cg a écrit 1419 commentaires

L'éternité c'est long, surtout vers la fin. (Kafka via Woody Allen)

Le schéma n'est pas vraiment limpide et laisse penser que la machine fait routeur, mais d'après le texte, la machine n'est pas configurée pour faire le routage (forwarding) des paquets.

C'est donc bien une machine de rebond (jumphost), qui demande d'ouvrir une session (même de manière automatique et non interactive avec des clés SSH) sur cette machine pour aller de l'autre côté.

Comme ça, je dirais qu'un bastion moderne va avoir de base des fonctions type tracabilité forte… Mais la différence entre bastion et jumphost se discute :).

Oui, c'est tout à fait exact, et on peut imaginer que l'audit a été bien fait, s'agissant d'un service public qui a probablement eu de l'aide de la part de l'ANSSI.

Dans le doute, on a quand même changé nos mots de passe dans ma famille. On attend encore l'option MFA…

De mes souvenirs (~ 2017), Confluence était pas mal. L'intégration avec Jira et le fait d'avoir des éléments sémantiques et dynamiques (les todos, les checklists, les refs de ticket, les requêtes) en faisait un truc assez unique. Maintenant y'a la même chose dans Notion, Google Docs et sans doute d'autres wikis…

Si tu aimes les wikis et Drawio, alors sache que WikiJS et Bookstack gèrent nativement Drawio (et donc indirectement Mermaid). Bookstack a ceci de particulier qu'il impose de ranger sa doc comme une bibliothèque : étagères, livres, chapitres, pages. Ça semble contraignant mais ça force à se structurer. Du bonheur pour les bordéliques, perso j'aime bien :D.

Hello,

• Fichier de 10.74 Gigaoctets -> environ 85 à 100 Gigabits sur le réseau (selon la quantité "d'emballage réseau")
• 85 Gigabits en 3 minutes et 24 secondes, ça fait 0,42 Gigabits par seconde, soit 420 Megabits par seconde, soit environ tes 49,95 Mégaoctets par seconde qu'indique rsync (Mégaoctets == MBps et non Mégabits Mbps !).

On peut déjà en déduire que l'interface n'est pas en 100Mbps à cause d'un mauvais câble par exemple :).

• Le maximum théorique que tu peux avoir sur un lien GE va être de 150 Mégaoctets (1000 Megabits). En pratique c'est moins car les protocoles réseau prennent de la place aussi.
• D'expérience, avec rsync+ssh ce n'est pas forcément aberrant comme résultat. Essaye avec un outil type speedometer ou iperf pour voir si ça fait pareil. Voire même avec un truc tout simple comme speedtest.net si tu as une bonne connexion Internet (pas forcément simple sur un serveur).
• Enfin, dans la majorité des configs, LACP ne va pas te permettre de saturer les deux liens de l'agrégat avec une seule connexion : une connexion TCP va rester sur un seul lien. Si tu veux faire de la répartition de charge au niveau paquet et non connexion, il faudra changer le mode de répartition des paquets au niveau du bond (le mode round-robin), mais ça peut mettre le bazar si les switchs le gèrent mal, il faut bien tester avant.
• Pour contrer ce dernier cas, tu peux essayer aussi de lancer 10 transferts en parallèle avec rsync, netcat ou iperf, tu auras ainsi plus de chance d'arriver à saturer les deux liens GE.

Bon courage !

Hello,

en fait c'est surtout cette question :

Pourquoi un tel système n'est-il pas universel ? Je me le demande bien.

qui m'a faire répondre "mauvaise idée". Dans un cadre individuel, si tu es conscient des limites de ton système, tu fais bien ce que tu veux :p. Je suis pas blanc-blanc non plus, je ne vais pas donner des leçons :D.

Mais j'y avais repensé, parce que je trouvais mon argument technique du sel un peu pourri…

Je me suis dit qu'on pouvait le voir dans l'autre sens : l'apex est le sel, et le "mot de passe" est réutilisé sur tous les sites. Sauf que dans ce cas, ton sel est très simple à connaître (typiquement ebay, linuxfr, impots…). Reste le mot de passe qui est costaud, mais réutilisé partout.

Si tu n'as pas de bol, et que tu tombes un jour sur une machine avec un keylogger ou un logiciel espion quelconque (genre chez le neveu qui rulez sur le darknet), ton mot de passe maître se retrouve compromis et le générateur n'est pas protégé par de la double authentification. Tu as donc tes fameuses 3/4 heures pour rechanger tes mots de passes partout, en compétition avec les amis de ton neveu. 3, 2, 1, partez ! Certes tu n'as peut-être pas le poids de Mark Zuckerberg, mais par contre ce sont tes données et c'est ça qui t'importe je crois :D.

Avec la MFA active partout où c'est possible, c'est moins un problème, ceci dit.

À moins de tracer/observer les paquets directement sur les switchs, tu ne peux pas faire ça au niveau 2.

Question bête : est-ce que tous les switchs qui ont un agrégat supportent bien LACP ? Ça pourrait être une piste. Es-tu certain que c'est bien configuré ET actif sur les serveurs ?

Pour déboguer, tu peux essayer ça :

• activer LLDP pour que les switchs et les autres machines remontent l'info de qui est branché sur quel port ;
• si tu peux, essaye de débrancher (ou désactiver de façon logicielle) un des deux câbles d'un trunk.
• regarder les compteurs d'erreurs sur les machines et les switchs, (avec la commande ethtool -S bond0 par exemple sur Linux).

Ça devrait t'aider à passer une nuit blanche : https://neal.fun/password-game/

Merci pour le journal. Sans doute que ce premier outil t'as fait réfléchir à quelques problématiques, et te feras réfléchir à d'autres questions, et c'est super !

Mais en vrai, c'est une mauvaise idée. D'une manière générale, créer sa solution cryptographique sans très bien connaître le domaine mène à une situation risquée voire potentiellement catastrophique.

Le minimum, si tu calcules ton mot de passe, c'est d'ajouter un sel différent pour chaque mot de passe, ce qui revient à avoir un mot de passe maître qui change pour chaque mot de passe, et du coup ton logiciel ne fonctionne plus, sauf si tu stockes ces mots de passe maîtres… dans un gestionnaire de mots de passe :D.

Bref, utilises un gestionnaire agnostique du navigateur (Bitwarden, Lastpass…), mais qui s'intègre bien aux navigateurs et aux mobiles, et est dispo en https pour quand tu es "pas chez toi". Active la MFA pour accéder à ce coffre électronique et tu n'auras plus de problème.

On conseille souvent de changer ses mots de passe régulièrement

Plus tellement, on conseille surtout d'utiliser l'authentification multiple dès que possible¹. Webauthn le permet, TOTP a abaissé la barre en terme de facilité d'usage et de coût (avec Authy ou Google Authenticator), et les passkeys sont le véritable équivalent des paires de clés SSH pour le web. Un très grand intérêt de la double authentification est que le vol du mot de passe n'est pas suffisant pour accéder au compte et te laisse le temps de changer le mot de passe s'il s'avère que ton mot de passe a vraiment été divulgué/trouvé.

Merveilleux, merci !

J'ai donc pu faire ça et retrouver le son de mon enfance¹ :

$ export LD_PRELOAD=/usr/lib/pulseaudio/libpulsedsp.so
$ bash
$ cat aenvoyerdansdsp | tee /dev/dsp

Pour les curieuses, j'ai mis le fichier ici: https://pastebin.com/raw/8frQMHTy, on peut donc faire :

LD_PRELOAD=/usr/lib/pulseaudio/libpulsedsp.so bash -c 'curl https://pastebin.com/raw/8frQMHTy | tee /dev/dsp'

Est-ce voulu que les nombres pairs terminant par 0 passent ce premier grep ? Seul l'Auteur pourra nous le dire :)

Fût un temps, on pouvait faire cat un_truc > /dev/dsp, et ça envoyait du son. J'ai conservé de cette époque un fichier de PCB Kicad qui sonne bien, mais j'ai plus le /dev/dsp. Quelqu'un·e sait comment faire pour avoir le même comportement, ou un émulateur ?

De quoi tu te mêle, vil prolétaire ? Cette conversation est entre riches qui regardent des images 12K sur des écrans 5' polis comme des miroirs.

(ça va, mon CPU de 2015 supporte SSE4.2 et AVX2, ça devrait bien se passer pour moi)

Et aussi que cette attaque ne fonctionne que s'il n'y a pas de pincode ou que l'attaquant connaît le pincode.

À priori LUKS est aussi concerné, non ? Une autre des protections possible est le chiffrement des paramètres, qu'aucun bootloader ne supporte.

C'est un format qui est peut-être arrivé un poil trop tard dans la bataille.

Probablement ! D'ailleurs on voit régulièrement que ce n'est pas forcément le "meilleur format technique" qui reste ou est utilisé. Le Vorbis ne s'est jamais vraiment imposé face au MP3/MP4, ni le PNG face au GIF (ça a fini par venir, mais ça a été long), ou encore le GIF animé face à MNG.

Ou encore Minix dans le domaine des noyaux :D.

Je me demande même si, une fois le support dans les navigateurs ajouté, il n'y aurait pas moyen de renvoyer automatiquement du jxl là où du jpeg est demandé pour économiser de la bande passante sans avoir à adapter les sites webs ("migration" sans avoir à rien faire…)

Les CDNs le font déjà avec les GIF et les PNG, qui sont convertis en Webp à la volée, ça me semble tout à fait réaliste pour JPEG.

Elles sont citées dans la conférence polémiste woke du FOSDEM : Where have the women of tech history gone?, en Anglais mais parlé par une française, facile à suivre :).

Et la fabrication de la RAM (core memory) était souvent faite par des femmes. Ce sont des pièces de broderie tout à fait exceptionnelles !

Dans ma classe de seconde dans un lycée technologique (mécanique et électro-tech), il y avait une fille, qui a demandé à changer de classe pendant le premier trimestre. Pourtant les dessins de bite à la craie sur sa blouse d'atelier, c'était de l'humour fin, rien de méchant.

Mais j'imagine très bien la même chose dans une école d'art. Juste la bite serait mieux dessinée.

À moins que ce soit la sorcière qui soit qualifiée de bonne, c'est abusif comme forme :D.

L'écriture inclusive ne s'utilise en général que pour les humain·es, pas pour les autres trucs qui peuvent avoir un genre grammatical ou un sexe biologique. (donc l'écriture inclusive est spéciste et hostile aux tabouret·tes :p).

Noirs (minorité numéraire)

punaise quel lapsus ! Numérique, minorité numérique.

Hello,

merci pour ta longue réponse, et encore une fois pour ton reportage.

Concernant les contrats sociaux, il y en a des explicites et des tacites. Ici, le tacite est que les ordis c'est pour les mecs. Je propose de rendre le contrat explicite, et en forçant artificiellement pour défaire une nature qui s'est installée. C'est parce que je ne crois pas à la concurrence libre et parfaite, que les filles sont élevées pour être sages et les garçons pour prendre des risques, et que finalement la déconstruction demande autant d'énergie que la construction. Donc oui c'est artificiel et politique, c'est du féminisme.

Aussi, là je parle des femmes, mais pas des Noirs, par exemple. C'est parce qu'en Europe, ben il y a moins de Noirs (minorité numéraire) que de femmes (minorité de représentation), et que là pour le coup, retrouver moins de Noirs semble plus compréhensible.

Il faut garder en tête que la population humaine est 50/50 femme/homme. Dès lors, souhaiter une présence plus équilibrée dans un milieu pro spécifique¹ n'a rien à voir avec l'extermination de minorités gênantes (Juifs, Roms, homos…) ou la mise au goulag d'opposants politiques, je crois que tu t'es laissé emporter par le sujet :).

Je termine avec une petite phrase choc : la police est plus paritaire que les sysadmins !

Bonne semaine !

Alors je n'ai pas forcément de solution (en même temps je n'organise pas de salon :D).

En regardant la liste des gens qui parlent, sur la lettre A on trouve 12% de femmes, c'est sans doute similaire sur les autres lettres. Tu peux imaginer que l'orga décide que l'année prochaine, ce sera 20% minimum, puis 25%, puis 30%, etc… jusqu'à atteindre peut-être pas la parité, mais une masse critique.

Parce qu'il y a certes les femmes qui sont rares dans ces métiers, mais aussi les femmes intimidées, qui se sentent incapables d'affronter le club des mâles détendus du slip car entre eux, et donc de se déclarer comme intervenantes.

Sur 900 intervenant·es qui viennent de toute l'Europe, trouver 450 femmes qui ont le niveau pour tenir une causerie au FOSDEM, c'est atteignable et c'est réaliste. Comment les faire venir plus nombreuses ? En communicant sur le fait que le salon veut avoir une représentation plus mixte, pour stimuler l'envie et faire jouer l'émulation chez les jeunes filles qui adorent coder mais vont faire une filière littéraire par conformation.

Ce n'est certainement pas facile, mais c'est après tout un critère parmi plein d'autres dans l'organisation d'un événement, et on peut choisir de le prioriser ou pas.

Ah merci je comprend !

Question de béotien, est-ce que dans ces chiffres le capital comprend la valeur des infrastructures (le matos, quoi) ? Ou bien c'est vraiment que les valeurs financières ?

Oui j'avais noté :). C'est d'ailleurs ce qui m'a fait remarquer que la photo avec la plus grande proportion de femmes (environ 30%) est celle d'un foodtruck. Et sur cette photo, les femmes sont au service, pas sur la scène.

« Où sont passées les femmes de l’histoire technologique ? », un sujet accessible à de très nombreux médias, et tout à fait dans l’air du temps pour vendre du papier

C'est chouette d'avoir mis cette conf en avant, mais pourquoi dire "dans l’air du temps pour vendre du papier", plutôt que "dénoncer grave l'invisibilisation systémique des femmes, dans un milieu fortement masculin et peu accueillant pour les femmes, problème encore d'actualité ?".

Je parlais de ça justement l'autre soir avec un ami, et j'ai compté les personnes de genre féminin que j'ai pu côtoyer dans mon métier de sysadmin. J'ai pu repenser à 4 personnes, sur environ 150-200 au cours de 20 ans de carrière. Et de ces cinq personnes, il y en a une que j'ai embauchée moi-même.

Dans le développement, c'est quand même beaucoup moins marqué, mais on est encore très très loin d'une parité.

Bien sûr, on a pas besoin de s'excuser d'être un homme, mais les organisateurs et organisatrices des événements peuvent mettre en place des règles pour rétablir artificiellement une parité, le temps que cet équilibre devienne naturel.

Tout cela n'enlève rien à la qualité de l'événement ou du reportage, mais je crois important d'appuyer une énième fois ce déséquilibre persistant.

À voir la liste des orateurs et oratrices, et les photos du reportage (chouette reportage, merci !), on pourrait croire que FOSDEM veut dire Free and Open Source Software Developers' European Men.