Raphaël SurcouF a écrit 2609 commentaires

L'admin parano utilise une carte à puce contenant ses clés privées pour se connecter ;-)

Ce qui n'empêche pas de remplir l'historique de bash avec les commandes exécutées via expect...
On peut toujours ignorer certaines entrées dans l'historique de bash à l'aide de la variable HISTIGNORE :
http://ashterix.blogspot.com/2006/07/bash-history-ignore-dup(...)
D'autre part, si l'admin doit taper ses mots de passe assez souvent, ça permet de les retenir assez facilement et cela lui évite de devoir les noter quelque part (comme ça arrive quand ils sont inutilement complexes).

Qu'est-ce que tu as tant besoin de faire sur ce « bastion » ?
En principe, tu ne devrais pas y toucher tous les jours : mises à jour d'AV ?

Python... Ce n'est pas non plus le langage de prédilection sous Solaris.

L'agent forwarding nécessite l'échange de clés, étape qui n'est pas toujours possible de faire sur certains parcs.
Parce que c'est interdit par certaines directives ou pour d'autres raisons ?

Il faut prendre en compte que certains administrateurs n'ont pas toujours la maîtrise totale du parc et doivent pourtant travailler.
Dans ce cas, c'est du masochisme.

Et tu fais comment pour te connecter successivement à ton serveur C qui est derrière A et B ? Tu chaînes les connexions ssh à la main. Puis encore une fois tu changes de compte à la main avec ton 500ème 'su -' de la journée. Bélier répond exactement à ton besoin.
Si tu as si souvent besoin d'être root pour certains commandes bien définies, tu peux aussi t'appuyer sur sudo (ça existe sous Solaris aussi).

De toute façon si ton poste est compromis, que les mots de passe soient en clair sur ton poste ou avec un keylogger, tu n'y échappes pas.
Ce n'est pas une raison pour laisser traîner des mots de passe en clair dans des fichiers non plus (l'attaque par keylogger est quand même moins facile que lire un bête fichier).
Tu peux aussi séparer *physiquement* les postes d'administration des postes de travail « classiques » et à plus forte raison s'ils sont reliés à Internet. Sans oublier des les équiper d'AV, même s'ils sont sous Linux (oui, les logiciels malveillants existent aussi sous Linux, même s'ils sont moins nombreux que sous Windows pour l'instant).
Bref, ton projet peut être intéressant pour certains mais il y a néanmoins certains préjugés face à certains outils qu'il faut casser (les clés SSH, notamment).

Cfengine ?
Puppet ?

Comme chez nous, quoi.

Les réseaux tels que l'Intramar, relié à l'Intradef sont des réseaux dont le contenu est certes confidentiels mais qui sont classés Diffusion Restreinte. On est loin des réseaux opérationnels et donc critiques.
Par contre, ce réseau est de plus en plus utilisé par des applications qui nécessitent une certaine disponibilité (ne pas confondre avec opérationnel).
Les réseaux CD et SD (si il en existe un) sont complètement séparés du réseau DR. Cependant, sur le réseau DR, les utilisateurs (et administrateurs), pour casser le mythe, restent des êtres humains comme tout le monde et sont plus proches des utilisateurs des grands groupes et entreprises privés et publics que l'on ne pourrait croire. Les risques sont donc plus élevés mais acceptés par le niveau même de confidentialité requis pour ce réseau.
On retrouve exactement les mêmes problèmes que dans des groupes comme FT, EDF, etc..
Pour finir : oui, il y a des logiciels propriétaires au sein du Ministère de la Défense, comme dans les autres ministères d'ailleurs, mais également de très nombreux Logiciels Libres. Je suis même surpris que cela t'étonne quand on sait que les Gendarmes (même s'ils ne font plus partie de la Défense maintenant) ont migré, certes, sur Firefox, Thunderbird et OpenOffice.org mais ont conservé l'usage de Microsoft Windows. Là aussi, il faut tenir une politique d'application des mises de sécurité et c'est plus facile à dire qu'à faire.
Et je confirme, pour avoir vu les fameux « procédés curatifs » à l'oeuvre, les propos de Laurent Teisseire : l'outil utilisé requiert de démarrer le poste de travail en mode sans échec et le processus peut prendre jusqu'à trois jours si ce dernier dispose de nombreuses archives car leur outil ne fait pas dans la dentelle (comprendre : ne s'occupe pas seulement du virus dont il était question).
D'ailleurs, les Rafales opérationnels pouvaient toujours décoller.

Pas besoin d'être si fort que cela.
Tu parles de petites boîtes mais la question initiale portait sur les grosses structures, c-a-d au moins 2000 à 200 000 personnes. Là, pour savoir au niveau central ce qu'il y a dans chaque service, c'est plus délicat car la solution n'est pas exclusivement technique.
Les différents services forment souvent un tout parce que cela a été décidé en amont (cas des ministères et administrations publics) sans trop consulter la base ou parce que la société auxquelles ils appartenaient ont été rachétés par une plus grosse. Et là, le point commun, c'est que les dirigeants ne se préoccupent pas vraiment des problèmes d'ordre technique de cohérence du SI que cela peut poser (en théorie, ils n'ont pas totalement tort).
L'exemple de BNP Paribas qui a mis plus de 10 ans pour n'avoir qu'un et un seul SI pour toutes les agences bancaires du groupe devrait t'en convaincre. Ou de l'exemple d'EDF qui a mis 10 ans avoir des référentiels pour la gestion de son SI et je ne te parle pas des ministères, ce serait indécent.
Cela amène de gros problèmes car les chefs de projets connaissent très mal le SI et l'intégration des projets qu'ils commandent s'en ressent. De nombreux avenants pourraient être évité s'ils prenaient en considération en amont l'architecture avec laquelle ils doivent composer.

Justement, elles sont déjà classées par catégories.
Les différences de toolkit amènent en plus des nuances dans l'ergonomie et la cohérence de l'ensemble.

En astreinte ou en HNO, tu peux te faire rembourser le taxi, non ?
Parce que prendre les tec pour intervenir en astreinte, ça me paraît contre-indiqué, ce qui signifie que ce cas de figure n'est pas un argument.

Les deux pauses de pub pendant le film, ça sert à payer les droits de diffusion, je le dis au cas où ça t'aurait échappé..
Sur le service public, c'est la redevance qui paye (maintenant) les droits.

Et une fois que tu as porté plainte, tu abandonnes ton poste ?

Je ne faisais pas allusion à la RATP dans mon précédent message mais bien à la SNCF. Les portions de RER D que je prends sont gérés par la SNCF. Le transilien T qui passe par la Défense dépend également de la SNCF. Et j'utilise également le RER A dans le tronçon desservi par la RATP, c'est tout. Ça me permet d'avoir une vision un peu plus « objective » des problèmes qu'on peut avoir en transports.

Bien évidemment que l'augmentation le sera puisque ce sont des entreprises de « service public » à qui l'on demande d'être avant tout rentable...

Donc le spam est déjà puni par la loi (notamment la LCEN).
Pourquoi veux-tu une nouvelle loi ? Sans doute parce que la première est inefficace ?
En effet, comment veux-tu condamner des spammeurs dont les adresses IP d'origines ne sont pas en France ? En condamnant chaque citoyen coupable de ne pas avoir tenu à jour son système ? Et pourquoi ne pas condamner les éditeurs de logiciels pendant qu'on y est ?

Peut-être parce qu'un acte dit délictueux est autrement dit un délit et tombe donc déjà sous le coup de la loi. Et sans doute pour cela que tu voulais pondre une nouvelle loi ?
J'espère que tu es bien informé qu'il ne suffit pas de « pondre » une loi pour que tout change ? Encore faut-il que les volontés politiques et financières suivent derrière. Combien de lois pondues ces dernières années qui attendent toujours leurs premiers décrets d'applications (plusieurs années après) alors que d'autres les ont eu tout de suite (je te laisse deviner lesquelles).

Même le Figaro souligne les problèmes de sous-financement par le STIF.
Le dernier paragraphe est particulièrement éloquent :

« Ces récents événements, instrumentalisés par SUD-rail, n'ont fait que rappeler une situation qui n'est pas nouvelle. La SNCF et la RATP paient le prix fort de plusieurs décennies de sous-investissement dans les transports en Ile-de-France alors que le nombre de voyageurs est en croissance constante. En 2008, la RATP a transporté chaque jour 300 000 personnes de plus qu'en 2007. Sur le Transilien, le nombre de voyageurs a augmenté de 4 % l'an dernier et de 27 % en sept ans. En 2008, l'Ile-de-France s'est engagée à investir 17 milliards d'euros en dix ans, mais elle demande à l'État de participer à hauteur de 4 à 6 milliards. C'est le prix à payer pour que les transports d'Ile-de-France soient au niveau. »

http://www.lefigaro.fr/economie/2009/01/20/04001-20090120ART(...)

Et après, on voudrait introduire d'autres régies de transport ? Les cotisations étant proportionnelles, ça n'augmenterait pas le gâteau mis en commun.
Et lors d'un précédent post, je te demandais ce qu'il y avait eu depuis 2005 : l'État s'est désengagé du STIF (la fameuse décentralisation de la loi des finances* qui a surtout consisté à décentralisé responsabilités sans les moyens) : il suffit de voir les recettes et dépenses depuis :
http://fr.wikipedia.org/wiki/Syndicat_des_transports_d%27%C3(...)


*: http://www.senat.fr/rap/l04-074-323/l04-074-3230.html

personne n'est à l'abri d'une agression quel que soit son métier, et dire que la direction de la SNCF ne fait rien, c'est un mensonge. Il n'y a qu'a voir le nombre de policiers qui se baladent dans les trains à toute heure.
De quels policiers parles-tu donc ?
En fait, c'est assez amusant mais depuis que NS est Président, j'en vois beaucoup moins dans les transports en commun... À croire qu'ils ont été affectés ailleurs après l'élection. D'ailleurs, ça ne dépend pas de la SNCF mais du Ministère de l'Intérieur, à moins que tu ne parles des agents de sécurité de la RATP (mais ils ne vont pas sur les trains SNCF...).

Par contre, dans les gares parisiennes, on en voit plein, sans parler des militaires du plan Vigipirate. J'en ai même vu tenter de calmer un usager « légèrement » remonté contre la SNCF à cause d'un énième retard. Ah oui, le retard n'était pas dû à une grève ni un droit de retrait, au cas où tu te posais la question. Non, c'était encore à cause d'un « incident technique ».
L'avantage de la grève, vois-tu, c'est que les employeurs sont vraiment plus compréhensifs qu'avec les retards dûs à un « incident technique » isolé (isolé parce qu'il ne touche qu'une ligne du réseau donc, un seul employé à la fois, donc...). Et je ne parle même pas des parents qui doivent rentrer aller chercher leurs enfants (soit chez la nounou qu'ils payent à l'heure due, soit directement à l'école*) en sortant du boulot pour ceux qui finissent plus tôt.
Tu devrais lire cette critique un plus plus constructive que simplement succomber à l'émotiel facile dont aiment se nourrir la plupart des médias :
http://www.acrimed.org/article3053.html

« • Les salariés en grève ou la direction de la SNCF qui déclare illégales d’autres formes d’actions comme la mise en place de la gratuité ? »
D'autant plus que la gratuité n'aurait pas d'intérêt pour la majorité des usagers dans la mesure où 90% d'entre-eux ont ...un abonnement. Il n'appartient donc qu'à la direction de la SNCF de les rembourser, ce qu'elle fait souvent en réduisant le coût du mois suivant.
Je tenais à le signaler parce que j'entends souvent, lors de discussion à ce sujet, parler de cette « gratuité » lors des grèves de la part des cheminots (qui ne conduisent que des trains) alors qu'en fait, ça ne changerait rien de ne pas filtrer (aux portiques qui sont souvent désactivés ces jours-là mais passons). Ne cédons pas à la démagogie.

L'agression a St Lazare n'entre pas dans ce cas de figure : il s'agit d'une bande de gens aparamment qui avaient un peu trop bu et qui s'en sont pris au conducteur.
Tu es dans les petits papiers de la SNCF pour en savoir autant sur le sujet ou tu énonces une hypothèse ? Ils ne s'en pas simplement pris au conducteur parce qu'ils étaient complètement bourrés. Le signal d'alarme avait été intentionnellement et abusivement actionné. Et c'est lorsqu'il a voulu le ré-armer qu'il a été agressé par 5 à 6 individus:
http://www.liberation.fr/societe/0101311442-trafic-nul-sur-c(...)

« [...] un conducteur de train a été victime d’une agression en gare de Maisons-Lafitte (Yvelines) sur la branche A du RER, de la part de six personnes, alors qu’il descendait pour réarmer un système d’alarme qui avait été actionné sans raison. »

D'ailleurs, il serait également question de propos « anti-grévistes » :
http://www.liberation.fr/societe/0101311532-la-gare-saint-la(...)

« David Michel, conducteur de trains et délégué Sud Rail, confiait que «ce mouvement spontané fait suite à l'agression qui, elle-même, résulte du mois de grève passé. Des propos antigrévistes auraient été tenus lors de l'agression du conducteur lundi». »

Mais je ne vois nulle allusion à l'alcool..
Et j'adore le porte-parole de la SNCF qui explique tout de suite que l'agression n'aurait rien à voir avec le conflit social alors même que les agents SNCF de la branche Ouest du RER A dépendent ... de la direction de Saint-Lazare.

*: et il vaut mieux arriver à l'heure sous peine d'aller devoir les chercher au commissariat ou pire de devoir subir les remarques de la maîtresse et « devoir l'agresser ».

Il faudrait donc des bornes sur les chemins de fer ou en gare ?
Si tu es en intervention le soir, tu bosses en astreinte ?

La prise en charge ne s'est sans doute pas amélioré à Saint-Lazare, je ne passe plus par-là depuis que j'ai déménagé. Par contre, je fais la correspondance entre RER D et RER A et, parfois, selon mes horaires, avec le transilien (qui dépend de Saint-Lazare) ou un bus depuis la Défense.
De nous deux, qui a des oeillières ? As-tu déjà été voir sur les autres lignes ?

Le prix de l'abonnement ne dépend pas de la seule SNCF. Et encore moins des cheminots.
Les transports en commun (du moins les réseaux RATP, SNCF et OPTILE) et leurs tarifs en Île-de-France sont étroitement contrôlés par le STIF. Or, le STIF, ce n'est pas la SNCF. C'est l'ensemble des collectivités locales d'IdF (7 départements, la Ville de Paris, et la Région).
Depuis quand est-ce que les tarifs augmentent-ils tant ? Ne serait-ce pas depuis 2005 ?

Par contre, les prix des grandes lignes, ça devient n'importe quoi...

Sur Saint-Lazare, ça faisait trois semaines qu'ils étaient en grève, une grève dite de 59 minutes. Je ne connais pas exactement ce qui leur octroie ce droit mais c'est le cas.
Évidemment, cela est moins perceptible, d'autant plus avec les habituels « incidents techniques » qui parsèment le quotidien de tout usager du réseau francilien. Les dits usagers ne perçoivent les problèmes que lorsque leur train n'est pas là.
La prise en charge des usagers en cas d'incidents n'est sans doute pas exemplaire mais elle s'améliore. Peut-être pas à Saint-Lazare. Ce jour-là, j'ai voulu prendre la ligne L à la Défense et avant d'arriver au niveau du quai, rien n'indiquait l'absence totale de train. Par contre, pour le RER A, on était bien averti que la jonction à Nanterre était rompue. Et si la RATP et la SNCF collaborait davantage dans la communication ?

Et depuis, tu te balades avec un téléhone ou ta carte, au cas où ?

C'est un cas extrême. D'ailleurs, c'est intéressant car ce n'est plus une grève mais un incident. Comme quoi, vu le nombre d'incidents techniques et autres problèmes qui ne sont pas des grèves, on se demande pourquoi on fait une fixation sur la grève. Il doit y en avoir une ou deux par an... Certes, cela est largement plus que dans les autres métiers mais ramené aux nombres d'incidents qui rendent les transports en commun pénibles, c'est un peu plus relatif.

Et tu le préviens comment, ton assureur, sans téléphone ?
Pas d'amis ? Et des collègues ?