sur le net :)) ?

Le coffre en banque, ça semble solide comme offre et accessible à la famille en cas de décès. C'est relativement cher (140€/an pour ma banque), mais c'est offline, donc immune à pas mal de type d'attaques (j'ai pas de frère jumeau par exemple).

Pour 10€/an je peux avoir un bitwarden hébergé aux états-unis (chez Azure). Et ça donne des sous à un logiciel open-source (il semble y avoir plusieurs licences, pas certain que ce soit libre). Je peux y stocker seulement mes clés de backups, ou migrer mon Keepass dedans. Mais en cas de décès, ben personne n'aura accès à mes docs.

La solution de faire une enveloppe avec la clé genre chez de la famille pourrait être pas mal. Peut-être qu'un notaire ferait l'affaire aussi, dans le testament par exemple (quelle matinée sinistre :D).

Bon faut que je fasse mon choix avant que les flammes n’atteignent mon laptop :)

Dans la même veine, tu peux avoir un réglage genre "écologique/économique" au niveau du pilote dans Cups (et peut-être même un mode brouillon dans LibreOffice ?), qui va griser tous les noirs.

Il me semble que la première versions stables d'une série est égale à la version dev immédiatement précédente (2.6.0==2.5.9 en terme de code, mais pas en terme de support).

The older style slapd.conf(5) file is still supported, but its use is deprecated and support for it will be withdrawn in a future OpenLDAP release

Ça fait en effet plusieurs versions qu'on lit ça, et j'avoue que je suis un peu inquiet :-). Avoir la conf, les schémas, les ACLs, dans le LDAP lui-même simplifie pas mal la distribution des changements de conf dans un environnement répliqué. Mais en même temps, c'est sans doute plus facile de se couper l'herbe sous le pied.

Tu pourrais dire merci quand même (mais j'ai décroché avant la fin de ton message).

C'est évoqué rapidement dans les commentaires, mais je voulais savoir comment vous faites pour stocker la clé de chiffrement (ou déchiffrement si asymétrique), sans que ce soit dans l'ordi ou le même endroit que l'ordi protégé ?

J'ai quelques pistes d'après des articles lus ici et là, mais je voulais un retour de "terrain".

Dans l'esprit de ne pas tirer sur le messager, j'essaye de raconter une histoire (drôle ou pas) quand j'ai des démarchages téléphoniques. Ces gens se font tellement chier et jeter toute la journée, ils méritent bien un petit moment ubuesque ;).

Ben en elle-même toute seule c'est assez bof, en effet. Mais couplé avec Zeroconf ou du SMB Browsing, ça permet à des ordis (et des imprimantes !) d'avoir des IPv4 et de communiquer, sans pour autant avoir un serveur DHCP ou une IP configurée à la main.

Mais j'avoue que les seules fois où ça m'a servi, c'est pour faire un diagnostic : s'il y a une IP 169.x configurée, c'est que l'accès au réseau est pété.

Ça m'a semblé simple, et j'ai peu de données (moins de 50Go), je me suis lancé !
Donc j'ai maintenant un backup distant (mais chiffré avant le transfert), avec rclone.

Merci encore pour ce journal qui m'a motivé !

Je vois d'ici tous les bouts de code qui regardent si le 1er octet d'une adresse est 127 pour savoir si c'est une adresse locale :).

Après, on passe à la classe APIPA ?

… les opérateurs distribuent les blocs comme des petits pains. Je loue deux accès internet pro, j'ai deux /29 avec (dont je n'ai pas forcément besoin).

Je loue une demi-baie dans un DC, j'ai un petit subnet /27 avec aussi. C'est cadeau, on peut pas le refuser. Mais j'ai besoin d'une seule IP publique.

Résultat, j'ai 29+8+8=46 adresses gâchées rien que pour moi. Et quand on le fait remarquer aux commerciaux, c'est "ah oui, tiens".

Peu importe, peu importe… Pour la latence, les ondes radios, c'est le must, monsieur !

Extrait de l'article Spread Networks de Wikipedia:

According to a WIRED article, the estimated roundtrip time for an ordinary cable is 14.5 milliseconds, giving users of Spread Networks a slight advantage. However, because glass has a higher refractive index than air (about 1.5 compared to about 1), the roundtrip time for fiber optic cable transmission is 50% more than that for transmission through the air. Some companies, such as McKay Brothers, Metrorede and Tradeworx, are using air-based transmission to offer lower estimated roundtrip times (8.2 milliseconds and 8.5 milliseconds respectively) that are very close to the theoretical minimum possible (about 7.9-8 milliseconds).[4]

Si le sujet vous intéresse, il y a le livre docu-fiction Flash Boys (de Michael Lewis) sur le trading haute fréquence, qui devrait satisfaire les plus geeks. Il y a aussi les bouquins d'Alexandre Laumonier (tomes 6, 5, et 4, le tome 6 étant à mon sens le plus intéressant, car il retrace l'histoire de la bourse ces derniers siècles. Ceci dit le tome 4 commence par une vente au enchères paltipante). Le sieur Laumonier s'est passionné pour les liaisons utilisés par les traders haute-fréquence, et même en trouvant que c'est le mal, j'avoue que c'est de la belle ouvrage, ces réseaux.

Bref testez vos temps de restauration, ça peut être important si un jour vous souffrez d'un incendie ou grosse perte de données.

Bien vu, c'est un des points qui me fait hésiter entre un stockage "cloud" et un serveur dont je suis le propriétaire. Le prix plaide pour le cloud, sans hésiter (sur les devis que j'ai eu c'est 3 à 5 fois moins cher).

Par contre, quand tu as ton serveur dans un data center pas trop loin, tu peux louer une voiture et aller le chercher pour faire les restaurations sur ton LAN directement (le fameux wagon rempli de bandes).

(Et puis j'aime bien l'idée de louer un van en mode agence tous risques pour trimballer les backups, j'entends presque la symphonie héroïque rien qu'à y penser :D)

Merci pour ce chouette journal !

Pour ma part, j'ai une exigence et un besoin supplémentaires.

Je veux chiffrer les données avant de les envoyer chez un tiers. Ça se fait avec duplicity ou ses dérivés par exemple, qui vont gérer le transfert vers un hébergeur (j'avais trouvé Backblaze qui a une offre tarifaire aussi claire que celle de Infomaniak). Bien sûr, avec ça, pas de recherche, pas de partage, juste des blocs de données inexploitables sans la clé. On perd donc en fonctionnalités par-rapport à ta solution.

En faisant une sauvegarde complète par semaine et des incrémentales chaque jour (ou 1 full/mois et 1 incrémentale/semaine), ça se passe bien. En tout cas, sur un petit volume de données, pas trop de problèmes.

Par contre, sur un gros volume, c'est plus compliqué. Refaire une sauvegarde complète par mois ou par semaine quand on a 200To de données, ça consomme de la bande passante et ça prend du temps ! Il semble exister un moyen de "combiner la sauvegarde complète et les incrémentales (synthetic backup) côté serveur, mais je n'ai pas bien compris comment ça fonctionne.

Pour compléter, un mélange de transfert de script et d'exécution :

echo "/opt/lantiq/bin/sfp_i2c -i11 -s ${pass}" | ssh ordi_distant "ash -"

Pour passer un script plus long, c'est peut être utile d'ajouter base64 et base64 -d de part et d'autre du ssh.

Oui, mais l'un n'empêche pas l'autre. Assainir, ce n'est pas seulement enlever les injections malicieuses, mais aussi vérifier les formats (genre un mail n'est pas un code postal). Peut-être que je me trompe de mot :-/.

Ah, tu utilises Wayland, xrandr ne va donc pas être très utile.

Si tu peux lancer une session Xorg (sans Xwayland) pour voir si les moniteurs sont bien détectés et si xrandr a quelque chose à dire de plus intéressant…

Un bête fichier HTML suffit, un simple script PHP pour enregistrer les données saisies (et éventuellement envoyer un mail), et tu auras […] un truc fiable

… qui va être dynamique (responsive), qui supporte bien l'Unicode et les modes de saisie non occidentaux, les balises ARIA, encode bien le mail, filtre les bots, assainit les entrées… Quelques minutes ?

Ça ne semble pas être un très bon conseil ;).

Je suis venu ici pour dire la même chose :). Faut viser le long terme dans ton cas, et maintenance minimale. Le WP du module 1 clic se met à jour tout seul, et les certifs Let's encrypt sont inclus.

Mais on peut difficilement augmenter la résolution d'un écran via le logiciel, on utilise déjà du logiciel pour les appareils photos, mais à un moment pour faire mieux, il faut plus de pixels.

Par contre on peut gruger le cerveau, et augmenter (ou conserver) la résolution apparente. En image avec du subpixel rendering par exemple. En audio avec des filtres psychoacoustiques qui enlèvent les détails par-rapport à ce que le cerveau tolère le mieux. Des progrès incroyables ont été faits ces 20 dernières années dans ces domaines.

Pour l'anecdote, dans les années 80/90, mon ordi 8 bits avaient un mode "haute résolution 2 couleurs" et une autre "basse résolution 16 couleurs". Les démomakers arrivaient, en changeant de mode très vite (en torturant le gate array du pauvre ordi), à faire des images haute résolution en 16 couleurs.

Je voulais aussi dire bravo, c'est super bien, ça donne envie de s'y mettre !

(bon j'aurai mis un logo Slackware pour éviter l'anachronisme mais bon :D)